隨著互聯網的持續發展，企業內部網絡越來越多地用于傳輸和存儲敏感數據。這增加了對安全技術的需求，并由此產生了防火墻。防火墻將保護區和非保護區進行隔離，阻止非授權用戶對保護區資源的訪問。

一個配置良好的防火墻，能夠有效地防止外來的入侵，控制進出網絡的信息流向和信息包，提供使用和流量的日志和審計，隱藏內部IP地址及網絡結構的細節，以及提供VPN功能等等。

對于企業網絡而言，一個沒有配備防火墻的網絡無異于“開門揖盜”，安全性無從談起。那么，如何選擇合適的防火墻呢?本文談談企業級防火墻的選購要點。

防火墻分類

從其形式上來看，有兩大種類，一是硬件防火墻，二是軟件防火墻。硬件防火墻是一個擁有多個端口的金屬盒子，它是一套預裝有安全軟件的專用安全設備，一般采用專用的操作系統。而軟件防火墻通常可以安裝在通用的網絡操作系統(如Windows和Linux)上。

根據數據通信發生的位置，可將防火墻分為幾種類型，一是網絡層防火墻,它也被稱為數據包過濾器，它運行在TCP/IP堆棧結構的第三層，在數據包與所建立的規則相匹配時才準許其通過。

二是應用層防火墻：它運行在TCP/IP堆棧結構的最高層，它可以截獲一個應用程序的所有數據包。大體上，應用層防火墻可以阻止所有外部的惡意通信達到受保護的機器。通過這種方法，防火墻實際上代表了一個應用程序代理，它支持與遠程系統的所有數據交換。

企業一般根據其需要和喜好來選擇防火墻。通常情況下， 購買防火墻會考慮：防火墻的體系結構、所需要的并發防火墻會話的數量、所需要的外部訪問的范圍和類型、所需要的VPN協議的類型和數量、需要保護的并發VPN的數量、管理用戶接口的種類(屬于命令行接口、圖形用戶接口還是Web界面)，以及對高可用性特性的需要。

防火墻的功能與性能考慮

用戶節點數

在選購防火墻時，用戶需要考慮保護的節點數。從最簡單的分類上來說，要加以保護的結點數決定了采用企業級防火墻還是采用SOHO防火墻。大多數情況下，SOHO防火墻能夠應付50個以內的用戶連接請求，如果需要保護50個以上用戶，就必須采用企業防火墻。

企業防火墻往往具有管理多個防火墻的功能，即企業防火墻能夠與中央管理控制臺進行通信。生產企業防火墻的供應商大都提供作為選件的中央管理控制臺。此外，安全信息管理(SIM)設備也可以作為第三方管理控制臺使用。 大多數防火墻都標明了用戶連接數。

NAT

如今，幾乎所有防火墻都捆綁了網絡地址轉換(NAT)功能。NAT使用戶能夠把專用或非法IP地址轉換成合法的公共地址。NAT結構可分為四類：一對一尋址、多對一尋址、一對多尋址和多對多尋址。

一對一尋址是NAT最基本的形式，可以把內部IP地址映射到不同的外部公共IP地址。 多對一尋址意味著多個內部IP地址可以映射到一個外部IP地址，如果用戶有一個內部DHCP作用域，并想把它映射到一個外部IP地址，建議這類用戶采用多對一尋址。多對多尋址將其他網絡上幾組不同的IP地址映射成內部或外部的IP地址。如果用戶準備把一組DHCP作用域映射到另一組DHCP作用域，這就需要采用多對多NAT尋址。一對多尋址則使用于需要把一個IP地址分成兩個地址的負載均衡場合。如果用戶需要部署一個龐大、復雜的電信級網絡，這就需要使用NAT的高級特性。

防火墻需配合其他設備協同工作

除非在特別簡單的案例中，防火墻很少是單一的設備，而是一組設備。就算你購買的是一個商用的“all-in-one”防火墻應用程序，你同樣得配置其他機器（例如你的網絡服務器）來與之一同運行。這些其他的機器被認為是防火墻的一部分，這包含了對這些機器的配置和管理方式，他們所信任的是什么，什么又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火墻”的設備卻期望其擔負所有安全責任。