怎么選擇防火墻？防火墻是目前使用最為廣泛的網(wǎng)絡(luò)安全產(chǎn)品之一，運(yùn)營商在構(gòu)建物聯(lián)網(wǎng)應(yīng)用系統(tǒng)時(shí)通常應(yīng)該采購防火墻作為網(wǎng)絡(luò)安全的重要防護(hù)手段，在選購防火墻時(shí)應(yīng)該注意以下幾點(diǎn)：

防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時(shí)防火墻自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。

2.系統(tǒng)穩(wěn)定性

目前，由于種種原因，有些防火墻尚未最后定型或經(jīng)過嚴(yán)格的大量測(cè)試就被推向了市場(chǎng)，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法判斷：

(1)從權(quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu)獲得。例如，可以通過與其他產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國家權(quán)威機(jī)構(gòu)的認(rèn)證、推薦和入網(wǎng)證明(書)，來間接了解其穩(wěn)定性。

(2)實(shí)際調(diào)查，這是最有效的辦法：考察這種防火墻是否已經(jīng)有了使用單位、其用戶量如何，特別是用戶們對(duì)于該防火墻的評(píng)價(jià)。

(3)自己試用。在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用(一個(gè)月左右)。

(4)廠商開發(fā)研制的歷史。一般來說，如果沒有兩年以上的開發(fā)經(jīng)歷，很難保證產(chǎn)品的穩(wěn)定性。

(5)廠商實(shí)力，如資金、技術(shù)開發(fā)人員、市場(chǎng)銷售人員和技術(shù)支持人員多少等。

3.高效適用性

高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價(jià)過高。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5%(指包過濾防火墻)。

4.可靠性

可靠性對(duì)防火墻類訪問控制設(shè)備來說尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計(jì)上，提高可靠性的措施一般是提高本身部件的強(qiáng)健性、增大設(shè)計(jì)閾值和增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計(jì)冗余度。

5.控制靈活

對(duì)通信行為的有效控制，要求防火墻設(shè)備有一系列不同級(jí)別，滿足不同用戶的各類安全控制需求的控制注意。例如對(duì)普通用戶，只要對(duì) IP 地址進(jìn)行過濾即可;如果是內(nèi)部有不同安全級(jí)別的子網(wǎng)，有時(shí)則必須允許高級(jí)別子網(wǎng)對(duì)低級(jí)別子網(wǎng)進(jìn)行單向訪問。

6.配置便利

在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個(gè)網(wǎng)管員的噩夢(mèng)，因?yàn)檫@意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置。支持透明通信的防火墻，在安裝時(shí)不需要對(duì)原網(wǎng)絡(luò)配置作任何改動(dòng)，所做的工作只相當(dāng)于接一個(gè)網(wǎng)橋或hub。

7.管理簡便

網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷出現(xiàn)，這就要求安全管理員經(jīng)常調(diào)整網(wǎng)絡(luò)安全注意。對(duì)于防火墻類訪問控制設(shè)備，除安全控制注意的不斷調(diào)整外，業(yè)務(wù)系統(tǒng)訪問控制的調(diào)整也很頻繁，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。

8.拒絕服務(wù)攻擊的抵抗能力

在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率較高的方法。抵抗拒絕服務(wù)攻擊應(yīng)該是防火墻的基本功能之一。目前有很多防火墻號(hào)稱可以抵御拒絕服務(wù)攻擊，但嚴(yán)格地說，它應(yīng)該是可以降低拒絕服務(wù)攻擊的危害而不是抵御這種攻擊。在采購防火墻時(shí)，網(wǎng)管人員應(yīng)該詳細(xì)考察這一功能的真實(shí)性和有效性。

9.報(bào)文過濾能力

防火墻過濾報(bào)文，需要一個(gè)針對(duì)用戶身份而不是 IP 地址進(jìn)行過濾的辦法。目前常用的是一次性口令驗(yàn)證機(jī)制，保證用戶在登錄防火墻時(shí)，口令不會(huì)在網(wǎng)絡(luò)上泄漏，這樣，防火墻就可以確認(rèn)登錄上來的用戶確實(shí)和他所聲稱的一致。

10.可擴(kuò)展性

用戶的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類似，防火墻也必須不斷地進(jìn)行升級(jí)，此時(shí)支持軟件升級(jí)就很重要了。如果不支持軟件升級(jí)的話，為了抵御新的攻擊手段，用戶就必須進(jìn)行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的，同時(shí)用戶也要為此花費(fèi)更多的錢。