安全手册：选择硬件防火墙应注意十件事

　　对于公司网络安全来说，防火墙起的是关键性的作用，只有它，才可以防止来自互联网上永不停止的各种威胁。防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时，应当考虑以下十个方面的因素，以确保企业实现投资、安全性和生产力的最大化。

　　1、必须可以提供值得信赖的安全

　　在市面上，UTM的种类非常多。根据商业模式的不同，一些网络安全设备可以提供大量的功能和全面的服务，但是需要公司承担高昂的价格，而另一些则只包含了基本的服务，但采购的成本也很低。

　　因此，选择的时间一定要确保平台是公认和值得信赖的。Barracuda、思科、SonicWALL公司和WatchGuard都属于拥有市场份额的着名品牌，它们获得的市场份额就是可以提供值得信赖安全的很好的理由。无论你选择什么品牌的防火墙，都应该确保其通过国际计算机安全协会 (ICSA)的认证，符合数据包检测的行业标准。

　　2、具有良好的易用性

　　在安全方面，全球跨国企业需要多级控制管理，但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时，提供友好的图形界面以方便管理。

　　这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下，更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员，并进行调整、升级和更新。

　　在选择基于硬件的防火墙时，考虑到易用性也会带来很大的好处。一个平台越容易进行管理，就越容易找到可以进行安装、维护和故障处理等工作的专业人士。

　　3、必须包含VPN支持

　　防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道，并对其进行监测。在选择基于硬件的防火墙时，应该确保其支持同类设备的基于SSL-和IPSec-保护的VPN连接(以保护点至点或站点到站点VPN)，让员工可以实现安全连接。

　　4、功能选择要符合实际需求

　　在网络策略中，防火墙通常承担公司网络的互联网网关的角色。对于规模较小的办公室，可以让防火墙承担双重责任，即既作为安全设备又作为网络交换机。同时，对于规模较大的办公环境来说，防火墙属于更大结构的组成部分，这时，它承担的唯一责任就是对流量进行过滤。

　　确保防火墙可以对负载进行分配管理。这就意味着它需要配备必要的以太网端口并拥有适当的速度(如果有必要的话，应该选择 10Mbps/100Mbps和/或1000Mbps)。但还有更多要注意的因素，确保你选择的防火墙拥有进行数据包检查的功能，并且可以提供安全服务网关和路由功能。

　　特别要注意的是制造商关于支持最大节点数目的建议。如果超过了路由器的能力，就可能会出现错误，数据传输就会由于缺乏许可或者超过支持范围而中断。

　　5、应该拥有可靠的技术支持

　　硬件出现问题是有可能的。更坏的情况可能是，仅仅因为是新设备并不意味着它一定可以正常工作。全天候的技术支持以及部署过程中的全面技术支持应当包含在和防火墙制造商签定的技术支持合同中。

　　在购买前，应该拨打制造商技术支持团队的电话，了解部署和配置方面的问题。根据答复的速度和内容等情况，可以确定在实地部署出现问题时你将获得服务的情况。

　　6、关注无线网络安全

　　即使在选择基于硬件的防火墙时，公司并不认为这是必须的情况下，也应该将无线网络功能包含进来。IT团队可以在部署的时间关闭无线网络功能。增加无线局域网功能会导致购买成本增加，但对于客户连接或方便地访问网络来说，这是必须的。安全的无线连接是很容易获得的(并不需要购买一台全新的路由器)。对于一家处于变化中的公司企业来说，无线局域网功能可能被证明是必要的。

　　7、可以提供网关安全服务

　　通过设置防火墙，很多公司成功地降低了病毒、间谍软件和垃圾邮件带来的大量威胁。在比较防火墙功能，确定运行费用的时间，为了减低成本，你可以选择在防火墙而不是传统的域控制器或其他服务器上部署这些服务。

　　8、能够进行内容过滤

　　现在很多IT部门都选择使用OpenDNS进行内容过滤，一些防火墙制造商也在设备中提供了网页过滤的选择。对于所有和业务有关的网络服务来说，都需要利用网关安全服务进行内容过滤。这样做的优点是可以实现功能集成在一台设备中。但缺点是，你需要支付相关的费用。

　　因此，在选择基于硬件的防火墙解决方案时，要考虑到公司的需求和预算情况，确定是否应该由防火墙管理内容过滤功能。如果答案是肯定的话，选择一个包含了可靠成熟内容过滤功能的防火墙。

　　9、可以提供专业的监测和报告

　　防火墙可以对关键网络任务进行管理。仅仅一个工作日，一台路由器就可以阻止成千上万的入侵企图、防范各种攻击，并记录失败的网络连接。但这些信息只有包含在易于获取的格式中时，才能为网络管理员提供有效的帮助。

　　对于防火墙来说，不仅需要对重要事件进行监控，而且应该将数据以兼容的格式保存起来。对于一个优秀的防火墙来说，应该至少可以利用电子邮件为重要事件提供警告。

　　10、了解是否具备故障转移功能

　　一些公司可能需要广域网故障转移功能，或者冗余的互联网连接进行自动故障检测和纠正。很多防火墙都不具备自动故障转移支持模式。如果该功能对贵公司来说是至关重要的话，请确认你选择的防火墙包含了无缝切换模式;即使是高端防火墙，在默认情况下，也不一定包括这样的功能。

　　此外，请确保选择的模式符合公司的使用情况。举例来说，如果一个单位拥有两个RJ　-　45广域以太网端口的话，在第2个端口运行无线网卡将没有什么好处。在这种情况下，USB接口的GSM卡或适配器才是比较适当的选择。