数据说话 硬件防火墙选购经验谈(下)

核心提示： 二，与时俱进IPV6需兼容：（如图2） 正如上文所说我们在选购硬件防火墙时需要将日后的升级和改造因素考虑进去，数据说话 硬件防火墙选购经验谈(下)(2)，因此在网络IP地址兼容性方面必须考虑IPV6的引入，在国内很多设备目前都是双网运行，虽然目前硬件防火墙还不能够从根本上彻底避免DDos对

二，与时俱进IPV6需兼容：（如图2）

正如上文所说我们在选购硬件防火墙时需要将日后的升级和改造因素考虑进去，因此在网络IP地址兼容性方面必须考虑IPV6的引入。在国内很多设备目前都是双网运行，IPV4与IPV6并存，未来国内网络也会逐步推进IPV6网络的发展，因此在硬件防火墙设置以及选购时IPV6的完美支持非常重要。

三，安全功能不拖后腿：

硬件防火墙除了日常使用的包过滤和协议过滤等功能外，其他针对网络的扩展功能也是需要在选购时考虑清楚的。硬件防火墙自身的安全功能不能脱日后网络过滤的后腿。根据笔者参与政府采购以及多次选购硬件防火墙的经验，以下安全功能需要在购买前进行权衡。

（1）支持敏感文件类型过滤，支持Java Applet、ActiveX阻断，支持URL过滤、URL关键字过滤、URL列表上载、下载。工作模式支持路由、NAT、透明及混合等多种模式。这些组件和插件程序都随时随地威胁我们的内网应用，所以硬件防火墙应该有效支持对他们的过滤。

（2）支持各种IP服务，支持各种工作模式下多媒体协议（如H.323）的安全控制和通过。H.323多媒体协议在VOIP等语音技术中广泛应用，因此如果想在企业内网建立VOIP语音通讯系统的话，硬件防火墙就一定要能够针对相关协议进行安全控制和适当过滤。

（3）支持抗DoS/DDoS攻击提供SYN Flood攻击防护、畸形报文防护、IP 报文分片攻击防护、IP 异常选项检测、TCP 异常检测、IP地址欺骗防护、IP地址扫描攻击防护、端口扫描防护。DDos是目前威胁服务器和企业腽肭蜾蠃应用的主要杀手，因此一台性能高效的硬件防火墙针对DDos的防御能力是需要在选购时深思熟虑的。虽然目前硬件防火墙还不能够从根本上彻底避免DDos对企业网络的攻击，但是好的硬件防火墙可以过滤掉尽可能多的攻击，从而最大限度的减少DDos对企业带宽和资源的损耗。