防火墙是用于防止网络环境中非法访问的安全设备，其基本工作原理是对各种类型的恶意访问进行筛选和过滤。防火墙产品可以通过软件、硬件或二者相结合的方式来实现，通常硬件防火墙的性能要强于软件防火墙，并且连接、使用比较方便，而软件防火墙在功能和可配置性上要更加强大，可以更容易的构建厨比较复杂的防御策略；防火墙的工作原理主要是按照定义的访问规则对通过防火墙的通信进行过滤，主要的防火墙类型包括包过滤、代理服务、应用层网关以及这三种类型的结合体。

    现在市面上的防火墙品牌丰富、价格繁杂，信息安全消费者在进行选择的时候往往容易迷失在种种数据和宣传之中，而无法购买到适合自己的防火墙产品，下面我们针对硬件防火墙概略的描述一下选购时需要注意的主要问题，并结合我们购买和使用硬件防火墙产品的经验为大家提供一些建议，希望可以对大家有所帮助。

防火墙本身的安全性

    由于防火墙本身会暴露在网路访问之下，所以其自身的安全性是一个应该优先被考虑的问题，例如产品本身所采用的系统架构是否健壮、是否存在安全漏洞、是否有被拒绝服务攻击击溃的历史等，而且还要着重了解一款产品在功能和配置上是否可以处理IP欺骗、口令猜测等常见的攻击手段，另一个值得注意的问题是需要考察防火墙所支持的认证方式，支持方式较为广泛、与网内认证措施协同较好的产品无疑具有更高的安全性，而且也可以避免成为整体安全环境中的“短板”。

数据处理性能

    防火墙产品的性能应该说是选购硬件防火墙时最被重视的一个方面，而性能差距的核心主要是防火墙处理数据包的能力，主要的衡量指标包括吞吐率、转发率、丢包率、缓冲能力和延迟等，通过这些参数的对比可以了解一款硬件防火墙产品的硬件性能，这方面的数据不能完全比照厂商所标称的数据，应该同时多多参照一些第三方的防火墙性能评测报告；另外，防火墙在包处理时采用的算法等因素也会在很大程度上影响防火墙在实际使用中的性能表现，例如关注在配置了大量访问规则之后防火墙的性能是否有较大下降就可以从侧面分析出该产品的算法设计是否优秀。

可管理性

    一款防火墙的配置管理是否容易直接决定了安全管理员的工作量，也是防火墙产品能否很好应用的重要保障，如果一款产品的配置非常复杂凌乱，很容易造成安全策略实现上的错误，埋下安全隐患，所以易用性也是需要仔细考察的一个方面，从整体拥有成本来说，不要因为价格上便宜就购买一些操作界面设计有问题的产品或配置非常复杂的产品，特别是在非常复杂的信息环境下，管理成本和维护成本的增加会很快消耗掉在购买时节省的钱。

日志能力

    任何安全系统都有被攻破的可能，对于攻击者来说，最大的安全威慑不是部署何种安全装备，而是在攻击行为发生后，被攻击方是否有足够的证据和信息提出法律诉讼，所以在关心了功能和性能方面的参数之后，一定不要忽略防火墙产品的日志处理能力，一款日志功能强大的防火墙，记录的项目应比较全面，可以有效的防范日志被窜改，并能利用多种途径将日志数据定期备份到指定机器；同时，要考察防火墙产品的日志查看能力，包括查看途径的多少、信息显示的合理性等。

厂商的实力

    每种产品都有其生存周期，象防火墙这种需要不断更改配置的产品其购买后的服务就显的尤其重要，建议在综合条件相近的情况下尽可能的选择一些有实力的厂商推出的产品，这个实力包含了技术研发能力、服务队伍综合素质、升级承诺、问题响应速度等，这些后续的支持其实在很大程度上决定了一款产品的应用价值；我们建议多多听取其它用户的意见，了解各种产品的口碑，也可以亲身考察厂商的服务能力，例如我们就经常整理一些问题然后拨打厂商的服务电话，来判断厂商的服务规程和人员能力。

产品兼容性

    信息安全的保障需要依赖设计良好功能完整的体系，单单靠一种产品是无法决决所有问题的，所以在选购安全产品的时候应注意该产品与其他安全部件以及现有设备之间的兼容性，否则购买之后如果在整体环境中造成冲突，将极大浪费宝贵的安全投资；这方面的信息通过查询产品资料或联络厂商通常就可以得到，另外需要注意的是，象防火墙这种通用的产品，在行业内通常都有很多开放式接口，用于产品开发者处理不同厂商和不同类型产品的互连问题。绝对不是一种产品就能全部解决问题的。因此，要保证所购买的产品与其他信息安全产品能够良好的协同工作。值得注意的一点是，不要主观的认为同一厂商的产品在协同运行的时候都毫无问题，很多厂商在开发不同的产品时根本就没有考虑系统互操作的问题。

更多的……更丰富的……

    除了以上的一些基本能力之外，根据消费者需求的不同，还有很多需要考虑的问题，例如是否支持通过TFTP进行备份、是否可以利用浏览器管理、端口数量多少、通讯协议的支持情况等等，而且现在很多防火墙厂商为自己的产品加入了越来越多的功能，从最常见的集成NAT、VPN、DNS能力，到近年来比较受欢迎的集成防病毒功能，但我们认为在选购防火墙时还是首先考察基本功能和性能，不要过分的看重附加功能，因为一款防火墙产品集成的功能越多就越容易出现问题，毕竟安全产品的可靠性是第一位的，而且很多厂商在增加这些功能时只是为了跟风或者创造噱头，在技术处理上并不是绝对过硬，另外这些功能毕竟要消耗防火墙的处理能力、存储能力，所以还是尽量把眼光集中在必要的功能上，相信只要秉承实用的原则，仔细认真的进行挑选，您一定能购买到一款贴心好用的硬件防火墙。