陈玉莲

　　企业为保证自己内部网络的安全，要选择一个合适的防火墙。当前市场上防火墙的售价极为悬殊，从几千元到数十万元，甚至到百万元。不同的防火墙产品的特性也五花八门，各有千秋。这些都导致企业在防火墙选购时经常会有一些误区，主要有以下几点：

　　1.速度最快的就是最好的。

　　这种情况主要因为很多防火墙评测数据的误导，用户在选购的时候被性能指标迷惑，往往倾向于购买高端的硬件防火墙。

　　防火墙是为保护安全性而设计的，与其一味地追求性能指标，不如思考如何在不影响网络性能的情况下提供最大的安全保护。

　　事实上，大部分企业正在使用E1（2Mbps）专线或ADSL宽带网，即便未来几年网络升级，也可能只是租用到100Mbps速率的互联网专线。而今天的软件防火墙，即使不考虑将来其所运行硬件平台可以轻松升级，应付100Mbps互联网也是绰绰有余。这也是至今大多数美国企业采购时首选软件防火墙的原因。

　　2.功能最全、价格最贵的就是最好的。

　　这种现象是相信“全功能”防火墙，认为防火墙要包括所有的模块，求大而全，不求专而精，不清楚自己的企业需要保护什么，常常是白花了大量的经费却无法取得应有的效果。

　　3.不用维护的防火墙是最好的。

　　这种情况来自某些厂家的不负责任的宣传。有些厂家宣称小企业适合选用硬件防火墙，其理由是这些小企业应用水平相对较低甚至没有专职的网络管理人员，硬件防火墙安装完之后就不用维护了，是小企业比较好的选择。

　　这种“一次配置，永远运行”的理论正确吗？我们仔细分析，网络安全中的一个重要原则是维持相对高的安全等级。由专业的网络安全工程师完成防火墙的初始部署时网络安全应该是在比较高的等级，但是当应用环境发生迁移，包括增加/删除/升级应用，网络结构变化，应用人员变化等都应该立刻针对新的应用环境重新调整防火墙的设置。因此，除非我们以一成不变的眼光看世界，否则就不能说不用维护的防火墙是理想的防火墙。

　　企业用户部署防火墙产品的时候，总会被它复杂的规则设置搞得头晕脑胀，特别是中小企业用户，没有专门的安全顾问或者网络管理员，对于部署防火墙就更加显得一筹莫展了。所以，把防火墙部署简单化确实是防火墙用户的新需求。

　　但是网络安全永远是相对的安全和变动中的安全。因此解决之道不是在初次配置成功的情况下，就将防火墙永远地丢在一边，不再去动它。正确的解决之道是在用户使用界面上动脑筋，提高易用性，让用户能够轻松管理防火墙。

　　《市场报》 (2003年11月11日 第七版)