【IT168专稿】中小企业在部署自己的防火墙产品时常常面临两种困惑：成本压力导致在选购产品时常常面临价格与性能的抉择;同时，对自身IT业务需求的不够明确导致了对产品的采购常常没有明确的目的性。

　　今天，我们为大家带来了分别针对不同规模的中小企业防火墙导购指南，希望可以为中小企业在网络安全产品采购时提供一些参考和帮助。

　　一、选择防火墙的要求

　　1、防火墙应具备的基本功能

　　支持“除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使用的策略;本身支持安全策略，而不是添加上去的;如果组织机构的安全策略发生改变，可以加入新的服务;有先进的认证手段或有挂钩程序，可以安装先进的认证方法;如果需要，可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理，以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;

　　如果用户需要NNTP(网络消息传输协议)，X window，HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。

　　2、其他功能

　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。如果防火墙使用UNIX操作系统，则应提供一个完全的UNIX操作系统和其他一些保证数据完整的工具，应该安装所有的操作系统的补丁程序。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。

　　防火墙的强度和正确性应该可被验证。防火墙的设计应该简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

　　正像前面提到的那样，因特网每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的适应性是很重要的。

　　二、进一步的建议

　　没有一个防火墙的设计能够适用于所有的环境，所以建议选择防火墙时，应根据站点的特点来选择合适的防火墙。如果站点是一个机密性机构，但对某些人提供入站的FTP服务，则需要有强大认证功能的防火墙。

　　另外，不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中，防火墙的速度占有很大的比重。如果站点通过T1线路或更慢的线路连接到因特网上，大多数防火墙的速度完全能满足站点的需要。

　　下面是选购一个防火墙时，应该考虑的其他因素：

　　网络受威胁的程度;

　　若入侵者闯入网络，将要受到的潜在的损失;

　　其他已经用来保护网络及其资源的安全措施;

　　由于硬或软件失效，或防火墙遭到“拒绝服务侵袭”，而导致用户不能访问因特网，造成的整个机构的损失;

　　机构所希望提供给因特网的服务，以及希望能从因特网得到的服务;可以同时通过防火墙的用户数目;

　　站点是否有经验丰富的管理员;

　　今后可能的要求，如要求增加通过防火墙的网络活动或要求新的因特网服务。

　　三、防火墙的局限

　　我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限，有时防火墙会给人一种虚假的安全感，导致在防火墙内部放松安全警惕。而许多攻击正是内部犯罪，这是任何基于隔离的防范措施都无能为力的。同样，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广，这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够，大多数产品还需要网络管理员手工建立。当然，这一问题马上会得到改观。

　　防火墙在当今Internet上的存在是有生命力的，但它不能替代墙内的安全措施，因此，它不是解决所有网络安全问题的功能较多药方，只是网络安全政策和策略中的一个组成部分。

　　50人以下企业硬件防火墙产品推荐：

　　Juniper SRX100B

　　SRX100B业务网关是一种安全的路由器，可支持高达650 Mbps的防火墙和65 Mbps的IPsec VPN。此外，它还具备其它安全特性，包括统一威胁管理(UTM)。其中UTM包含IPS、防垃圾邮件、防病毒和Web过滤等功能。SRX100是保护小型分布式企业网络安全的理想选择。

　　SRX100主要参数：

　　人数限制：无用户数限制

　　并发连接数：16000

　　吞吐量：650Mbps

　　主要功能：安全、路由、交换产品, 为地区和分支机构的部署提供完美的高性能、安全性和局域网/广域网连接管理

　　安全标准：UL、CUL、CSA、CB

　　VPN支持：支持

　　策略数：384

　　硬件参数：512MB内存,8×10/100以太口，1Gflash存储

　　参考价格：5000元

　　50--200人企业硬件防火墙产品推荐

　　华赛USG2130

　　华为赛门铁克SecoSpace USG2100系列防火墙是为解决中小型企业、大中型企业的分支机构、行业网的分支机构、以及部分电信网络的安全问题而发布的桌面型统一安全网关设备。其中的USG2130是一款集防火墙、UTM、VPN和无线等功能于一体的统一安全网关，能够将多种业务部署在同一节点，极大地降低了企业网络建设的初期投资与长期运维成本。目前它的促销价仅为3000元，性价比非常高。

　　USG2130支持外部攻击防范、IPS(入侵防御)、抗DDoS攻击、P2P限流、URL过滤等功能，能够有效的保证网络的安全;支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、MPLS VPN等，可以构建多种形式的VPN;提供丰富的路由能力，支持RIP/OSPF/BGP/路由协议及策略路由。

　　主要功能USG2130统一安全网关除了提供1个固定百兆WAN接口和8个固定百兆LAN接口，还提供1个扩展插槽，可以选配1×FE、1×E1/CE1、5×FE、1×ADSL2+等接口，USG2130还增加3G express插槽，USG2130最大接口密度可达13FE。

　　参考价格]：3400元

　　200--500人企业防火墙产品推荐

　　思科ASA5520-BUN-K9

　　思科ASA5520-BUN-K9防火墙是一款多功能的安全设备，既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成本，因而不必在两者间进行困难的、高风险的权衡。

　　思科ASA5520-BUN-K9防火墙内存容量512MB，闪存容量64MB，网络吞吐量450Mbps ，并发连接数280000，支持VPN功能，过滤带宽225Mbps，无用户人数限制。它采用了一个模块化服务处理和策略框架，能在逐个流量的基础上提供特定安全或网络服务，支持高度精确的策略控制和Anti-x 保护，并简化了流量处理。提供了强大的应用安全、基于用户和应用的访问控制、蠕虫和病毒防御、恶意软件防御、防网络钓鱼和防垃圾邮件、URL 阻拦和过滤，以及远程用户/ 地点连接功能。

　　思科ASA5520-BUN-K9防火墙无需更换平台或降低性能，即能升级现有服务和部署新服务，使用户能实现配置和管理标准化，从而降低部署及日常运营成本。

　　参考价格：25800元