防火墻日志對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)是至關(guān)重要的防火墻日志應(yīng)具有可讀性，可管理性方面。防火墻應(yīng)具有精簡(jiǎn)日志的能力，協(xié)助管理員從日志中快速檢索到有用的信息。

　　7. 配置的方便性

　　一般技術(shù)人員是不太可能對(duì)其詳細(xì)配置原理全部掌握，因?yàn)榉阑饓ψ鳛橐粋€(gè)高科技產(chǎn)品。所以這就要求防火墻產(chǎn)品在配置上盡可能簡(jiǎn)單，方便。但通常質(zhì)量好的防火墻系統(tǒng)在具有強(qiáng)大功能的同時(shí)，其配置安裝也較為復(fù)雜，需要網(wǎng)管員對(duì)原網(wǎng)絡(luò)配置進(jìn)行較大的改動(dòng)。目前有一種支持透明通信的防火墻在裝置時(shí)不需要對(duì)網(wǎng)絡(luò)配置做任何改動(dòng)，非常適合小型企業(yè)選用。但要注意，市場(chǎng)上并不是所有的防火墻都采用這種通信方式，有些防火墻只能在透明方式下或者網(wǎng)關(guān)方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。

　　8 功能的多樣性

　　但對(duì)于大、中型企業(yè)說(shuō)就應(yīng)當(dāng)高度重視。否則很可能選購(gòu)回來(lái)的防火墻產(chǎn)品根本不能滿(mǎn)足當(dāng)前或者短時(shí)間內(nèi)的未來(lái)需求。 這一點(diǎn)對(duì)于小型企業(yè)來(lái)說(shuō)不是很重要。

　　能夠?yàn)椴煌?jí)別、不同需求的用戶(hù)提供不同的控制戰(zhàn)略。控制戰(zhàn)略的有效性、多樣性、級(jí)別目標(biāo)清晰性以及制定難易水平都直反映出防火墻控制策略的質(zhì)量。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持 NAT 功能，質(zhì)量好的防火墻能夠有效地控制通信。可以讓受防火墻保護(hù)的一方的 IP 地址不被暴露。但注意啟用 NAT 后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前防火墻技術(shù)進(jìn)步很快，功能上也做的五花八門(mén)，用戶(hù)選擇上也比較困難。包過(guò)濾方式上，目前各個(gè)廠商采用的基本上都是基于狀態(tài)檢測(cè)包過(guò)濾功能。其他一些附加的功能可以視實(shí)際的需要而定，例如，對(duì)于沒(méi)有固定主機(jī)的單位，可能需要身份認(rèn)證的功能；對(duì)網(wǎng)絡(luò)資源比較緊張的單位，可能需要帶寬管理的功能以合理控制資源分配；對(duì)于有總部和分支機(jī)構(gòu)的企業(yè)，就可能需要選擇能支持 VPN 通訊功能的防火墻產(chǎn)品等等。

　　最好能提供支持 VPN 通信或者身份驗(yàn)證功能，對(duì)于經(jīng)常有公司內(nèi)部用戶(hù)移動(dòng)辦公的企業(yè)。這樣做有兩個(gè)好處：一是可以大節(jié)省通信費(fèi)用（因?yàn)?VPN 只需要用戶(hù)與本地 ISP 連接即可）另一方面用戶(hù)出差時(shí)可以登錄回公司內(nèi)部自己的服務(wù)器，沒(méi)有其它加密手段或者加密利息比較高時(shí)，這樣身份驗(yàn)證方式是比較實(shí)用的

　　9 ．強(qiáng)大的抗拒絕服務(wù)攻擊能力

　　拒絕服務(wù)攻擊是使用頻率最高的手段。拒絕服務(wù)攻擊可以分為兩類(lèi) 一類(lèi)是由于操作系統(tǒng)或應(yīng)用軟件在設(shè)計(jì)或編程上存在缺陷而造成的這種類(lèi)型只能通過(guò)打補(bǔ)丁的方法來(lái)解決，網(wǎng)絡(luò)攻擊中。如我罕見(jiàn)的各種 Window 系統(tǒng)平安補(bǔ)丁 另一類(lèi)是由于協(xié)議自身存在缺陷而造成的這種類(lèi)型的攻擊雖然較少，但是造成的危害卻非常大。對(duì)于第一類(lèi)問(wèn)題，防火墻顯得有些力不從心，因?yàn)橄到y(tǒng)缺陷與病毒感染不同，沒(méi)有病毒碼作為依據(jù)，防火墻常常會(huì)作出錯(cuò)誤的判斷。防火墻有能力對(duì)付第二類(lèi)攻擊。

　　10 ．良好的協(xié)同工作能力

　　不代表網(wǎng)絡(luò)安全防護(hù)體系的全部，因?yàn)榉阑饓χ皇且粋€(gè)基礎(chǔ)的網(wǎng)絡(luò)平安設(shè)備。通常它需要與防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)等安全產(chǎn)品協(xié)同配合，才干從根本上保證整個(gè)系統(tǒng)的平安，所以在選購(gòu)防火墻時(shí)就要考慮它否能夠與其他平安產(chǎn)品協(xié)同工作。如何檢驗(yàn)它否具有這個(gè)能力，通常是看它否支持 OPSEC 開(kāi)放平安結(jié)構(gòu)）規(guī)范，通過(guò)這個(gè)接口與入侵檢測(cè)系統(tǒng)協(xié)同工作，通過(guò) CVP 內(nèi)容引導(dǎo)協(xié)議）與防病毒系統(tǒng)協(xié)同工作。

　　事實(shí)上很難找到完全符合以上各項(xiàng)要求的防火墻產(chǎn)品。事實(shí)上如何評(píng)估防火墻是一個(gè)十分復(fù)雜的問(wèn)題。一般說(shuō)來(lái)，以上介紹了選購(gòu)防火墻時(shí)所要注意的 10 個(gè)方面。防火墻的平安和性能（速度等）最重要的指標(biāo)，用戶(hù)接口（管理和配置界面）和審計(jì)追蹤次之，然后才是功能上的擴(kuò)展性。用戶(hù)時(shí)常會(huì)面對(duì)安全和性能之間的矛盾。代理型防火墻通常更具安全性，但是性能要差于包過(guò)濾型防火墻。如果用作 Internet 防火墻，即使以 T1 1.544Mbp 或 E1 2.048Mbp 數(shù)字線路接入，防火墻也不會(huì)成為瓶頸。但是企業(yè)網(wǎng)之間如果以 100M 甚至 G 位網(wǎng)絡(luò)相連時(shí)，就會(huì)對(duì)防火墻的端口帶寬性能提出很高的要求。

　　也就是性能價(jià)格比高的產(chǎn)品，依照購(gòu)買(mǎi)或?qū)崿F(xiàn)防火墻需要的經(jīng)費(fèi)來(lái)量化所有提出的解決方法是十分重要的有的防火墻產(chǎn)品可以不花錢(qián)或花很少的錢(qián)（如個(gè)人防火墻）有的則要花上萬(wàn)元或更多的錢(qián)。具體而言，所有用戶(hù)都希望自己買(mǎi)到物美價(jià)廉的產(chǎn)品。除考慮防火墻的銷(xiāo)售價(jià)格外，還要考慮它管理費(fèi)用、維護(hù)費(fèi)用及消耗材料費(fèi)用等。對(duì)于經(jīng)濟(jì)實(shí)力雄厚的公司或大的企業(yè)組織，一般把滿(mǎn)足需要放在第一位，把經(jīng)濟(jì)開(kāi)銷(xiāo)放在第二位，而且還把產(chǎn)品的更新?lián)Q代需要的開(kāi)銷(xiāo)考慮進(jìn)去。而對(duì)一般的機(jī)關(guān)學(xué)校來(lái)，由于經(jīng)濟(jì)條件一般，把產(chǎn)品價(jià)格放在重要位置考慮，只愿開(kāi)銷(xiāo)滿(mǎn)足當(dāng)前急需所購(gòu)產(chǎn)品的經(jīng)費(fèi)，對(duì)未來(lái)網(wǎng)絡(luò)系統(tǒng)的發(fā)展擴(kuò)充換代考慮甚少。只要在滿(mǎn)足實(shí)用性、平安性的基礎(chǔ)上，適當(dāng)考慮經(jīng)濟(jì)性就可以找到自己理想的產(chǎn)品。 

huanghui