企业网络应用的深入，业务范围的拓展，必定会对网络安全有更高的要求。除了传统的在服务器端安装防病毒软件、进行相关安全设置调整外，另一种行之有效的办法就是使用硬件防火墙。那么，作为初次接触硬件防火墙的用户来说，硬件防火墙具有何种特点？具体又该如何选购呢？相信本文可以给这部分用户一个较好的参考和指引。

　　一、硬件防火墙概述
　　硬件防火墙是指设置在不同网络结构之间的一种硬件设备，它是不同网络或网络安全域之间信息的唯一出入口。通过监测、限制、更改跨越防火墙的数据流，可以尽可能地对外部屏蔽网络内部的信息、结构和运行状况；可以控制对服务器与外部网络的访问等，从而达到安全防范的作用。
　　通常说来，硬件防火墙又包括以下两种分类：
　　1、纯硬件防火墙
　　这类硬件防火墙基于PC架构，然后在这些PC架构的“计算机”上运行一些经过简化的操作系统，比如Unix、Linux和FreeBSD等，以此来实现对网络安全的管理。
　　2、芯片级防火墙
　　它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。
　　
　　二、硬件防火墙的选购原则
　　通常情况下，对于中小型网络来说，纯硬件防火墙是比较好的选择。因为这类产品不需要扩展功能，或者扩展功能用的比较少，另行购买的模块就少，在价格上和使用方面就比芯片级要合算等特点。
　　在具体的选购过程中，注意将每台防火墙产品的各项参数指示进行对比，从众多的型号中选出真正适合自己企业的防火墙。另外，具体的选购侧重点可注意以下几方面：
　　1、注意品牌的选择。
　　2、要有较为灵活的安全策略。
　　3、具备高效的性能和高可靠性。

三、硬件防火墙产品推荐
　　在了解完硬件防火墙基本工作原理及一般选购原则后，接下来该看看具体的产品了。以下为大家推荐几款针对不同应用领域，具备不同功能特性的防火墙产品，以方便大家参考选择。
　　1、中小企业经济之选：中怡数宽PROcon5
　　　适用领域：中小型企业、企业网站前台、VPN网络等。
　　推荐理由：产品亮丽的颜色、不俗的功能以及低价位。
　　产品点评：
　　现在一般的除了具备路由功能外，通常也会自带部分防火墙功能，但其能够实现的安全保护功能是有限的；同时专业级的硬件防火墙产品，价格又高高在上；针对这一情况，中怡数宽专门推出了这款针对于普通中小企业应用的硬件防火墙产品。
　　这款产品带机数量最多为200台电脑，这对于普通企业环境来说已经足够；最高吞吐量高达100M，可对蠕虫等病毒的攻击进行有效防御；另外，其利用Stateful Packet Inspection (状态分组检查)技术对传输的数据进行监测，可有效提高数据的安全性。其内建的SPI、DoS防火墙，在阻止绝大多数黑客攻击的同时，也保证了自身的安全。
　　产品另一较理想的地方就是其散热性能良好。在防火墙的左右两侧设计有规则的栅状散热孔，使得长时间工作的防火墙所产生的热量能够及时地排除外壳之外，同时由于产品使用了金属外壳，这都使得此产品在散热方面表现较好。路由器

　　产品介绍：
　　产品采用的红色喷漆外壳，以及金属外壳的衬托，显得此款产品非常的优雅。在其前面板上分布的状态指示灯分别为：1个防火墙工作状态指示灯、1个电源指示灯、4个LAN连接与传输数据交换指示灯、4个100M LAN只是灯以及1个WAN口指示灯。
　　后面板则分布着 1个10/100 Mbps以太网端口、1个广域网WAN端口以及4个10/100Mbps以太网局域网端口。
　　而在附件方面，此款产品为用户提供了企业级VPN防火墙快速安装指南，这可使用户通过最简便的方式即可安装设置防火墙；此外还提供有一份十分详细的企业级VPN防火墙用户指南，可以帮助用户了解防火墙的相关信息以及设置等。
　2、抑制DDOS攻击良方：网盾御天使硬件防火墙
　　
　　适用领域：个人服务器、私服服务器、网站服务器以及中小企业服务器。
　　推荐理由：网盾是服务器安全在线与各家核心技术公司共创的知名品牌，它是国内一家可完全抵御各种ACK、DOS、DDOS、SYN、FLOOD、FATBOY及端口防护、HTTP指纹检测、端口应用方式定点过滤等全面的全防御安全产品。最重要的是其千元的价格具有无可比拟的优势。
　　产品点评：
　　网盾公司在长期ISP运营和致力于网络安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。
　　这款产品正是基于这样的理念与技术而生。它采用了最底层驱动技术，为用户提供完善的面向连接的操作。其特点主要包括以下方面：
　　* 使用自主研发的新一代抗拒绝服务攻击算法，可达到10万至100万个并发攻击的防御能力。同时对正常用户的连接和使用没有影响。
　　* 产品改变了TCP/IP的内核，在系统核心实现了防御拒绝服务攻击的算法，并创造性地将算法实现在网络驱动层，效率并不会因此受到影响。
　　* 对于 SYN Flood、TCP Flood，UDP Flood，ICMP Flood等DoS/DDoS攻击，产品提供强有力支持。

　产品描述：
　　产品自身的接口还是相当丰富的，可以满足一般的需要。其本身也支持安全策略，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理。可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
3、电子商务平台看护神：NetScreen-100
　　
　　适用领域：托管、数据中心、多功能写字楼、公司和大型企业。
　　推荐理由：强大的ASIC功能、高可用性与高性能的完美结合。
　　产品点评：
　　NetScreen-100是一个专门为网络安全方面设计的Internet安全设备，它为电子商务站点、ASP/ISP 数据中心和企业中心站点提供专门优化的防火墙、VPN流量控制(带宽监控)功能。
　　它独特的体系结构消除了传统系统中由于在通用处理器、PC或工作站上运行软件的防火墙、VPN、加密所导致的性能瓶颈等，而且在消除性能瓶颈的同时依然提供了ICSA认证的全状态监测防火墙安全，以及较高级的3DESIPSec加密的数据安全。
　　此款产品另一个值得称道的地方就是，它提供了业界领先的性能。可以维护所有会话的同步，包括IPSec的安全联盟(SAs)；由于所有会话和IPSec SA被保存和维护，当系统从主设备切换到备份系统时不会发生网络中断。毫不夸张的说，NetScreen-100是当今最通用的安全产品之一。

　　产品描述：
　　NetScreen系列产品，是应用非常广泛的NAT设备。NetScreen－100就是其中的一种。产品提供三个10/100M自适应的以太网口，即使在3DES加密下，NetScreen-100线速处理能力仍可达到100M线速。机身尺寸为10.8英寸(长)*17.5英寸(宽)*1.875英寸(高)，可安装在标准机架上。另外，NetScreen-100可选择直流(DC)或交流(AC)电源。
　　它可以集中星型VPN网络，不是在每个远程站点之间建立VPN通道，而是在中心站点控制所有远程VPN流量的转发。支持128000个新的并发会话连接数；每秒可建立20,000个新的并发会话连接；防火墙和VPN加密在ASIC芯片上执行。NetScreen提供非常低的延迟，并且支持1000个VPN通道，NetScreen-100可轻松地保护和连接大的VPN网络。
4、企业安全电信级保证：华为3COM SecPath F100-A/E/S系列防火墙　　
。
　　适用领域：大中型企业、企业托管、电信级网络应用环境。
　　推荐理由：市场领先的安全防护功能、专业灵活的VPN服务以及智能网络集成和QoS保证。
　　产品点评：
　　SecPath 防火墙系列通过采用NP技术提供高性能的防火墙处理能力，支持丰富的NAT，防攻击，内容过滤，邮件过滤等特性，同时支持P2P限流，双机热备，提供日志审计，攻击告警，身份认证等特性，结合丰富的VPN、路由、QOS特性，可为企业用户提供更加集中的网络安全部署。
　　此系列的产品在高可靠性方面支持交、直流输入电源模块；支持双机状态热备，支持Active/Active和Active/Passive两种工作模式；这对于大中型企业用户而言，可以充分保证数据交换的不间断进行，提高整个网络环境的可持续性。
　　而在VPN的管理上，可以构建多种形式的VPN；并且利用动态VPN（DVPN）技术，可以简化VPN配置并实现按需动态构建VPN网络。此外也提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。丰富的QoS特性，也为日常的数据交换提供流量监管、流量整形及多种队列调度策略。丰富的VPN策略及路由监测功能，也为企业拓展网络应用奠定了坚实的安全基础。
　　其在具体的组网应用方面，具有如下特点：
　　* 灵活组网，可按需扩展。
　　* 双机状态热备技术，高可靠网络设计。
　　* 具有强大的处理能力。
　　* 丰富路由协议，实现安全与网络融合。
　　* 支持P2P流量检测和应用层过滤。
　　* 能够阻止恶意攻击，能够实现邮件、网页过滤。

　　产品描述：
　　SecPath F100系列防火墙包括SecPath F100-A、SecPath F100-E、SecPath F100-S、SecPath F100-C等。其中SecPath F100-A/E/S是华为3Com公司面向大中型企业用户开发的新一代专业防火墙设备。
　　SecPath F100-A/E/S支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；其采用的ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；此外还提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理。

　　四、功能应用与导购总结
　　大部分硬件防火墙都可以与防病毒软件搭配实现扫毒功能，而扫毒功能通常是由其他的服务来实现处理的。硬件防火墙的应用，需要用户建立切合实际的管理策略，以求能将硬件防火墙的安全特性发挥到极致。最后提醒大家在选购产品时，对于此产品相对于彼产品都多出什么功能、性能高多少等问题，稍作考虑即可；而应该将关注的重点放在产品自身的安全性上，毕竟硬件防火墙自身的安全性将直接决定着整个网络的安全性。