【IT168 专稿】网吧中的电脑数量多，网民计算机水平不高，互联网的病毒、木马、黑客无所不在，网吧网络的安全极其重要，否则一旦干扰病毒、木马，甚至受到黑客的恶意攻击。因此，网吧应该选择安全性高的硬件防火墙，以抵御病毒或木马的攻击，但由于市面上的防火墙质量参差不齐，价格差异比较大，因而网吧业主需要掌握硬件防火墙的选购知识。

　　一、防火墙在网吧的作用

　　在很多网吧中，病毒入侵与非法攻击是网吧最大的安全隐患，网吧业主常常为了应付五花八门的病毒而疲于奔命，而且还要时刻提防着黑客的恶意攻击，尽管在电脑上已经安装了一大堆形式各样的杀毒软件、防火墙，但总是显得无能为力，即便是网吧可以使用路由器或交换机内置的硬件防火墙，但面对着网民不断抱怨网络时断时续、忽上忽下的情况，这类附带防火墙功能的网络设备依然有觉得有点不堪一击，不仅给网吧网络的维护带来压力，同时还影响网吧的形象，甚至会造成硬件设备的损坏，网络安全产品和解决方案越来越受各网吧业主的关注，在众多的安全产品中，硬件防火墙无疑是保障网络安全的第一道防线。

　　图1，防火墙在网吧中的作用

　　在网吧环境下，由于网民的应用自由化，PC上的资源开放，电脑上的很多数据容易被暴露无遗，甚至网民在浏览网页、视频聊天时，很容易给网络黑客窥探，因此，网吧网络的安全策略规定数据必须被保护的情况下，防火墙更显得十分重要，因为它是网吧网络安全策略的具体体现，防火墙不仅提供了真正的安全性，而且还起到了为网管服务器、电影服务器、游戏服务器等盖上一条安全的毯子的重要作用，毫无疑问，在网吧行业竞争以及网络完全威胁提升的时候，选择更好更强的专用硬件防火墙，已经成为各大网吧防御网络黑客攻击的重要手段。

　　图2，适合网吧用的防火墙

　　二、网吧需要哪种防火墙

　　对于防火墙而言，市场上主要有两种，一种是基于软件平台的软件防火墙，这类防火墙功能不强大，一般而言，这类防火墙适合安装在终端计算机上，只能满足保护本地计算机的作用，无法满足整个网吧的网络设备使用。硬件防火墙是一个有软件和硬件设备组合而成，主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，从而保护内部网免受非法用户的侵入，对于网吧而言，由于电脑数量多，网络复杂，为了维护网吧的安全和形象，选择硬件防火墙非常有必要。

　　图3，软件防火墙只适合终端PC

　　硬件防火墙可谓种类繁多，功能各异，价格在1000内的低端产品，适合小型企业或SOHO用户使用。对于60台左右的小型网吧，尽管资金预算不多，但至少应该选择1500元-2000元的硬件防火墙。对于电脑数量达到100台的小型网吧，建议选择2500元级别的硬件防火墙，以满足安全保护的实际需求。如果规模在200台以上的中型网吧，建议选择5000元级别的专业级网络防火墙。300台以上的大型网吧，至少选择8000元以上的网吧专业级防火墙，但在实际选购时，必须注意一些问题，比如用户限制数要比较宽，必需具备很强的防黑能力和入侵监控能力，必须具备配合网吧高速、稳定的网络环境，还要易于管理。

　　图4，网吧专用型硬件防火墙

　　三、防火墙选购注意事项

　　对于网吧硬件防火墙的选购，网吧业必须了解网吧的一些基本需求，比如NAT网络地址转换功能，它可以隐藏内部网络真正的IP，可以使黑客无法直接攻击内部网络，而双重DNS方便防火墙进行IP转换时，方便进行自由切换，以避免网吧网络临时断网的现象。VPN虚拟专用网络必不可少，它可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取，同时还必须拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤。防火墙还应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。

　　图5，硬件防火墙的基本功能

　　值得注意的是，防火墙要为网吧提供安全的保障，必须确保它自身的安全，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，也终究不能完全保护内部网络。防火墙的内部系统必须稳定，由于种种原因，有些防火墙的系统尚未最后定型或经过严格的大量测试就被推向市场，其稳定性可想而知，用户在实际选购时，可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断，比如有较高的生产标准和设计冗余度能提高防火墙的可靠性，另外，网吧是一个比较复杂的环境，而防火墙加载上百条规则后，其性能会有所下降，但下降幅度不应超过10％，否则就不要购买。

　　图6，高性能防火墙是网吧首选

　　四、网吧防火墙产品推荐

　　1. Netgear FVS318（参考价格：1690元）

　　Netgear FVS318是一款专用的VPN防火墙，提供了1个10/100M自适应WAN接口、8个10/100M自适应LAN接口，凭借8个自适应Auto Uplink交换局域网端口和网络地址转换路由，可以让多达253台计算机同时使用，内置200Mhz频率的32位RISC处理器，满足了200台左右的中小型网吧的使用需求。利用 SPI、URL 访问和内容过滤、日志记录、汇报及实时告警提供最高的安全性，拒绝服务(DoS)攻击保护和入侵检测。由于能同时启动多达8个IPSec VPN隧道，从而降低网吧的运营成本，最大程度提高网络的安全性。

　　图7，Netgear FVS318

　　2. 趋势 TW100-BRM504（参考价格：2500元）

　　趋势 TW100-BRM504是一款支持路由功能的网络防火墙，提供了1个10/100M自适应 WAN接口和4个RJ-45的10/100M局域网端口，采用了WEB化管理介面，使得安装和维护更加简单而方便。具有VPN 过滤、高级规则、DoS 入侵检测 、ALGs (应用级网关)和端口快速转发功能，支持 DMZ、 虚拟服务器(端口转发)和防火墙规则、 RIP/Static 路由和动态DNS 服务等，最大支持253台计算机同时使用，比较适合中小型网吧使用。

　　图8，趋势 TW100-BRM504

　　3. 合勤Zywall 2 Plus（参考价格：4800元）

　　合勤Zywall 2 Plus是一款支持路由功能的纯硬件VPN防火墙，提供了1个10/100M自适应 WAN接口和4个RJ-45的10/100M局域网端口，支持2条IPSec VPN隧道，自定义的访问控制策略，包含了SPI防火墙以及IPsec 端点，基于状态检测(SPI)和抵御DoS技术，提供绝对的防火墙保护。提供对黑客和其他恶意威胁的第一层保护BlueCoat服务帮助抵制间谍软件，恶意软件和网络钓鱼对您计算机的威胁，适合200台以上的主流网吧使用。

　　图9，合勤Zywall 2 Plus

　　4. 思科ASA5505-UL-BUN-K9（参考价格：5500元）

　　思科ASA5505-UL-BUN-K9是针对有特定需求而设计的企业级防火墙，内置256MB RAM和64MB FLASH，集成了8个快速以太网端口、1个SSC扩展插槽，支持25000个并发连接数，无用户数限制。支持56位数据加密标准（DES）或可选的高级168位三重DES（3DES）加密对数据进行加密，内置高性能防火墙、IPS、以及IPSec 和SSL VPN和IPSec VPN (150 个设备对) 等功能，适合200台以上的主流网吧使用。

　　图10，思科 ASA5505-UL-BUN-K9

　　5.NESCO BV-750（参考价格：8900元）

　　NESCO BV-750是专门针对网吧使用而开发得一款防火墙，采用了VIA 800MHZ的超高性能CPU，16MB FLASH ROM和128MB DRAM，并发连接数能达到120000，内置了专业级的防火墙，利用嵌入式硬件防火墙技术，提供策略式防火墙功能，可主动拦截多种网络攻击类型与自订网络存取规则，提供了PNP功能，可以不用改变电脑的IP地址就可以连入局域网中；还提供了频宽管理功能，可以更为合理的分配带宽，并可以通过管制条理结合负载平衡使用，非常适合网吧使用。

　　图11， NESCO BV-750

　　6. H3C SecPath F100-S-AC（参考价格：9500元）

　　H3C SecPath F100-S-AC是面向企业用户开发的专业防火墙，提供了4个10/100Mbps以太网口、1个AUX口(备份口)、1个CONSOLE口(配置口)，支持25000个并发连接数，支持多种VPN业务，支持RIP/OSPF/BGP/路由策略及策略路由，支持丰富的QoS特性，采用ASPF应用状态检测技术，可对连接状态过程和异常命令进行检测，支持外部攻击防范、内网安全、流量监控、网页过滤、应用层过滤等功能，能够有效的保证网络的安全，适合300台以上的网吧使用。

　　图12，H3C SecPath F100-S-AC

　　7. 中怡数宽 Procon 10（参考价格：9900元）

　　中怡数宽 Procon 10是一款企业管理型防火墙，内建的SPI、DoS防火墙，采用深层检测防火墙技术，在阻止绝大多数黑客攻击的同时，也保证了自身的安全，提供了1个10/100 Mbps以太网(RJ45)/4个10/100Mbps以太网端口，具有远程管理、动态DNS、站点过滤器、地址列表、QoS、代理DNS、多正反双向网页过滤、MAC严格绑定验证，可对蠕虫等病毒的攻击进行有效防御，拥有专用的M3E网络核心，提升速度功效3倍多，适合300台以上的网吧使用。

　　图13，中怡数宽 Procon 10

　　8.网泰 FVM-6412（参考价格：11800元）

　　网泰FVM-6412是一款双WAN口高性能VPN防火墙，具备网络攻击DoS侦测与阻挡功能，同时提供追踪警示功能，使用一种状态封包检查的技术，用来过滤穿过负载平衡器到内部网络的封包，支持SNMP管理和400电脑用户，支持60000个并发连接数，支持168位3DES加密的IPSec和微软的PPTP，具有200条通道、300个策略数，支持 QoS频宽管理、网络地址转换(NAT)、内容过滤、端口地址转换(PAT)，可阻挡黑客攻击，适合大型网吧使用。

　　图14，网泰FVM-6412