如何选择防火墙

核心提示：现在市场上有一些不同种类的防火墙，为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业，如何选择防火墙，我们来看一下防火墙技术的基本知识以及为公司选择防火墙时，你可能会问到的五个问题，有了这些答案，在选择购买防火墙时， 1．为什么要使用防火墙？当然，这可能听

现在市场上有一些不同种类的防火墙。为你的组织选择一种防火墙是一项令人望而却步的工作——尤其是为一个充斥着流言和专利商标的行业。我们来看一下防火墙技术的基本知识以及为公司选择防火墙时，你可能会问到的五个问题。

1．为什么要使用防火墙？当然，这可能听起来似乎是一个简单的问题。你可能自己会解答，“因为我们需要！”但是重要的是你花费时间确定使用防火墙的技术目标。这些目标会决定选择过程。当一种简单的产品就能满足你的技术要求时，你就不想选择一种昂贵的、而功能丰富到迷惑管理员的防火墙。

2．防火墙如何能适合你的网络拓扑结构？这种防火墙是否存在于整个网络的周界，并直接与因特网相连接，或者是否适合公司其它地方的敏感局域网分段？它可以处理多大流量？它需要多少界面来分割流量？诸如这些的性能要求大大增加了推行新防火墙的总成本，这很容易造成购买产品的不足或过剩。

3. 你需要运行哪种类型的流量检测器？流言就是从这里开始的。每个厂商对其流量检测技术都有一个不同的商标，但是基本上有三个不同的选择（按照复杂度和成本排序）：

封包过滤防火墙（屏障式路由器防火墙）使用简单的规则，对遇到的每个数据包，按其本身的特点进行评价。它们不保存每个数据包的记录历史，进行基本的数据包组头检测。这种检测的简单性加快了其速度。这种防火墙是最便宜的选择，但同时他们也是最不灵活和漏洞最多的。你的运气比较好就是你已经拥有了可以运行封包过滤防火墙的设备——那就是你的路由器！

状态检测防火墙（动态过滤包防火墙）更进了一步。它们跟踪三向TCP同步交换，确保数据包始终属于一个已建立的网段（比如，就没有设置SYN特征位），以对防火墙检测到的上一个活动做出反应。开放最初连接的要求，受到了状态检测防火墙规则数据库的限制。

应用代理防火墙拥有最高级的性能。在状态检测防火墙的基础上，它们突破了客户机与服务器之间的连接。客户机与防火墙相连，防火墙可以分析请求（包括数据包内容的应用层检测）。如果防火墙的规则显示信息传输可以进行，那么防火墙就会与服务器建立连接，继续在通信过程中扮演的媒介的角色。当防火墙与网络地址翻译协议（Network Address Translation）相结合时，这两个主机甚至都不会防范其它主机的存在——它们都相信它们正在直接与防火墙交流。

4．你的公司更适合采用设备解决方案还是软件解决方案？

设备一般更易于安装。一般情况下你只要插进合适的以太网电缆，进行基本的网络配置，就准备好配置防火墙规则了。另一方面，软件防火墙比较难安装，并且需要调节。它们也缺少防火墙操作系统通常所固有的安全性。如何权衡？你可以猜一下！设备更昂贵一些。

5.哪种操作系统最能满足你的要求？

即使设备可以运行操作系统，在你防火墙管理职业生涯中，你有时可能会需要使用该操作系统。如果你是Linux系统操作员，你可能不想选择一种基于 Windows系统的防火墙。另一方面，如果你不了解/var/log的/dev/null， 你就可能想要避开使用基于Unix系统的解决方案。 虽然，我不知道你的需求，就不能给你建议一种具体的防火墙，但是回答这些问题的过程可以帮助你打定主意，做出正确的选择。有了这些答案，在选择购买防火墙时，你应该能够明智地评价当前市场上各种产品的成本/优点了。