如何选购防火墙

(转载 《中国电脑教育报》 本年度32期 原文见这里)
??如果您对防火墙知识有所了解，就会知道产品的核心技术是品质的保证，如何知道所要购买的产品是采用了什么样的技术呢？可以通过以下途径：

??1.产品的技术白皮书：厂商会在他们的技术白皮书中对他们采用的技术进行阐述。
??2.通过厂商的网站、邮件列表等获得一些技术方面的资料。
??3.可以直接与厂商的技术人员进行交流，获得可靠的信息。

??在选择防火墙的过程中，还有一些技巧，可供您参考的：

??1.如何区分和鉴别简单包过滤防火墙和具备状态检测模块的防火墙

??－是否提供实时连接状态查看。只要具有状态检测模块的防火墙（除了应用代理型防火墙以外），都可以在防火墙上提供查看当前连接状态的功能和界面，并且可以实时地断掉当前连接（这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等）。如果您准备购买的防火墙产品不能提供实时的连接状态查看的功能，那么十有八九您选购的防火墙产品是简单包过滤的产品。

??－是否具备动态规则。某些应用协议并不仅仅使用一个连接和一个端口，往往是通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另外一个临时建立的连接（缺省的源端口是20，在Passive模式下则是临时分配的端口）。对于这样的应用，简单包过滤的防火墙产品很难简单地设定一条安全规则，往往不得不开放所有源端口为20的访问。

??NetEye3.1具备状态检测模块，可以支持动态规则，可以通过跟踪应用层会话的过程自动的允许合法的连接进入，而禁止其他的不符合会话状态的连接请求。对于FTP来说，只需要防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常进行，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放20数据端口进入的危险。

??2.如何区分和鉴别状态检测型的防火墙和流过滤的防火墙

??流过滤的主要特点是在完全透明的模式下进行细粒度的内容过滤。用户在区别状态检测型的防火墙和流过滤的防火墙时，可以看你要区分的防火墙，当它工作在透明模式下（或者叫做交换模式，防火墙没有IP地址，相当于网桥），是否可以提供对FTP、HTTP、SMTP等细粒度的内容过滤功能。