安全永遠是CIO的一個心病，而選擇一款合適的防火墻則無疑是治療這個心病的一大良藥。筆者在防火墻選型這方面也花過不少的功夫，今天就跟大家討論一下，防火墻選型該怎么做。筆者總結了六個指標，供大家參考。

    一、網絡吞吐量。

    當CIO在企業中部署了企業級別的防火墻之后，企業進出互聯網的所有通信流量都要通過防火墻，故對于防火墻的吞吐量就有比較高的要求。以前有些企業是通過ADSL撥號上網的，這時由于帶寬的限制，可能防火墻還可以應付。可是現在大部分企業可能已經都采用了光纖接入，帶寬本來就很大。此時就給防火墻帶來了一定的壓力。

    因為防火墻是通過對進入與出去的數據進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火墻能以最快的速度及時對所有數據包進行檢測。否則就可能造成比較長的延時，甚至發生死機。所以網絡吞吐量指標非常重要，它體現了防火墻的可用性能，也體現了企業用戶使用防火墻產品的延時代價。如果防火墻對網絡造成較大的延時，給用戶造成較大的損失。這一點上筆者是深有感觸。筆者企業很早以前就部署了企業級別的防火墻。后來公司網絡進行升級改造，實現了光纖接入。可是升級改造后，筆者發現可用帶寬不到預計帶寬的一半。一開始筆者懷疑是光纖問題。叫對方技術人員過來，他們測試光纖的傳輸沒有問題，帶寬達到預計的標準。那筆者就感到困惑了?是什么原因吞噬了企業寶貴的帶寬呢?經過一番查找，最終發現原來是哪個防火墻在作怪。原來這個防火墻采購比較早，其網絡吞吐量只有10M。難怪采用光纖接入后達不到預計的要求。為此筆者不得不重新選擇了一款高性能的防火墻，其網絡吞吐量達到100M。就的防火墻筆者就用來進行內部的隔離。故如果企業采用了防火墻之后，對可用帶寬造成了很大的影響，那無疑是一種大大的浪費。

    所以筆者認為，CIO在選購防火墻的時候第一個要看的指標就是防火墻的吞吐量。當然，這個吞吐量也不是越大越好。因為吞吐量越大的話，防火墻的價格也就越高。CIO要根據企業的實際情況，如現在接入互聯網的帶寬等因素，來選擇的合適的帶寬。當然如果企業資金充裕，CIO有錢沒處花的話，那么吞吐量當然是越大越好。吞吐量一個基本的原則就是至少要跟企業現有的互聯網接入帶寬相當。

    二、協議的優先級。

    筆者企業現在已經安裝了好視通(www.fsmeeting.com)網絡會議視頻。各個分公司與總公司之間可以通過網絡開視頻會議，而不用再像以前那樣趕來趕去開會。不過這個視頻會議需要占用不少的帶寬。以前每次啟用這個視頻會議，其他用戶都會感受到網絡速度明顯的變慢。而且有時候網絡視頻也會有一卡一卡的現象。有時候筆者得把其他用戶的外網斷掉，這一卡一卡的現象就得到了改善。但是每次這么處理很是麻煩。為了改善這個情況，筆者在選擇防火墻的時候特別關注防火墻是否有協議優先級的管理。也就是說，當視頻會議系統啟動時，企業網絡帶寬的使用率可能會比較高。這就好像現在的下班高峰一樣，路上車堵了，那么車速難免就會慢下來。但是如果這是一輛救護車，那么其就有優先通過的權力。其他車輛都必須為其讓道。筆者也希望能夠實現類似的控制。還好，現在這款防火墻沒有讓筆者失望。在這款防火墻中，有協議優先級的功能，可以把語音流等關鍵業務的數據流量設置為比較高的優先級別。當企業的網絡中出現擁塞時，將優先保證這些優先級別高的流量的通過。經過這個設置之后，以后開起視頻會議的時候，就不用在手工的去關閉其他用戶的網絡。防火墻會自動根據企業網絡狀況來調整通信流量的優先級別，保證視頻等通信流量具有優先通過的權力。

    故筆者建議的第二個指標就是這個協議的優先性。現在視頻應用在企業中使用是越來越廣泛。如視頻會議系統、語音電話等等在企業中都很普及。而這些應用都會占用企業比較大的帶寬。如果企業帶寬跟不上的話，這些應用的質量將會受到很大的影響，如通話的質量可能會時斷時續。就好像手機信號差一樣。雖然可以通過提高互聯網的接入速度來改善這種情況，但是這不是首選方案。因為增加帶寬需要企業花費比較大的投資。故筆者認為最理想的解決方案是對企業的通信流量進行管理。通過防火墻把一些關鍵應用的流量設置為比較高的優先級。在網絡傳輸中，要首先保障這些通信流量能夠優先通過。這就可以明顯改善語音通話等視頻應用的效果。

    另外這還可以用來約束員工的網絡行為。如有些員工喜歡利用emule等工具下載電影。但是這些工具的話會占用很大的帶寬，因為他們在從網絡上下載的同時，也提供別人進行下載。故耗用的帶寬比較多。如果一味的限制他們，也不怎么人情化。如果把這些通信流量設置為比較低的級別，當網絡比較繁忙的時候，這些通信流量占用的帶寬將不斷降低，只到為零。如此的話，這些通信流量對企業其他正常網絡應用的影響將會降至到最低。

    故筆者建議CIO在防火墻選型時第二個需要考慮的就是協議的優先級管理。特別是企業有語音電話、視頻會議系統這些高級網絡應用的話，則這個協議的優先級管理功能就更加的重要。

    三、具有一定的擴展性。

    企業的網絡不可能永遠的一成不變。隨著企業規模的擴大，公司內部的網絡會不斷的升級，以符合企業日益發展的需要。如企業現在可能只是一個公司，但是隨著規模的壯大可能會在各地開立分公司或者辦事處。此時就遇到一個問題，如何把各地的分公司的網絡與總公司的網絡連接起來。為此通過VPN來連接無疑是一個不錯的方案。但是此時CIO就遇到了一個問題，現有的防火墻能否支持VPN技術呢?企業很有可能以前在選購防火墻的時候沒有注意到這個問題。那么后來網絡升級后，CIO就會變得跟被動了。

    所以CIO在選型購防火墻時第三個要考慮的指標就是防火墻的擴展性。現在企業可能不需要某個功能，如VPN功能。在購買防火墻時購買不需要用到的VPN模塊也是一種浪費。但是防火墻要能夠保證在以后企業用的著的時候，能夠順利進行擴展，而不需要重新購買。在這個擴展性問題上，筆者認為CIO可以從幾個方面來考慮。

    一是為了后續擴展的需要，最好能夠購買那些模塊化設計的防火墻。如此的話，后續增添其他功能的話，只需要購買模塊即可。而不需要更換整個硬件防火墻。也就是說CIO選擇的硬件防火墻系統最好是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，最終到一個獨立的應用網關的等等。只有如此，才能讓CIO輕松面對企業信息化應用的升級。

    二是考慮網絡接口的問題。通常情況下防火墻最基本的配置有兩個網絡接口：內部的和外部的網絡接口。這些接口對應著訪問網絡的信任程度。其中外部網絡接口連接的是不可信賴的網絡，而內部網絡接口連接的是得到信任的網絡。在內部網部署時，連接到外部的接口可能需要和公司的主要部分連接，這時可能比外部網絡的信任度高，但又稍微低于內部網絡的信任度。但是隨著公司因特網商業需求的復雜化，只有兩個接口的防火墻明顯具有局限性，可能無法滿足企業業務方面的需求。如企業可能出于安全的需要，以后很有可能要用到第三個接口DMZ接口。為此為了以后信息化應用升級的考慮，CIO在防火墻選購時，還需要關注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。