首先要明確，防火墻不是路由器、交換機(jī)或者服務(wù)器，

選擇防火墻應(yīng)該考慮的幾方面服務(wù)器教程

。（雖然看起來比較象）所以不能用那些產(chǎn)品的指標(biāo)來選擇防火墻。那么選擇防火墻應(yīng)該注意哪些方面呢？

    一安全性：這是重中之重。安全性不高的防火墻，其他性能再好也是空談。安全性包括幾個(gè)方面，自身安全性、訪問控制能力和抗攻擊能力。

    自身安全性主要是指防火墻系統(tǒng)的健壯性，也就是說防火墻本身應(yīng)該是難以被攻入的。還有防火墻的管理方式也很重要。管理員采用什么方式管理防火墻，是telnet還是web，有沒有加密和認(rèn)證等等。

    訪問控制能力是防火墻的核心功能。訪問控制能力包括控制細(xì)度，也就是能控制哪些內(nèi)容，比如地址、協(xié)議、端口、時(shí)間、用戶、命令、附件等等。還要注意的就是控制強(qiáng)度，也就是說應(yīng)該限制的內(nèi)容必須全部阻斷，應(yīng)該通過的內(nèi)容不應(yīng)該有任何阻斷。

    抗攻擊能力是指防火墻對(duì)各種攻擊的抵抗能力，

電腦資料

《選擇防火墻應(yīng)該考慮的幾方面服務(wù)器教程》(http://www.ishadingyu.com)。包括抵御攻擊的種類，數(shù)量。特別是對(duì)DOS和DDOS攻擊的抵抗力。目前對(duì)于DDOS攻擊還沒有什么完善的解決辦法。因此對(duì)DDOS攻擊主要看能抵御的強(qiáng)度有多大。

    用戶在選擇防火墻的時(shí)候，自己來判斷以上這些性能是很困難的。因?yàn)橛脩魶]有專門的測(cè)試工具和手段。用戶可以根據(jù)一些第三方的認(rèn)證和評(píng)測(cè)來輔助判斷。比如能否擁有安全性較嚴(yán)格的軍隊(duì)認(rèn)證、還有就是中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心的等級(jí)證書。現(xiàn)在用的標(biāo)準(zhǔn)是國(guó)標(biāo)GB/T18336，等級(jí)越高越好，一共7級(jí)。（不過現(xiàn)在最好的好像也就是EAL3 ）

    二網(wǎng)絡(luò)性能。

    防火墻是個(gè)網(wǎng)絡(luò)設(shè)備。在保證安全的基礎(chǔ)上，應(yīng)該最大程度減少對(duì)網(wǎng)絡(luò)性 能的影響。對(duì)于網(wǎng)絡(luò)性能，主要就是看最大帶寬、并發(fā)連接數(shù)、每秒新增連接數(shù)、丟包和延遲。這些指標(biāo)和交換機(jī)、路由器都是相同的，這里就不多說了。但是有一點(diǎn)要注意。防火墻在策略起作用和全通策略的狀態(tài)下，上述指標(biāo)都是不一樣的。用戶一定要考慮實(shí)際環(huán)境。比如先按照用戶的要求添加多少條策略（全通策略在最后）然后再測(cè)試。傳說中有的百兆防火墻小包（64字節(jié)）通過率能達(dá)到70%以上，甚至90%，我覺得在實(shí)際使用中一定不可能。之所以能夠測(cè)試出這樣的數(shù)據(jù)只有兩個(gè)可能：一是采用高性能硬件， 比如采用了千兆網(wǎng)卡芯片，二是在測(cè)試機(jī)的內(nèi)核做手腳。