目前，安全產品品牌很多，一個廠家也有多款不同的防火墻。產品的售價也極為懸殊，從幾千元到數十萬元，甚至上百萬元不等。同時，關于防火墻的新技術新概念層出不窮，讓人眼花繚亂，一般用戶很難作出正確的選擇。本文對防火墻進行了深入分析，希望能夠幫助用戶看清真正需要的是什么。
功能、性能需要綜合評價
功能和性能一直是用戶評價防火墻的主要方面，尤其是性能由于可量化，更是對比的重點，但真正搞明白這兩個問題卻不容易。
為了適應用戶的復雜環境和需求，也為了擁有“賣點”，現在的防火墻一般具有很多功能，這些功能單獨看都沒什么問題，比如雙機熱備功能已經通過測試，H.323動態應用支持也測試通過，但在實際環境中，我們可能需要在雙機熱備情況下使用H.323視頻會議，并要求切換時視頻不中斷，可能有的防火墻就不行了，而類似的組合功能卻是用戶真正需要的。此外，防火墻的功能和性能一般會獨立評估，分為功能測試和性能測試兩部分，功能測試關心單個功能有無，性能測試關心二、三層簡單應用的性能，結果導致功能性能“兩層皮”，不能真正反映防火墻能力：測試中性能很高，但很多功能不能用，在實際使用中，當把常用的功能都打開后，性能變得很低。因此，必須把性能和功能評估結合起來才能真實評價防火墻。具體的評價應從以下幾方面入手：
◆ 2～7層訪問控制功能，尤其是應用層深度過濾，應能與下列功能任意組合使用：地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等；
◆ 安全功能，重點是抗Synflood。防火墻作為網絡的單一通道，要保證受保護網絡的安全，需要重點考察安全防護功能能否在過濾攻擊的同時保證正常訪問，是否對偽造源地址攻擊和真實源地址攻擊同時有效，能否保護服務器免受沖擊。該功能應能和地址映射、端口映射、VLAN Trunk支持、用戶認證、動態包過濾、流量控制等同時或任意組合使用；
◆  實用性能。性能測試一般包括6個主要方面：吞吐量、延遲、丟包率、背靠背、并發連接數、新建連接速率。實用性能即考察在接近用戶真實使用情況下的性能；
◆  新建連接速率，由于網絡應用具有波動性大,即不同時間訪問量差異很大的特點，要求防火墻也能適應這種情況，相應的考量指標即新建連接速率。考慮到用戶網絡和應用的復雜性，還需要打開常用功能，例如：包過濾、內容過濾、抗攻擊，在這種情況下測試新建連接速率。
好的管理是安全的關鍵
因為無法要求每個網絡管理員都是網絡安全專家，所以管理是網絡安全的關鍵。除去權限管理、通信加密外，還需要重點考察單機管理方便性和集中管理這兩個方面。
就單機管理方便性來說，防火墻應能提供多種管理方式，供管理員在不同場合使用，例如：串口命令行方式適合水平較高的管理員對防火墻進行全面管理；SSH方式適合遠程維護管理；Web方式適合遠程配置;GUI方式適合遠程配置和監控。其中，Web方式因為不用安裝客戶端軟件比較方便靈活；GUI安裝比較麻煩，但靈活性較強。
另外，防火墻的大客戶、行業客戶很多，管理成本可能非常高，能否對防火墻進行集中管理也很重要，包括安全策略集中定制和下發、日志集中管理與分析、設備級聯管理與實時監控等。其中，策略的集中管理最重要，因為需要保證整個單位的策略一致和安全。
如果只是看防火墻的宣傳來做事前評估是遠遠不夠的，必須深入了解、仔細對比，根據實際需求進行評估才是有效的。