实用主义——防火墙选购指南

作为保护网络的主力安全设备，经过多年的发展，防火墙的技术已经逐步趋于成熟。即便如此，用户在选购防火墙时仍需擦亮眼睛。

防火墙是一种部署在内外网边界上的访问控制设备，用来防止未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。防火墙主要分为简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。

附加功能适用就好

防火墙控制的对象是网络数据，通过执行用户针对2～7层制定的策略进行检查，根据检查结果决定接受、丢弃还是限制流量。虽然实际上防火墙也可以替换一部分路由器和交换机的功能，但过分强调这些功能的结果只能是舍本逐末。

由于在网络中引入了防火墙设备，必然要求防火墙能够提供相应的支持，包括可管理、环境适应能力、与已有交换机/路由器的互联互通、一定的吞吐能力和适当的延迟等，这样防火墙才不会成为网络瓶颈。这些功能实际上是对防火墙的附加要求，虽然是必要的，但不会给用户带来增值，其总体要求是“适合就是最好的”。

虽然防火墙发展时间比较长，技术相对成熟，但关于防火墙的新概念、新技术仍然层出不穷。那么，应该如何真实评价防火墙呢?还得从用户使用的角度深入分析，从功能/性能、管理、稳定性三方面进行考察。

功能、性能不能“两层皮”

功能和性能一直是用户评价防火墙的主要方面，尤其是性能由于其可量化，更是对比的重点，但真正搞明白这两个问题却不容易。

为了适应用户的复杂环境和需求，也为了拥有“卖点”，现在的防火墙一般具有很多功能，这些功能单独看都没什么问题，比如双机热备功能已经通过测试， H.323动态应用支持也测试通过，但在实际环境中，我们可能需要在双机热备情况下使用H.323视频会议，并要求切换时视频不中断，这样可能有的防火墙就不行了，而类似的组合功能却是用户真正需要的。此外，防火墙的功能和性能一般会独立评估，分为功能测试和性能测试两部分，功能测试关心单个功能有无，性能测试关心二、三层简单应用的性能，结果导致功能性能“两层皮”，不能真正反映防火墙能力:测试中性能很高，但很多功能不能用，在实际使用中，当把常用的功能都打开后，性能变得很低。因此，必须把性能和功能评估结合起来才能真实评价防火墙。具体的评价应从以下几方面入手: