用户在选购防火墙产品时，除了从功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，应选择一套符合现有环境需求的防火墙产品。
　　　　好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以只让合法的使用者进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。
　　　　防火墙与代理服务器最大的不同在于防火墙是专门为了保护网络安全而设计的，而一个好的防火墙不但应该具备包括检查、认证、警告、记录的功能，并且能够为使用者可能遇到的困境事先提出解决方案，如IP不足形成的IP转换的问题、信息加密/解密的问题、大企业要求能够透过Internet集中管理的问题等，这也是选择防火墙时必须考虑的问题。
　　　　没有一个防火墙的设计能够适用于所有的环境，所以建议选择防火墙时，还应根据站点的特点来选择合适的防火墙。另外，不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中，防火墙的速度占有很大的比重。如果站点通过T1线路或更快的线路连接到Internet上，大多数防火墙的速度完全能满足站点的需要。
　　　　此外，选择防火墙还有不容忽视的两个要素：
　　　　1.防火墙管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。
　　　　2.防火墙自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点：防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也不能完全保护内部网络。
　　　　大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
　　　　由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。
　　　　最后，需要强调的是，虽然防火墙在当今Internet上的存在是有生命力的，但它不能替代其它安全措施，因此，它不是解决所有网络安全问题的功能较多药方，只是网络安全政策和策略中的一个组成部分，这是用户在决定购买防火墙产品之前就应该明确的问题。
　　防火墙产品
　　　　3Com OfficeConnect Firewall
　　　　3Com OfficeConnect Internet防火墙为小企业提供确保网络安全的廉价和高效的方法。经过ISCA认证的这种防火墙能拒黑客于墙外，还可以用来控制局域网对Internet的使用。用户可以禁止访问不恰当的资料，记录哪些站点最常被访问，以及Internet连接使用着多大的带宽。
　　　　产品特性：
　　　　* 3Com公司的OfficeConnect防火墙安全性产品系列新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。
　　　　* OfficeConnect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击。它还可以限制局域网用户对Internet的不恰当使用。
　　　　* OfficeConnect Internet Firewall DMZ可支持多达100个局域网用户。这使局域网上的公共服务器可以被Internet访问，又不会使局域网遭受攻击。
　　　　* 3Com所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省了金钱。
　　　　清华紫光UNISECURE UF3500
　　　　UF3500防火墙具有防火墙和流量控制等功能，结合了网络级包过滤（Network-level Packet Filter）和应用级代理服务器（Application-level Proxy Server）的功能。UF3500使用户可以轻松地设置安全策略、带宽优先级和访问记录。
　　　　产品特性：
　　　　* 网络地址转换（NAT）：隐蔽内部IP地址，增强了安全性，节约了从ISP得到的外部IP地址。
　　　　* 中立区（DMZ）策略：额外的安全层将内外部网络与诸如HTTP、FTP、DNS、MAIL等服务器相隔离。
　　　　* 多级过滤、动态过滤和代理：通过数据包检测，保护内部网络不被破坏，并且保护网络服务和重要的私人数据。
　　　　* URL过滤：按URL地址进行过滤，可分别允许或禁止同一IP上的多个虚拟主机。
　　　　* 基于SSL的浏览器管理界面，允许通过流行的Web浏览器使用https协议管理和配置防火墙，保证了防火墙管理的安全性和易用性。支持浏览器超时退出的功能，保证了管理员离开管理计算机后的安全。
　　　　* 访问记录：用户可配置的带宽使用、网络传输和防火墙系统记录，并可输出，易于用户集成到自己的管理软件中。
　　　　* 传输定制：不仅支持最大流量的控制，还以多优先级方式保护重要任务的应用。
　　　　Cisco PIX防火墙
　　　　Cisco防火墙与众不同的特点是基于硬件，而硬件产品的最大好处就是速度快。众所周知，防火墙的安全性和速度是一对矛盾，而采用大型专用集成芯片便可化解这对矛盾，从而解决防火墙的速度瓶颈问题，这对于网络中心和银行用户而言极为重要。Cisco PIX Firewall便是这类产品，它的包转换速度高达170Mbps，同时可处理6万多个连接。
　　　　将防火墙技术集成到路由器中是Cisco网络安全产品的另一大特色。Cisco在路由器市场的占有率达到80％，在路由器的IOS中集成防火墙技术是其他厂家无可比拟的，这样做的好处是用户无须另外购置防火墙，可降低网络建设的总成本。而且它还可以通过网络远程下载，提供一种动态的网络安全保护。
　　　　产品特性：
　　　　* 实时嵌入式操作系统。
　　　　* 保护方案基于自适应安全算法(ASA)，可以确保最高的安全性。
　　　　* 用于验证和授权的“直通代理”技术。
　　　　* 最多支持250,000个同时连接。
　　　　* URL过滤。
　　　　* HP OpenView集成。
　　　　* 通过电子邮件和寻呼机提供报警和告警通知。
　　　　* 通过专用链路加密卡提供 VPN 支持。
　　　　* 符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520 除外）。
　　　　东大阿尔派NetEye
　　　　NetEye是通过对国外防火墙产品的综合分析，针对我国的具体应用环境，结合国内外防火墙领域里的最新发展提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。目前最新版本为NetEye2.0。
　　　　产品特性：
　　　　* 强大的包过滤功能，提供了包过滤规则的时间属性，以限制网络访问的时间。
　　　　* 面向对象的可视化的规则编辑和管理工具，全新的可视化的管理和配置概念。
　　　　* 双机热备份，即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态，另一个处于备份状态。当工作状态的系统出现故障时，备份状态的防火墙自动切换到工作状态，并保证网络的正常使用。
　　　　* 双向NAT功能，支持在内部网和DMZ区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。
　　　　* 提供三个网络界面，即内网、外网和DMZ区。能够通过管理程序实现对三个区域间的通讯进行访问控制、通讯情况及内容监控、日志审计等功能。
　　　　* 实时入侵检测，可以有效地防范外部黑客对内部网络的攻击，提高了被保护网络的安全性。
　　　　* 对防火墙用户的一次性口令验证，除了可以根据用户的IP地址进行限制外，还可以根据用户的身份进行限制，并提供丰富的身份验证手段。
　　　　东方龙马防火墙
　　　　东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用，它根据系统管理者设定的安全规则保护内部网络，同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。
　　　　产品特性：
　　　　* 动态设置过滤规则的功能。根据实际应用的需要，在建立应用服务的时候动态地增加一组规则，在服务结束的时候，自动地把规则删除。
　　　　* 双向的网络地址转换功能，同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换。
　　　　* 抗攻击和自我保护能力。通过严密的体系结构，可以防范一系列外部黑客的攻击，如抗IP假冒攻击、抗特洛伊木马攻击等。
　　　　* 提供操作简单的图形化用户界面对防火墙进行配置。
　　　　* 采用负载均衡技术，可以智能地将用户的服务请求分布到多台服务器上面，同时，提供容错功能，可以自动隔离出问题的服务器。
　　　　* 通过双机热备份，提供可靠的容错/热待机功能。
　　　　* 提供创新的URL级统计、屏蔽功能，管理员可以根据上述内容控制的统计结果，手动或计算机自动屏蔽某些URL。
　　　　Hisec2000
　　　　Hisec2000防火墙系统是北京高阳信息安全公司开发生产的符合国家管理政策、拥有自主版权的安全产品，并通过公安部检测和认证，具有高效的信息分析能力和数据包过滤功能。
　　　　产品特性：
　　　　* 10/100Mbps运行性能，消除了传统防火墙的网络带宽瓶颈。
　　　　* 提供双向地址转换（NAT）功能，有效隐藏内部网络信息、节省地址资源。
　　　　* 支持两网卡、三网卡或四网卡网络结构划分，提供对中立区访问控制，支持多网段内网结构，提供方便、灵活的网络设置方案。
　　　　* 方便的远程工作站管理模式，具备安全的系统管理员登录机制，友好的可视化系统管理及规则设置。
　　　　* 提供动态包过滤，自适应网络服务保护。
　　　　* 提供多级、多方式、多功能的安全规则设定机制和完善的访问控制机制。
　　　　* 提供DNS转发功能，隐藏内部主机信息。
　　　　中国墙
　　　　北京京联特科技责任有限公司的中国墙系列防火墙是一款软件防火墙，但同时提供封包过滤和应用程序代理两种过滤机制。中国墙防火墙软件包括：防火墙核心软件、一个数据库工具DB Agent和三个管理工作组。
　　　　产品特性：
　　　　* 中国墙（网络版）：中国人自行研发的第一套全中文网络安全防火墙，通过了ICSA（国际计算机安全协会）国际认证。它不但能为企业网络提供安全保障、维持网络系统效率、提供网络防火墙效能分析、有高度应用程序透明性，而且兼顾网络扩充性及网络资源利用管理。
　　　　* 中国墙（服务器版）：China Wall的家族产品，为服务器所研发、制造的专用防火墙。它延续了China Wall的技术与品质，为企业网络安全提供周到的解决方案。
　　　　* 中国墙（个人电脑版）：专门为联网的个人电脑用户设计的防火墙软件。它可以监控个人电脑的网络使用，在保证正常访问网络的同时确保电脑安全。
　　　　* 互联网净化器（Anti-X）：可配合一个自动搜寻找出的色情网站数据库，自动有效地达到拒绝网络色情的功能，达到网络净化的目的。
　　　　长城
　　　　中科网威公司提供了一系列的安全产品，包括防火墙、扫描评估系统以及网站监控和恢复系统，这些构成了电子商务网络安全总体解决方案里的一部分。但是光有这些产品是不够的，还需要和加密认证、防病毒等厂商联合起来，做成一个整体解决方案。中科网威公司为企业提供的服务就是把自己的产品结合其他公司的产品，提供一个整体的解决方案。其“长城”防火墙II型以其优越的性能已经广泛应用到各个行业，其中包括军队和国务院新闻中心。

转载地址：http://www.netsp.com.cn/Article/netsafe/FW/200506/20050602132637.html