二、购买经验，需要注意的事项

　　既然是硬件防火墙，当然与软件防火墙有本质上的区别，很多用户正在选择防火墙时，将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了最重要问题，那就是防火墙本身也是网上的主机之一，它同样需要安全防护，如果连防火墙自己都不安全了，那怎么能确保网络的安全性呢？比如是否提供了Screened-host安全配置功能，是否具有智能网络入侵检测系统，是否具备IP/MAC地址绑定，是否支持邮件服务器，是否集成VPN安全技术等，都成为购买防火墙时的参考标准。特别是VPN安全技术，它具有管理网络用户权限、NAT地址转换以及虚拟专用网络等功能，VPN技术已经成为很多企业用户采购时参考的基本功能。

　　图3，支持VPN的ZyXEL ZyWALL 2 Plus

　　另外就是易用性，虽然硬件防火墙功能大，但配置也较为复杂，需要网管员对原网络配置进行较大的改动，所以建议购买能工作于混合方式的防火墙，并支持中文界面显示，这样配置起来非常方便，另外是否支持串口终端管理也关键，如果防火墙没有终端管理方式，就不容易确定故障所在。对于企业的日常维护比较麻烦。为了便于日常管理，建议购买具备GUI类管理器的防火墙，它能提供有效、直观的管理方式。同时，为了未来扩展的需要，建议购买支持网络接口扩展功能的机型，很多防火墙只有外部网、内部网和SSN三个接口，如果不能扩展接口，以后扩展起来就比较麻烦，比如希望同时控制两条ADSL宽带线。

　　图4，VPN在网络防护中的作用