选择防火墙应该考虑的几方面

核心提示： 上面说的内容都是对防火墙产品本身的一些介绍，我想大家应该对怎样选择防火墙有个原理性的认识了，选择防火墙应该考虑的几方面(3)，那么下面就针对一些实际情况来讲一讲，先把我在一开始提的几个误区做个Q&A吧，富富有余，其他的指标也一样， 误区一：防火墙是国外的好，解释：在网络安全领域

上面说的内容都是对防火墙产品本身的一些介绍。我想大家应该对怎样选择防火墙有个原理性的认识了。那么下面就针对一些实际情况来讲一讲。先把我在一开始提的几个误区做个Q&A吧。

误区一：防火墙是国外的好。

解释：在网络安全领域，甚至是计算机领域，我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然，我们的整体实力还是有限的。但是，对于防火墙这种比较成熟的技术来说，我们完全可以做的和国外的一样好。国外品牌，大家熟知的checkpoint，为什么现在的市场份额越来越少？主要是自己不思进取。别人早都用硬件防火墙了，他还死抱着纯软件不放。现在和nokia合作推出硬件产品，是没办法的事。这种合作我也很不看好。毕竟对nokia来说这是小生意，不会重视的。在国内进行的多次评测中，国内的产品在性能指标上和国外的产品各有千秋。当然，国外的产品占了几个最，比如最快的产品是 netscreen，支持协议最多的是checkpoint，入侵检测结合的最好的是fortinet。但是不要忘记，这些防火墙往往都是一个方面突出，然而其他方面就很一般了。国内的防火墙优势在于，功能比较全面，很容易用，服务本地化。片面强调一个功能对防火墙来说是不够的。用户应该结合自己的实际来选择防火墙。我认为国内的防火墙在性价比上是很好的。

也有人担心国内防火墙安全性不够。国家在这些方面都有专门的认证和评测机构。我想不是白吃饭的。（当然，有的评测确实只拿钱不测试）而国外的就一定安全么？我想更应该在心里划个问号。

误区二：防火墙纯硬件的比linux架构的好。

解释：硬件还是软件，这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里，运行的效率当然高。但是别的呢？防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里，难度很大。特别是如果新出现了一个功能，要添加到原有的ASIC芯片里，往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一，韩国也有ASIC芯片的防火墙。而且国内也有OEM的（是哪一家我不说了），但是都是低端产品，并发连接只有几千而已。所以不是ASIC就一定好，要看研发的水平了。第二你需要这么快的速度么？速度是重要的，但不是唯一的。现在 netscreen能做到几十个G，但是有个几个用户有这么大的带宽？除了电信，没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能，甚至可以应用户的要求订制开发。

误区三：防火墙各项指标越高越好。

其实还是那句话：按需选择。可能用户有的是钱，那当然另说了。但是在用户资金有限的情况下，还是应该仔细衡量一下，哪些指标对用户来说更有用。当然，选择产品时一定要有前瞻性，产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的：因为我们的专线是电信用光纤拉过来的，所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想，电信发展的再快，专线速度达到100M以上恐怕也是5、6年以后的事情了（租金多少还难说），因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数，认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样，你可以对比这两年同型号产品的公开指标，会发现有些产品的并发连接突然成倍增长。当然，也可能是产品升级了，但是很多情况是厂家为了打标，故意修改的数字。反正大部分用户都没条件测试最大并发，我写个几百万你怎么知道？其实对于百兆防火墙来说，有100万的并发应该足够了，富富有余。其他的指标也一样，按需选择才是根本。