实用主义——防火墙选购指南

核心提示： ● 2～7层访问控制功能，尤其是应用层深度过滤，实用主义——防火墙选购指南(2)，该功能应该能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等功能任意组合使用，●安全功能，如果是新的软件或硬件系统，需要在应用中不断完善才能逐渐稳定，重点是抗Synflood，

● 2～7层访问控制功能，尤其是应用层深度过滤。该功能应该能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等功能任意组合使用。

●安全功能，重点是抗Synflood。目前，在“黑客”的攻击行为中，使用最多、最有效的是DDoS(分布式拒绝服务攻击)，它造成的结果是服务器拒绝服务。防火墙作为网络的单一通道，要保证受保护网络的安全，需要重点考察安全防护功能能否在过滤攻击的同时保证正常访问，是否对伪造源地址攻击和真实源地址攻击同时有效，能否保护服务器免受冲击。该功能应能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等同时或任意组合使用。

●实用性能。性能测试一般包括6个主要方面:吞吐量、延迟、丢包率、背靠背、并发连接数、新建连接速率，实用性能即考察在接近用户真实使用情况下的性能。

●新建连接速率。由于网络应用具有波动性大,即不同时间访问量差异很大的特点，要求防火墙也能适应这种情况，相应的考量指标即新建连接速率。考虑到用户网络和应用的复杂性，还需要打开常用功能，例如:包过滤、内容过滤、抗攻击等情况下测试新建连接速率。

管理是关键

用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策略，这就对防火墙的实际操作人员提出了较高要求。由于不同防火墙在管理上存在差异，因此，管理的难易程度可能造成管理员的错误配置，使网络产生安全隐患。因为无法要求每个网络管理员都是网络安全专家，所以管理是网络安全的关键。除去权限管理、通信加密外，还需要重点考察单机管理方便性和集中管理这两个方面。

就单机管理方便性来说，防火墙应能提供多种管理方式，供管理员在不同场合使用，例如:串口命令行方式适合水平较高的管理员对防火墙进行全面管理;SSH方式适合远程维护管理;Web方式适合远程配置;GUI方式适合远程配置和监控。其中，Web方式不用安装客户端软件，比较方便灵活;GUI安装比较麻烦，但灵活性较强。

另外，防火墙的大客户、行业客户很多，管理成本可能非常高，能否对防火墙进行集中管理也很重要，包括安全策略集中定制和下发、日志集中管理与分析、设备级联管理与实时监控等。其中，策略的集中管理最重要，因为需要保证整个企业的策略一致和安全。

综合考察稳定性

防火墙因为串接在网络中，一旦出现故障则会导致网络中断，因此，稳定性是评价防火墙的一个重要指标。由于种种原因，有些系统尚未最后定型或未经过严格的大量测试就被推向了市场，其稳定性可想而知。但稳定性很难直接测试，一般来说，一些久经考验的系统的稳定性才有一定保证，如果是新的软件或硬件系统，需要在应用中不断完善才能逐渐稳定。用户可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断。