怎么選擇防火墻？防火墻是目前使用最為廣泛的網絡安全產品之一，運營商在構建物聯網應用系統時通常應該采購防火墻作為網絡安全的重要防護手段，在選購防火墻時應該注意以下幾點：

防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。

2.系統穩定性

目前，由于種種原因，有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。防火墻的穩定性可以通過幾種方法判斷：

(1)從權威的測評認證機構獲得。例如，可以通過與其他產品相比，考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明(書)，來間接了解其穩定性。

(2)實際調查，這是最有效的辦法：考察這種防火墻是否已經有了使用單位、其用戶量如何，特別是用戶們對于該防火墻的評價。

(3)自己試用。在自己的網絡上進行一段時間的試用(一個月左右)。

(4)廠商開發研制的歷史。一般來說，如果沒有兩年以上的開發經歷，很難保證產品的穩定性。

(5)廠商實力，如資金、技術開發人員、市場銷售人員和技術支持人員多少等。

3.高效適用性

高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。一般來說，防火墻加載上百條規則，其性能下降不應超過5%(指包過濾防火墻)。

4.可靠性

可靠性對防火墻類訪問控制設備來說尤為重要，直接影響受控網絡的可用性。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗余部件，這要求有較高的生產標準和設計冗余度。

5.控制靈活

對通信行為的有效控制，要求防火墻設備有一系列不同級別，滿足不同用戶的各類安全控制需求的控制注意。例如對普通用戶，只要對 IP 地址進行過濾即可;如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問。

6.配置便利

在網絡入口和出口處安裝新的網絡設備是每個網管員的噩夢，因為這意味著必須修改幾乎全部現有設備的配置。支持透明通信的防火墻，在安裝時不需要對原網絡配置作任何改動，所做的工作只相當于接一個網橋或hub。

7.管理簡便

網絡技術發展很快，各種安全事件不斷出現，這就要求安全管理員經常調整網絡安全注意。對于防火墻類訪問控制設備，除安全控制注意的不斷調整外，業務系統訪問控制的調整也很頻繁，這些都要求防火墻的管理在充分考慮安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現為管理途徑、管理工具和管理權限。

8.拒絕服務攻擊的抵抗能力

在當前的網絡攻擊中，拒絕服務攻擊是使用頻率較高的方法。抵抗拒絕服務攻擊應該是防火墻的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務攻擊，但嚴格地說，它應該是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊。在采購防火墻時，網管人員應該詳細考察這一功能的真實性和有效性。

9.報文過濾能力

防火墻過濾報文，需要一個針對用戶身份而不是 IP 地址進行過濾的辦法。目前常用的是一次性口令驗證機制，保證用戶在登錄防火墻時，口令不會在網絡上泄漏，這樣，防火墻就可以確認登錄上來的用戶確實和他所聲稱的一致。

10.可擴展性

用戶的網絡不是一成不變的，和防病毒產品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級的話，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網絡是不設防的，同時用戶也要為此花費更多的錢。