硬件防火墙选购指南：功能篇

硬件防火墙选购已经被不少企业提上议程，防火墙选购方法是企业安全管理员们最想了解的问题。我们在硬件防火墙选购指南：数据篇中，通过对数据的分析谈了谈关于硬件防火墙的选购方法，那么本篇我们将通过硬件防火墙的功能侧面谈谈如何选购。

硬件防火墙选购指南一，科学功能不可缺：

对于硬件防火墙来说如何有效的分清非法用户以及授权用户对内网的访问是非常关键的，很多企业在外都有分支机构，分支网络要想接入到本部网络中必须通过科学接入服务，因此对于企业级硬件防火墙来说科学功能是不可获缺的。

通过科学我们可以将远程授权用户或远程授权网络与本部区域进行连接，而另一方面非法用户以及没有获取相关权限的用户是不能够顺利穿越防火墙的。因此在我们选择硬件防火墙时是否支持科学功能是一个主要考察因素。

除了科学功能外防火墙所支持的科学隧道数同样含糊不得，对于具备一万个节点的网络来说防火墙应该支持的科学隧道数在2000以上，这样才能够保证同时多人次多终端的访问能够顺利接入。另外最好在考察防火墙时确定其自身的科学是集成硬件的方式，支持Site-to-Site科学，支持科学星形部署方式，支持多端口并发科学隧道功能。支持科学隧道的NAT穿越，支持IPSEC科学，支持SSL科学，可支持用户B/S方式无缝接入，支持USBKEY进行SSL科学双因素认证。总之关于科学的功能越全越好，毕竟网络安全问题很大一部分都是由于外网接入与访问造成的，所以科学功能的强大与否直接决定企业网络安全。同时强大的科学扩展功能和访问应用技术可以为日后硬件防火墙和企业内网安全系统升级做好充足的准备。

硬件防火墙选购指南二，与时俱进IPV6需兼容：

正如上文所说我们在选购硬件防火墙时需要将日后的升级和改造因素考虑进去，因此在网络IP地址兼容性方面必须考虑IPV6的引入。在国内很多设备目前都是双网运行，IPV4与IPV6并存，未来国内网络也会逐步推进IPV6网络的发展，因此在硬件防火墙设置以及选购时IPV6的完美支持非常重要。

硬件防火墙选购指南三，安全功能不拖后腿：

硬件防火墙除了日常使用的包过滤和协议过滤等功能外，其他针对网络的扩展功能也是需要在选购时考虑清楚的。硬件防火墙自身的安全功能不能脱日后网络过滤的后腿。根据笔者参与政府采购以及多次选购硬件防火墙的经验，以下安全功能需要在购买前进行权衡。

(1)支持敏感文件类型过滤，支持JavaApplet、ActiveX阻断，支持URL过滤、URL关键字过滤、URL列表上载、下载。工作模式支持路由、NAT、透明及混合等多种模式。这些组件和插件程序都随时随地威胁我们的内网应用，所以硬件防火墙应该有效支持对他们的过滤。

(2)支持各种IP服务，支持各种工作模式下多媒体协议(如H.323)的安全控制和通过。H.323多媒体协议在VOIP等语音技术中广泛应用，因此如果想在企业内网建立VOIP语音通讯系统的话，硬件防火墙就一定要能够针对相关协议进行安全控制和适当过滤。

(3)支持抗DoS/DDoS攻击提供SYNFlood攻击防护、畸形报文防护、IP报文分片攻击防护、IP异常选项检测、TCP异常检测、IP地址欺骗防护、IP地址扫描攻击防护、端口扫描防护。DDos是目前威胁服务器和企业腽肭蜾蠃应用的主要杀手，因此一台性能高效的硬件防火墙针对DDos的防御能力是需要在选购时深思熟虑的。虽然目前硬件防火墙还不能够从根本上彻底避免DDos对企业网络的攻击，但是好的硬件防火墙可以过滤掉尽可能多的攻击，从而最大限度的减少DDos对企业带宽和资源的损耗。

(3)支持多链路负载均衡，即A链路断开自动切换到B链路。此功能在上文中已经在冗余环节上做过介绍，这里就不再详细说明了，总之支持多路负载均衡一方面可以提高网络运行效率，另外一方面可以提供线路的保护功能，保证企业网络畅通无阻。

(4)故障诊断类型包括设备故障、链路故障、接口状态故障等;同时需要支持802.3ad链路聚合功能，可利用多条pppoe链路组建低成本高带宽链路。即总速率=A链路+B链路之总和。

(5)内置防ARP攻击客户端，可自动分发全网。这样就可以从内网下手避免内网病毒对防火墙的攻击。从而在第一时间揪出“内奸”来。

硬件防火墙选购指南四，管理功能需关注：

硬件防火墙的功能强大与否直接决定着内网运行以及相关应用的稳定，不过任何设备都是用户来使用的。没有好的设备只有最适合自己的，对于硬件防火墙来说并不是越贵越好，功能越全越好。我们在购买硬件防火墙前除了要针对上述多个方面进行考虑外，硬件防火墙自身的管理功能也需要考虑在内。只有将强大管理功能以及良好的管理界面整合到硬件防火墙自身中，才能够让用户配置更加得心应手，让硬件防火墙可以更好的为企业网络服务。基本的管理功能主要有以下几点。

(1)提供安全、友好、易用，可扩展式的全中文的Web管理界面，提供Telnet、SSH、HTTP、HTTPS、SNMPv1/v2c管理方式。

(2)支持带宽管理功能：支持带宽的保证、限制和优先级的功能，支持上下行方向分别控制。

(3)支持对BT/eMule/迅雷等P2P软件的控制，支持对MSN/QQ等IM即时通讯软件的合理控制。

硬件防火墙选购指南五，资质问题重中之重：

最后我们来谈一谈在选购硬件防火墙时一些“硬指标”，这些硬指标一般在政府采购时生效。说白了我们在选择硬件防火墙时需要考虑以下几个资质问题，只有具备相关资质和认证的厂商才能够进入候选名单。

笔者收集整理的相关资质问题包括——软件著作权登记证，公安部销售许可证，国家信息安全测评认证，军用信息安全产品认证以及国家保密局涉秘信息系统检测证书。必要时我们购买前需要审核厂商的相关资质信息。

硬件防火墙选购指南六，总结：

总之购买硬件防火墙是件非常重要的事情，一方面硬件防火墙的价格都比较高，选购时要特别慎重;另一方面一旦功能上存在缺陷无法胜任企业内网应用所带来的“停网”恶果是严重的;当然选购硬件防火墙时需要注意的事情还有很多，本文只是针对几个方面的经验进行了介绍，任何硬件防火墙都离不开人的配置。因此除了硬件防火墙自身的硬件功能外我们还需要多学习多思考，针对硬件防火墙的软件和参数进行合理设置，这样才能够建立一套安全稳定的内网系统。

【编辑推荐】