防火墙分为硬防火墙和软防火墙

硬防火墙即硬件防火墙（http://product.yesky.com/catalog/1237/）

硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

作为保护网络的主力安全设备，经过多年的发展，防火墙的技术已经逐步趋于成熟。即便如此，用户在选购防火墙时仍需擦亮眼睛。 防火墙是一种部署在内外网边界上的访问控制设备，用来防止未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。防火墙主要分为简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。

作为网络安全设备供货商和全球UTM解决方案领导者--美国Fortinet（飞塔）公司，有4种类型的防火墙，

FortiMail专业反垃圾邮件及归档安全网关

FortiWeb WEB应用层防火墙-有效阻挡所有的WEB威胁

FortiDB 数据库安全扫描及审计防火墙

FortiScan 系统级别的漏洞管理平台和法规管理

附加功能适用就好

防火墙控制的对象是网络数据，通过执行用户针对2～7层制定的策略进行检查，根据检查结果决定接受、丢弃还是限制流量。虽然实际上防火墙也可以替换一部分路由器和交换机的功能，但过分强调这些功能的结果只能是舍本逐末。

由于在网络中引入了防火墙设备，必然要求防火墙能够提供相应的支持，包括可管理、环境适应能力、与已有交换机/路由器的互联互通、一定的吞吐能力和适当的延迟等，这样防火墙才不会成为网络瓶颈。这些功能实际上是对防火墙的附加要求，虽然是必要的，但不会给用户带来增值，其总体要求是“适合就是最好的”。

虽然防火墙发展时间比较长，技术相对成熟，但关于防火墙的新概念、新技术仍然层出不穷。那么，应该如何真实评价防火墙呢？还得从用户使用的角度深入分析，从功能/性能、管理、稳定性三方面进行考察。

功能、性能不能“两层皮”

功能和性能一直是用户评价防火墙的主要方面，尤其是性能由于其可量化，更是对比的重点，但真正搞明白这两个问题却不容易。

为了适应用户的复杂环境和需求，也为了拥有“卖点”，现在的防火墙一般具有很多功能，这些功能单独看都没什么问题，比如双机热备功能已经通过测试，H.323动态应用支持也测试通过，但在实际环境中，我们可能需要在双机热备情况下使用H.323视频会议，并要求切换时视频不中断，这样可能有的防火墙就不行了，而类似的组合功能却是用户真正需要的。此外，防火墙的功能和性能一般会独立评估，分为功能测试和性能测试两部分，功能测试关心单个功能有无，性能测试关心二、三层简单应用的性能，结果导致功能性能“两层皮”，不能真正反映防火墙能力：测试中性能很高，但很多功能不能用，在实际使用中，当把常用的功能都打开后，性能变得很低。因此，必须把性能和功能评估结合起来才能真实评价防火墙。具体的评价应从以下几方面入手：

2～7层访问控制功能，尤其是应用层深度过滤。该功能应该能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等功能任意组合使用。

安全功能，重点是抗Synflood。目前，在“黑客”的攻击行为中，使用最多、最有效的是DDoS（分布式拒绝服务攻击），它造成的结果是服务器拒绝服务。防火墙作为网络的单一通道，要保证受保护网络的安全，需要重点考察安全防护功能能否在过滤攻击的同时保证正常访问，是否对伪造源地址攻击和真实源地址攻击同时有效，能否保护服务器免受冲击。该功能应能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等同时或任意组合使用，在这方面，作为网络安全设备供货商和全球UTM解决方案领导者--美国Fortinet（飞塔）公司，FortiWeb通过特有的SynCookie技术，高效的对Syn flood进行防御，保护实际业务访问的正常工作。

实用性能。性能测试一般包括6个主要方面：吞吐量、延迟、丢包率、背靠背、并发连接数、新建连接速率，实用性能即考察在接近用户真实使用情况下的性能。

新建连接速率。由于网络应用具有波动性大,即不同时间访问量差异很大的特点，要求防火墙也能适应这种情况，相应的考量指标即新建连接速率。考虑到用户网络和应用的复杂性，还需要打开常用功能，例如：包过滤、内容过滤、抗攻击等情况下测试新建连接速率。

管理是关键

用户要使用一个安全的防火墙系统，就需要实行一套安全的防火墙策略，这就对防火墙的实际操作人员提出了较高要求。由于不同防火墙在管理上存在差异，因此，管理的难易程度可能造成管理员的错误配置，使网络产生安全隐患。因为无法要求每个网络管理员都是网络安全专家，所以管理是网络安全的关键。除去权限管理、通信加密外，还需要重点考察单机管理方便性和集中管理这两个方面。

就单机管理方便性来说，防火墙应能提供多种管理方式，供管理员在不同场合使用，例如：串口命令行方式适合水平较高的管理员对防火墙进行全面管理；SSH方式适合远程维护管理；Web方式适合远程配置；GUI方式适合远程配置和监控。其中，Web方式不用安装客户端软件，比较方便灵活；GUI安装比较麻烦，但灵活性较强。

另外，防火墙的大客户、行业客户很多，管理成本可能非常高，能否对防火墙进行集中管理也很重要，包括安全策略集中定制和下发、日志集中管理与分析、设备级联管理与实时监控等。其中，策略的集中管理最重要，因为需要保证整个企业的策略一致和安全。

综合考察稳定性

防火墙因为串接在网络中，一旦出现故障则会导致网络中断，因此，稳定性是评价防火墙的一个重要指标。由于种种原因，有些系统尚未最后定型或未经过严格的大量测试就被推向了市场，其稳定性可想而知。但稳定性很难直接测试，一般来说，一些久经考验的系统的稳定性才有一定保证，如果是新的软件或硬件系统，需要在应用中不断完善才能逐渐稳定。用户可以通过权威的测评认证机构、实际调查、试用、厂商实力等多个方面加以判断。

美国飞塔防火墙- Fortinet已经荣获了80多个奖项，其中包括年度最佳安全产品和最佳安全解决方案等。企业创建和领导了UTM市场，也是目前唯一一家采用ASIC加速的UTM产品。FortiGate产品结合FortiGuard服务，为企业、服务运营商、和中小企业提供了全面的安全解决方案——最好的性能，无可匹敌的功能。

软防火墙即软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。