選擇防火墻產品時要注意哪些方面

選擇防火墻產品時要注意以下方面：

• 防火墻自身的安全性：防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。

• 系統的穩定性：目前，由于種種原因，有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。

• 高效性：高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性，也體現了企業用戶使用防火墻產品的代價。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。

• 可靠性：可靠性對防火墻類訪問控制設備來說尤為重要，直接影響受控網絡的可用性，它在重要行業及關鍵業務系統中的重要作用是顯而易見的。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性，增大設計閾值和增加冗余部件，這要求有較高的生產標準和設計冗余度。

• 功能靈活性：防火墻需要能夠有效地控制通信，能夠為不同級別、不同需求的用戶提供不同的控制策略。例如對普通用戶，只要對IP地址進行過濾即可；如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問。

• 配置和管理方便性：一般防火墻系統具有強大的功能，但是其配置安裝的過程也較為復雜，要求較高的技術含量，但是一些支持透明通信的防火墻在安裝時就不需要對網絡配置做任何改動。因此，一個好的防火墻產品應符合用戶的需求，操作方便。

• 是否可以抵抗拒絕服務攻擊：在當前的網絡攻擊中，拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務攻擊，但嚴格地說，它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊。在采購防火墻時，用戶應該詳細考察這一功能的真實性和有效性。

• 是否可以針對用戶身份過濾：防火墻過濾報文，需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前常用的是一次性口令驗證機制，保證用戶在登錄防火墻時，口令不會在網絡上泄露。

• 是否可擴展、可升級：用戶的網絡不是一成不變的，和防病毒產品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網絡是不設防的，同時用戶也要為此花費更多的錢。

回答所涉及的環境：聯想天逸510S、Windows 10。