防火墙的选择归根结底还是要落实到应用层面上，因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的，如果不是网络应用的需求，网络安全也无从谈起。所以选购防火墙还应该考虑防火墙的各项功能，包括地址转换、IP/MAC绑定、静态和动态路由 、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。

　　支持哪些使用动态端口的协议也是在选购防火墙时要了解的问题。最为典型的是VoIP应用，打算部署VoIP的用户需要清楚自己将使用哪种VoIP设备，是基于H.323、SIP，还是其他协议，有些防火墙只支持H.323而不支持SIP，有的防火墙不仅能够支持多种VoIP协议和各种拓扑，而且还能针对H.323的攻击进行防御。

　　安全审计也是防火墙的一个十分重要的功能，它包括识别、纪录、存储和分析所有与安全活动相关的信息。审计纪录结果可用来检测、判断发生了哪些安全相关活动以及这些活动应当由哪个用户负责。

　　用户应该首先明确自己都需要什么功能，并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的，实现的效果也不一样。

　　四、易管理性和灵活性

　　● 易管理性是指提供最终用户方便的配置、管理防火墙的手段，如果配置管理方面非常复杂，会给设备的安装和维护带来很多困难，甚至使防火墙失去保护网络的功能。防火墙这种设备不像交换机，安装好了可以不用再管，防火墙需要经常管理。日常的管理就是看日志、修订策略、添加和删除用户;更高的管理还包括第三方互动、VPN建立和远程集中管理等等。管理方面用户应该注意界面的友好性，设置选项通俗易懂。日志特别重要，好的日志系统应该有详细的记录，包括连接的状态和内容，应该便于分类和排序，能方便存入数据库并有syslog等标准的接口。对用户来说，远程管理要注意管理命令的加密和认证，是否支持策略远程导入导出等等。

　　● 灵活性主要体现在以下3点: 易于升级、支持大量协议和功能可扩展。

　　防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

　　可扩展性主要体现在硬件和软件两个方面，即硬件的网络接口模块可灵活扩展，系统软件能即时更新。一般情况下，防火墙在设计完成以后，其过滤规则都是定制好的，用户可改变的余地很小。特别是URL过滤规则（对支持URL过滤的防火墙而言），而网络中的漏洞是不断被发现的，内网管理人员也不必时时密切关注网络漏洞（这是个工作量很大，既耗费体力又容易出现遗漏的工作），大部分工作应留给防火墙厂家来做（相应需要有一个漏洞监测体系），用户肯定会满意很多。

　　五、性价比

　　毫无疑问，价格也是选购防火墙产品时应该考虑的重要因素。用户需要对防火墙功能、性能、价格和可管理性等进行考察，权衡总体拥有成本。产品的功能多当然是好事，但同时还要考察这些功能是否实用。实践证明，某些防火墙的功能如防病毒、计费等比较消耗防火墙的硬件资源，可能会影响防火墙的传输性能，而某些防火墙功能甚至可能导致防火墙本身的安全性下降，这是最危险的。

　　六、开放性

　　网络安全不是一两个厂商的一两个产品就能解决的问题，因此，如何保证网络中的多个安全产品能够很好地共融、联动、集成，就成为保护用户投资的非常重要的因素。在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟，如OPSEC、TOPSEC等，是否能与市场上的主流IDS产品联动等等。

　　七、服务及产品认证

　　购买防火墙前应考察厂商的背景、营业年限、服务能力、经营业绩、获得的认证等情况。随着安全技术的快速发展，防火墙软硬件需要经常升级和维护，因此，厂商的持续开发能力以及升级和维护能力非常重要。为了保证投资的有效性，在购买产品前应首先考察开发团队的规模和人员结构、开发时间、产品线组成、公司的规模、信誉度、经营历史以及该产品的销售纪录，并通过多种渠道了解产品的应用状况。

--
原文链接: http://www.ccw.com.cn/cio/research/info/htm2006/20060818_204251.asp