選購(gòu)防火墻時(shí)應(yīng)注意以下問(wèn)題。

1.制定合適的安全策略

考慮把防火墻放在網(wǎng)絡(luò)系統(tǒng)的哪一個(gè)位置上，才能滿足網(wǎng)絡(luò)安全需求，才能確定欲購(gòu)的防火墻所能接受的風(fēng)險(xiǎn)水平。

2.了解防火墻的基本性能

(1)防火墻除包含先進(jìn)的鑒別措施，還應(yīng)采用包過(guò)濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等盡量多的技術(shù)。同時(shí)需要配備身份識(shí)別及驗(yàn)證、信息的保密性保護(hù)、信息的完整性校驗(yàn)、系統(tǒng)的訪問(wèn)控制機(jī)制、授權(quán)管理等。

(2)防火墻過(guò)濾語(yǔ)言應(yīng)該是友好靈活的，同時(shí)應(yīng)具備源和目的IP地址，協(xié)議類型，源和目的TCP／UDP端口及入、出接口等的過(guò)濾屬性。

(3)防火墻應(yīng)該忠實(shí)地支持自己的安全性策略，并能靈活地容納新的服務(wù)和機(jī)構(gòu)，改變所需的安全策略。防火墻應(yīng)包含集中化的SMTP訪問(wèn)能力，以簡(jiǎn)化本地與遠(yuǎn)程系統(tǒng)的 SMTP連接，實(shí)現(xiàn)本地E-mail集中處理。

(4)若防火墻需UNIX之類的操作系統(tǒng)，該系統(tǒng)的版本安全本身就是一個(gè)需要考慮的重要問(wèn)題，應(yīng)該作為防火墻的一部分，當(dāng)用其他安全工具時(shí)，要保證防火墻主機(jī)的完整性，而且該系統(tǒng)應(yīng)能整體安裝。防火墻及操作系統(tǒng)應(yīng)該可更新，并能用簡(jiǎn)易的方法解決系統(tǒng)故障等。

(5)防火墻應(yīng)具有可擴(kuò)展、可升級(jí)性。隨著業(yè)務(wù)的發(fā)展，機(jī)構(gòu)內(nèi)部可能具有不同安全級(jí)別的子網(wǎng)，這就需要在這些子網(wǎng)之間做過(guò)濾。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和變化，防火墻也必須支持軟件升級(jí)。

3.注重管理界面

擁有界面友好、易于編程的IP過(guò)濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP／UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。

4.進(jìn)行性能價(jià)格評(píng)估

安全性越高，實(shí)現(xiàn)越復(fù)雜，設(shè)備費(fèi)用也相應(yīng)的越高，反之費(fèi)用較低。這就需要對(duì)網(wǎng)絡(luò)中需保護(hù)的信息和數(shù)據(jù)進(jìn)行詳細(xì)的經(jīng)濟(jì)性評(píng)估。