【IT168 专稿】 防火墙作为网络边界的安全哨卡，其重要性已经越来越得到企业的认可。这就意味着防火墙的市场需求越来越大。也因此，国内外众多商家纷纷投身防火墙市场的激烈竞争，这样就形成了防火墙产品的品牌、档次五花八门，参差不齐，企业选择防火墙也就眼花缭乱，无所适从。那么，作为企业级用户，如何来选择一款既满足需求，又价格合理的防火墙产品呢？

    笔者认为有几点还是不容忽视的。首先是防火墙的安全性，防火墙本身就是一个用于安全防护的设备，当然其自身的安全性也就显得更加重要。第二 就是根据自己的需要选择合适的产品原则是“够用就好”一台连接到因特网的计算机根本就没有必要选择防火墙。而且如果应用与电子商务的INTRANET（内部网）则需要功能强大，安全性有保证的防火墙。第三 就是防火墙支持的协议，支持的非IP协议：如AppleTtalk，DEcent，IPX等协议。第四 除了功能外价格也是一个重要的因素，在功能相同的状态下，价格才是决定的因素。

    最后在国内防火墙市场上产品繁多，在众多的品牌中要看该品牌是否获得公安部的许可证，这是相当重要的。下面介绍几款企业级的百兆防火墙。

    联想网御 Smart V-50  参考价格：20000元

    网御精五系列安全网关基于PowerPC架构，是联想针对小型企业和行业末端用户精心设计的智能化安全网关。它将防火墙、VPN、入侵检测、交换机的功能融为一体，是中小企业接入级用户内部网边界隔离的理想产品。

    联想网御 Smart V-50支持多种接入模式,除外网接口外，自带一个DMZ接口以及4口内网交换机,采用主动型包过滤技术，抗DoS/DDoS攻击,内置入侵检测模块，IPSec VPN，HTTPS的方式管理，快速配置向导，安全集中管理,配置编辑、保存、备份和恢复。

    在安全域内置4口交换系统，极大的简化了中小型接入用户的网络配置，节省了用户的投资和维护成本。支持在管理中心对设备进行统一部署和配置，完善的集中管理和策略管理系统大大提高了工作效率。在管理防火墙的管理方面，提供友好易懂的配置界面，引导用户快速完成精五的基本配置，降低了对配置网络安全设备的专业技术要求。

    点评：联想网御 Smart V-50防火墙是一款采取包过滤技术的防火墙产品,具有丰富的防黑防毒能力。完善的管理方式使得它适合于普通用户的使用，节省了用户的维护成本。是一款适合中小企业隔离内部网络的防火墙产品。

    WatchGuard Firebox V10    参考价格:8600元

    WatchGuard公司的Firebox Vclass系列防火墙为商业企业、远程办公室、服务提供商和数据中心带来了高速网络安全。Firebox Vclass实现了防火墙安全性、VPN支持及强大的通信管理与快速以太网及千兆位以太网联接之间的完美结合。

    WatchGuard的安全ASIC体系结构可以为多达20,000条VPN隧道提供可扩展支持。安装向导和设备发现实用程序将安装时间缩短到几分钟，Firebox Vclass安全设备包括一台直观的、基于Java的多平台GUI管理控制台，以便进行灵活有效的集中管理。Firebox Vclass采用ASIC处理器，具有32M的内存，一个10/100M的WAN口，一个10/100M的LAN口并提供一个控制端口，网络吞吐量达到75Mbps，用户人数限制为10人。具有抗DoS/DDos的能力，采用SNMP协议对防火墙进行管理。

    点评：WatchGuard Firebox V10具有一般防火墙的大部分功能，支持简单的SNMP协议管理。不过用户人数限制为10人，加上其不到万元的价格，比较适合一些小型企业或者办公室网络环境。

    CISCO PIX-515-R-DMZ-BUN    参考价格:24000元

    CISCO PIX-515-R-DMZ-BUN是思科PIX515系列防火墙中的一款。具有无限软件许可证的PIX 515-R是为那些正在寻求使用基本防火墙功能来实现高性能安全性的企业而提供的入门级Cisco解决方案。它所提供的能力可以处理50000余个同时连接，吞吐量高达170Mbps。支持多达3个以太网接口的PIX 515-R-BUN是一种具有特别高性价比的解决方案。

    PIX 515-UR（无限制）除了提供PIX 515-R-BUN所有的功能以外，还提供故障切换功能和多达6个10/100以太网端口。多出来的4个端口允许更加健壮的传输配置，可以在其上托管一个受到保护的DMZ，从而运行一个网站或执行URL过滤和病毒检测。PIX 515-UR是专为中型企业而设计，能够提供接近170Mbps的吞吐量和10万个同时连接，并实现快速、可靠和价格合理的安全性保护。

    随着公司的发展，安全要求也随之提高。这也是为什么现在Cisco开发一种从PIX-515-R升级到PIX-515-UR的价格合理的升级方法的原因，它能够轻松地对功能和性能进行升级以满足以后的要求。PIX-515-SW-UPG=和PIX-MEM-32=一起可以将有限许可的PIX 515升级为无限制的PIX 515，与购无限制许可证相比，其花费要小。

    点评：CISCO PIX-515-R-DMZ-BUN可以处理50000余个同时连接，吞吐量高达170Mbps，提供三个以太网接口，是一款性能强劲的防火墙。，特别适合那些选择在防火墙之外托管自己的网站或者通过Internet服务提供商（ISP）托管网站，并且需要较合理性价比防火墙解决方案的小型公司。另外，也非常适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。

    华为3Com Quidway SecPath 100F    参考价格:29500元

    华为3Com Quidway SecPath 100F防火墙是华为3Com公司面向企业用户开发的新一代专业防火墙设备,可以作为中小企业的出口防火墙设备，也可以作为中型企业的内部防火墙设备。华为3Com Quidway SecPath 100F防火墙提供4个固定的10/100M自适应FE口 LAN口和3个固定的10/100M自适应FE口 WAN口。提供一个MIM 扩展槽位，目前可选的接口模块有1FE/2FE/NDECII/HDC四种。提供机箱内部环境温度检测功能，并支持网管，满足高可靠性要求。

    该防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能，能够有效的保证网络的安全，采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成动态包过滤。可以提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理，支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络。支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等，可以构建Internet、Intranet、Remote Access等多种形式的VPN。

    点评：此款产品除了防火墙功能外并提供基本的路由能力，支持RIP/OSPF路由策略。丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。作为华为的产品相信其性能是不用怀疑的，而且29500的价格在华为普遍价格较高的产品中也不是很昂贵了。

    小结：

    一般按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类，因为防火墙通常位于网络边界，所以不可能只是十兆级的。上述介绍了几款百兆级的防火墙产品，防火墙主要的作用就是防止网络病毒和黑客的攻击，所以其安全性是最重要的指标。例如目前DoS攻击是网络上非常具有威胁性一种攻击方式，上述的几款产品都具有防止DoS攻击的能力。

    选购时品牌也是非常关键的，防火墙产品技术含量教高，生产这样的设备不仅需要强大的资金作后盾，而且在技术实力上也需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务，对将来的使用更加有保障。所以在选购防火墙产品时千万别贪图一时便宜，选购一些无保障的产品。上述几款产品即有来自国外品牌思科，也有国产的华为、联想这些厂家都是有实力的大厂，选择这些厂家用户还是非常有保障的。