选择防火墙应该考虑的几方面

核心提示：首先要明确，防火墙不是路由器、交换机或者服务器，选择防火墙应该考虑的几方面，（虽然看起来比较象）所以不能用那些产品的指标来选择防火墙，那么选择防火墙应该注意哪些方面呢？一安全性：这是重中之重，之所以能够测试出这样的数据只有两个可能：一是采用高性能硬件， 比如采用了千兆网卡芯片，安全性不高的防火墙，其他性能再好也是空谈

首先要明确，防火墙不是路由器、交换机或者服务器。（虽然看起来比较象）所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢？

一安全性：这是重中之重。安全性不高的防火墙，其他性能再好也是空谈。安全性包括几个方面，自身安全性、访问控制能力和抗攻击能力。

自身安全性主要是指防火墙系统的健壮性，也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员采用什么方式管理防火墙，是telnet还是web，有没有加密和认证等等。

访问控制能力是防火墙的核心功能。访问控制能力包括控制细度，也就是能控制哪些内容，比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度，也就是说应该限制的内容必须全部阻断，应该通过的内容不应该有任何阻断。

抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类，数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。

用户在选择防火墙的时候，自己来判断以上这些性能是很困难的。因为用户没有专门的测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336，等级越高越好，一共7级。（不过现在最好的好像也就是EAL3 ）

二网络性能。

防火墙是个网络设备。在保证安全的基础上，应该最大程度减少对网络性 能的影响。对于网络性能，主要就是看最大带宽、并发连接数、每秒新增连接数、丢包和延迟。这些指标和交换机、路由器都是相同的，这里就不多说了。但是有一点要注意。防火墙在策略起作用和全通策略的状态下，上述指标都是不一样的。用户一定要考虑实际环境。比如先按照用户的要求添加多少条策略（全通策略在最后）然后再测试。传说中有的百兆防火墙小包（64字节）通过率能达到70%以上，甚至90%，我觉得在实际使用中一定不可能。之所以能够测试出这样的数据只有两个可能：一是采用高性能硬件， 比如采用了千兆网卡芯片，二是在测试机的内核做手脚。