在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让企业在选择购买防火墙的时候感到困惑，下面就来介绍如何才能选购到称心如意的防火墙。
　　
　　一、了解防火墙应具备的基本功能
　　
　　支持“除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使用的策略;本身支持安全策略，而不是添加上去的;如果组织机构的安全策略发生改变，可以加入新的服务;有先进的认证手段或有挂钩程序，可以安装先进的认证方法;如果需要，可以运用过滤技术允许和禁止服务;可以使用FTP和Telnet等服务代理，以便先进的认证手段就可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
　　
　　火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问。防火墙应把信息服务器和其他内部服务器分开。
　　
　　二、企业规模应与选购的许可证相统一
　　
　　许可证跟授权用户类似。企业需要根据自己公司网络的规模，来选择合适的许可证数。如“10个用户许可证”，其最多支持10个来自内部网络中不同IP地址的并发连接通过防火墙，并同时提供了最多可达32个租约的DCHP服务器的支持。如“50个用户许可证”可以最多支持50个来自内部网络中不同源IP地址的并发连接，还提供了最多可达128个租约的DCHP服务器支持。而“无限个用户许可证”则支持无限个来自内部网络中不同源IP地址的并发连接。这里需要注意，DHCP租约并不是无限个，而是最多支持可达256个租约。
　　
　　企业在选购的时候，可以根据实际需要来进行选择。这里一般不会发生重复投资的问题。也就是说，以后需要更多用户许可证的话，只需要通过升级就可以增加用户的数量，而不用更换原有的设备。故对于资金比较有限的企业来说，一开始不用选择太多的用户许可证。在需要的时候，再进行增加即可。
　　
　　三、是否需要附加的以太网接口
　　
　　在一些大型企业中，可能需要附加的以太网接口。如对于一个工业园区来说，其内部有5个大型的企业。工业园区的管理部门不可能为每个企业部署一个单独的防火墙。出于节省成本的考虑，会让他们使用同一个防火墙。而为了他们互不干扰，又会通过添加以太网接口的方式，来进行分流。故在选购防火墙的时候，其能够支持的以太网接口的数量也是非常重要的。而在实际工作中，往往需要的接口数量比较难以估计。而且随着后续企业的发展，其也是在不断变化的。另外从成本上考虑，多一个以太网接口，其成本也会高出不少。为此在防火墙设计的时候，往往是采用模块的方式。就好像普通的PC，可以根据需要在主板上插一定数量的网卡。大部分防火墙在设计时也是如此设计的。
　　
　　诸多初期企业出于成本的考虑，可以不附加以太网接口。等到以后发展到一定规模的时候，再根据需要购买模块来增加以太网接口的数量。最重要的是，这个过程中不需要更换原有的交换机，而只是增加一个模块而已。不过作为企业网络管理员来说，还是需要预估以下，未来可能需要的以太网接口的最大数量。免得到时候以太网数量接口插糟不足而引起的麻烦。
　　
　　四、是否具备故障切换功能
　　
　　百密难于一疏，再精密的防火墙，也会因为自然损害、电压不稳等原因，造成防火墙运行故障。而对于网络的安全与可用性要求特别高的企业来说，有必要实现防火墙的自动故障切换功能。简单的说，就是在企业内网与外网的联接口，部署两台或者两台以上的防火墙。当系统检测到某台防火墙出现故障的时候，会自动切换到另外一台没有故障的防火墙上。如此的话，在保障安全的同时也提高了防火墙的可用性。
　　
　　在选购企业级别的交换机之前，企业网络管理人员需要确认，是否需要防火墙的故障自动切换功能。在一般的防火墙面板上有三个状态LED灯，用于指示系统电源、系统是否处于活动状态、以及在接口上是否有网络数据流量通过等等。如果有两个运行在故障切换模式中的防火墙，则将指示哪个防火墙处于活跃状态，哪个防火墙是处于备用状态的。
　　
　　另外需要注意的是，故障切换功能跟许可证多少不一样。故障切换功能是需要通过硬件来实现的。也就是说，现在企业可能不需要这个故障切换功能。以后如果需要的话，那么只有重新购买防火墙，而不能够通过升级来增加这个功能。即可能会造成比较大的重复投资。为此在选购防火墙之前，作为企业网络管理人员来说，需要确认清楚，免得造成不必要的浪费。
　　
　　五、防火墙的吞吐量
　　
　　在企业中防火墙就相当于一幢大楼的大门。大门的大小直接决定了在同一时间可以通过的人数。如果大门不够大，当人数一多，就会发生拥塞。对于企业网络来说，如果防火墙的吞吐量不够大的话，就会引起网络的拥塞，从而大大降低企业网络的性能。
　　
　　在防火墙的标签上，往往会写明其吞吐量。这个吞吐量一边指的就是防火墙处理数据发速度，是理论上的最高速度。为此在选购的时候，这个说明书上的吞吐量只是一个参考值。其实际的吞吐量还跟防火墙的接口速度、连接链路的速度和分组的大小等等。在大部分情况下，防火墙都达不到其理论上的最大速率，如果能够达到8成已经算是不错了。大家在办理网络宽带的时候，可能对方高速你到达你家的速度有2M或者3M。但是你在家里上网的时候，永远也达不到这个速度。这是同样的道理。
　　
　　吞吐量不够大的话，会直接影响到网络的性能。特别是某些企业，可能会在防火墙内部部署一些服务器，如Web服务器、FTP服务器、OA服务器等等，供外网的用户访问。此时更加要确保防火墙有足够大的吞吐量。否则的话，通过互联网访问，速度本来就慢。再在防火墙上卡一下的话，反映就会变得更加迟钝了。
　　
　　随着网络安全的迅速发展，对于企业来说，购买一个适合自己企业的防火墙越来越重要，所以，希望以上五点能都对当今企业有所帮助。

　　责任编辑：Cat蕊