防火墙是主要的网络安全设备，一个配置良好的防火墙，能够有效地防止外来的入侵，控制进出网络的信息流向和信息包，提供使用和流量的日志和审计，隐藏内部IP地址及网络结构的细节，以及提供VPN功能等等。

　　对于企业网络而言，一个没有配备防火墙的网络无异于“开门揖盗”，安全性无从谈起。那么，如何选择合适的防火墙呢？本文从技术角度出发，谈谈企业级防火墙的选购要点。

防火墙种类

　　在选购之前，企业用户首先需要弄清防火墙的种类。目前，市场有六种基本类型的防火墙，分别是嵌入式防火墙、 基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。

　　嵌入式防火墙 : 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块，安装到已有的路由器或交换机中。

　　嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样， 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、 蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。

　　基于软件的防火墙 : 指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统，购买基于软件的防火墙则是合理的选择。如果用户是一家小企业，并且想把防火墙与应用服务器（如网站服务器）结合起来， 添加一个基于软件的防火墙就是合理之举。

　　基于硬件的防火墙 : 多捆绑于“交钥匙”系统(Turnkey system)中，是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。

　　特殊防火墙 : 侧重于某一应用的防火墙产品。目前，市场上有一类防火墙是专门为过滤内容而设计的，MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙， 但也具有防火墙类规则和应用防范禁闭功能。

防火墙“软”与“硬”的折衷

　　一般说来，软件防火墙具有比硬件防火墙更灵活的性能，但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装，启动及运作要比软件防火墙快得多。

　　购买硬件设备防火墙，往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求，硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是，用户希望隔离防火墙服务，不把防火墙安装在其他应用中。