防火墙作为一种安全防护设备，在网络中是众多攻击者的目标，要为企业选择一款适合的防火墙，必须从其自身安全性、网络性能、易管理性和灵活性等多方面考虑。

    当企业决定用防火墙来实施组织的安全策略后，下一步就是要选择一个安全、稳定、性价比高的防火墙。防火墙作为网络安全体系的基础和核心控制设备，贯穿于受控网络通信主干线，它对通过受控干线的任何通信行为进行安全处理，同时也承担着繁重的通信任务。要选择一款适合于企业网络应用的防火墙，必须对其进行严格的“入职体检”。

    一、 安全性能

    防火墙作为一种安全防护设备，在网络中是众多攻击者的目标，故其自身的安全性十分重要。安全性不高的防火墙，其他性能再好也是空谈。防火墙安全性包括以下几个方面:

    ● 自身安全性 自身安全性主要是指防火墙系统的健壮性，即防火墙本身应该是难以被攻入的。另外防火墙的管理方式也很重要，应注意管理员采用什么方式管理防火墙，是telnet还是web，有没有加密和认证等等。为了防止冒用，防火墙应该采取密码、电子密钥等设置，并采用强用户认证机制，即管理员必须通过双因子认证，才能登录，并对配置和访问权限进行修改。同时，管理主机与防火墙之间的通信一般采用加密传输。好的防火墙具有双机备份功能，在实现上不应存在高、中风险的安全漏洞。

    ● 访问控制能力 访问控制能力是防火墙的核心功能，包括控制细度和控制强度，控制细度也就是能控制哪些内容，比如地址、协议、端口、时间、用户、命令、附件等; 控制强度指应该限制的内容必须全部阻断，而应该通过的内容不能有任何阻断。

    ● 抗攻击能力 抗攻击能力是指防火墙对各种攻击的抵抗能力。防火墙因为是网络中的众矢之的，所以其抗攻击性不容忽视。防火墙应能抵御以下类型的攻击: 拒绝服务攻击、预攻击扫描、IP假冒攻击、邮件攻击、口令字攻击等，特别是要能应对DOS和DDOS攻击。目前对于DDOS攻击还没有什么完善的解决办法，因此对DDOS攻击主要看能抵御的强度有多大。

    用户在选择防火墙的时候，由自己来判断以上这些性能是很困难的，因为用户没有专门的测试工具和手段，但可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安全性较严格的军方认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用的标准是国标GB/T18336，一共7级，等级越高越好。

    另外，在选购时应考察防火墙的支撑平台，一般来说，防火墙至少应构建于安全操作系统之上，有些产品采用的是专用操作系统甚至是专用的硬件平台，其安全性可以得到更好的保证。

    二、 网络性能

    作为影响网络性能的瓶颈，防火墙的产品性能是用户在选购时必须重点考察的指标。在保证安全的基础上，应该最大程度减少对网络性能的影响。一般的衡量指标主要包括最大吞吐量、延迟、转送速率、丢包率、缓冲能力以及访问控制规则对防火墙性能的影响。吞吐量指防火墙在不丢包的情况下能够达到的最大速率，通常将它作为衡量防火墙性能的最重要的指标，我们所说的百兆防火墙、千兆防火墙都是根据吞吐量来衡量的。

    对于网络性能，主要指标是最大带宽、并发连接数、每秒新增连接数、丢包和延迟等。防火墙在部分策略起作用和全通策略的状态下，上述指标都是不一样的。针对防火墙性能的选择，一直都有个误区，即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。但实际上这项数据对用户到底有多少指导意义呢？试想，用户哪里有纯粹的64字节的UDP流量？所以，在进行性能选购时，应测试防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能，以及混合不同包长和协议后的延迟，在实施DOS攻击情况下，防火墙启动攻击防御，测试此时穿越防火墙的VoIP的服务质量，上述这些参数在实际应用中才更有参考价值。用户一定要考虑实际环境，比如先按照用户的要求添加若干条策略（全通策略在最后）然后再测试。

    对性能的考察需要专业的测试，用户在购买产品时听取厂商关于其产品性能的介绍只是一个方面，更为重要的还是权威测评机构出具的性能测试报告。