在防火墻產品的選購中用戶應考慮哪些因素

在防火墻產品的選購中用戶應考慮以下因素：

• 防火墻自身的安全性:防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。

• 系統的穩定性:目前，由于種種原因，有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。

• 是否高效:高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。一般來說，防火墻加載上百條規則，其性能下降不應超過5%（指包過濾防火墻）。

• 是否可靠:可靠性對防火墻類訪問控制設備來說尤為重要，直接影響受控網絡的可用性。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗余部件，這要求有較高的生產標準和設計冗余度。

• 功能是否靈活:對通信行為的有效控制，要求防火墻設備有一系列不同級別，滿足不同用戶的各類安全控制需求的控制策略。例如，對普通用戶，只要對IP地址進行過濾即可；如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問。

• 配置是否方便:在網絡入口和出口處安裝新的網絡設備是每個網管員的噩夢，因為這意味著必須修改幾乎全部現有設備的配置。支持透明通信的防火墻，在安裝時不需要對原網絡配置做任何改動，所做的工作只相當于接一個網橋或Hub。

• 管理是否簡便:網絡技術發展很快，各種安全事件不斷出現，這就要求安全管理員經常調整網絡安全策略。對于防火墻類訪問控制設備，除安全控制策略的不斷調整外，業務系統訪問控制的調整也很頻繁，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現為管理途徑、管理工具和管理權限。

• 是否可以抵抗拒絕服務攻擊:在當前的網絡攻擊中, 拒絕服務攻擊是使用頻率最高的方法。抵御拒絕服務攻擊應該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務攻擊，但嚴格地說，它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊。在采購防火墻時，網管人員應該詳細考察這一功能的真實性和有效性。

• 是否可以針對用戶身份過濾:防火墻過濾報文，需要針對用戶身份而不是IP地址進行過濾。目前常用的是一次性口令驗證機制，保證用戶在登錄防火墻時，口令不會在網絡上泄露，這樣，防火墻就可以確認登錄上來的用戶確實和其所聲稱的一致。

• 是否可擴展、可升級:用戶的網絡不是一成不變的，和防病毒產品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網絡是不設防的，同時用戶也要為此花費更多的錢。

回答所涉及的環境：聯想天逸510S、Windows 10。