硬件防火墙知识

随着网络技术的普及越来越多的企业开始关注内外网以及相关应用的安全，就目前实际使用来说通过防火墙来过滤入侵以及病毒的传播是最简单和直接的办法。因此很多企业特别是中小企业都迫切希望通过购买硬件防火墙来实现提升安全的功能。但是在选择硬件防火墙时该本着什么样的原则进行呢?选购时需要针对哪些参数和性能进行考证呢?笔者担任网络安全与维护工作已经有七个年头了，亲身参与过多次硬件防火墙的采购以及招标，自身也积累了一些选购硬件防火墙的经验。今天就请各位IT168读者跟随笔者一起用数据说话来选购中小企业的硬件防火墙。 一，什么是硬件防火墙：

平时我们都接触过防火墙，不过很多用户使用的都是偏软件的防火墙，通过一些软件程序实现对系统和网络的保护。然而相比硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙就是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙作为企业安全的屏障所起的作用是巨大的，正是因为防火墙程序和过滤规则的硬件化芯片化，所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显，平时出现问题的机率也比较低。(如图1)

二，数据说话——硬件防火墙选购经验谈：

很多企业都面临硬件防火墙的选购，今天笔者就从实际选购出发从数据说话为各位介绍硬件防火墙选购上的一些经验。

(1)按需选择原则

首先需要确定的就是选择防火墙时按照需求去确定各个参数，一般来说企业内网网络结点数以及会话连接情况决定了硬件防火墙的级别。选择时依照满足性能为首的原则，然后适当为日后升级做准备。

在执行按需选择原则时我们需要就以下几个方面进行划定，首先确定企业内网网络设备数量以及员工计算机数量，通过计算机下连网络数量来选择硬件防火墙的级别;其次根据企业网络流量来决定防火墙接口网络速度，流量大的需要选择G级接口，而小型网络100M的即可满足实际需求;再次考虑企业网络的稳定性，说白了就是是否需要提供线路上的冗余，对于多线多路网络接入来说这点需要额外考虑;最后就是从功能需求上去决定选购型号，一般来说防火墙都应该具备VPN接入的功能，这样才能够更好的提供不同权限不同用户级别的网络服务，同时诸如IPV6，VOIP等功能的支持要需要根据企业实际需求去选择。

2)防火墙硬字当先：

在确定需求后我们就要查看防火墙的自身配置了，首先需要确保的是防火墙必须采用多核处理器的纯硬件架构(非X86)，这个条件是必须满足的。为什么这么说呢?因为硬件防火墙区别于低性能低价格的软件防火墙而言关键点就是把防火墙程序做到芯片里面，从而节约了日常处理对CPU的占用。而很多厂商在推荐防火墙时可能选择的设备是一种“伪硬件”，使用新瓶装旧酒的策略，将经过优化的软件防火墙装到普通台式机上，再通过封装改造成所谓的硬件防火墙。这是明显的挂羊头卖狗肉。因此在确定防火墙时一定注意他是纯粹的硬件防火墙，另外由于在X86下搭建的系统多以Windows为主，而且Windows系统存在先天安全问题。所以在考虑硬件防火墙自身架构时也要尽量不采取X86架构。

采用多核心处理器可以更好的处理并发通讯和高数量的连接，因此防火墙必须采用多核处理器的纯硬件架构(非X86)成为选购硬件防火墙的首要原则。

重要指数： ★★★★★

3)冗余运行稳定当先：(如图2)

除了硬件防火墙自身“硬”指标外我们还需要关注的是设备运行的冗余性，对于企业来说网络接入冗余性，电源支持冗余性以及数据的冗余性都非常关键。毕竟企业很多业务都运行在网络上，硬件防火墙一旦出现问题各种安全防范以及网络接入服务都要受到致命的影响。

因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要，其中网络接入方面的多接性以及电源支持的冗余性显得更加重要。

4)连接会话做足文章：(如图3)

除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内，具体包括防火墙的吞吐量以及并发连接数连各个参数。对于具备10000个下连网络节点的企业内网来说应该保证硬件防火墙满足下面几个要求——

吞吐量 ≥7.9G bps

吞吐量(小包) ≥2900 M bps

最大并发连接数 ≥4,900,000

每秒新建连接数 ≥190,000

小提示：

什么是吞吐量——吞吐量是在一个给定的时间段内设备能够传输的数据量，使用Mb/s进行度量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性90-95M，这样才算是真正的100M防火墙。

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。如果企业实际下连节点不是万个级别的话，我们可以适当的将上面提到的几个参数进行缩减。吞吐量决定硬件防火墙处理数据的能力，而连接数的多少决定了防火墙自身的性能。

重要指数：★★★☆

三，总结：

由于篇幅关系笔者在本文中针对硬件防火墙选购方面介绍了几点经验，通过确定硬件防火墙核心是否真的“硬”，连接会话吞吐量实际情况以及性能硬件环节的冗余功能等方面下手，让我们选购的硬件防火墙可以真正的为我们企业高效服务。

在“数据说话——硬件防火墙选购经验谈(下)”一文中笔者将继续为各位读者讲解其他几个选购原则。让我们最大限度的避免被厂商所忽

上期文章中笔者为各位介绍了用数据说话硬件防火墙选购的几个经验，当然除了硬件方面的参数标准外，功能上的需求也需要我们全面考虑，今天笔者就从企业级硬件防火墙功能和应用两方面出发为各位IT168的读者介绍选购硬件防火墙的经验。 数据说话 硬件防火墙选购经验谈(上)

一，VPN功能不可缺：(如图1)

对于硬件防火墙来说如何有效的分清非法用户以及授权用户对内网的访问是非常关键的，很多企业在外都有分支机构，分支网络要想接入到本部网络中必须通过VPN接入服务，因此对于企业级硬件防火墙来说VPN功能是不可获缺的。

通过VPN我们可以将远程授权用户或远程授权网络与本部区域进行连接，而另一方面非法用户以及没有获取相关权限的用户是不能够顺利穿越防火墙的。因此在我们选择硬件防火墙时是否支持VPN功能是一个主要考察因素。

除了VPN功能外防火墙所支持的VPN隧道数同样含糊不得，对于具备一万个节点的网络来说防火墙应该支持的VPN隧道数在2000以上，这样才能够保证同时多人次多终端的访问能够顺利接入。另外最好在考察防火墙时确定其自身的VPN是集成硬件的方式，支持Site-to-SiteVPN，支持VPN星形部署方式，支持多端口并发VPN隧道功能。支持VPN隧道的NAT穿越，支持IPSEC VPN，支持SSLVPN，可支持用户B/S方式无缝接入，支持USB KEY进行SSL VPN双因素认证。总之关于VPN的功能越全越好，毕竟网络安全问题很大一部分都是由于外网接入与访问造成的，所以VPN功能的强大与否直接决定企业网络安全。同时强大的VPN扩展功能和访问应用技术可以为日后硬件防火墙和企业内网安全系统升级做好充足的准备。

重要程度——★★★★

二，与时俱进IPV6需兼容：(如图2)

正如上文所说我们在选购硬件防火墙时需要将日后的升级和改造因素考虑进去，因此在网络IP地址兼容性方面必须考虑IPV6的引入。在国内很多设备目前都是双网运行，IPV4与IPV6并存，未来国内网络也会逐步推进IPV6网络的发展，因此在硬件防火墙设置以及选购时IPV6的完美支持非常重要。

重要程度——★★★

三，安全功能不拖后腿：

硬件防火墙除了日常使用的包过滤和协议过滤等功能外，其他针对网络的扩展功能也是需要在选购时考虑清楚的。硬件防火墙自身的安全功能不能脱日后网络过滤的后腿。根据笔者参与zhengfu采购以及多次选购硬件防火墙的经验，以下安全功能需要在购买前进行权衡。

(1)支持敏感文件类型过滤，支持Java Applet、ActiveX阻断，支持URL过滤、URL关键字过滤、URL列表上载、下载。工作模式支持路由、NAT、透明及混合等多种模式。这些组件和插件程序都随时随地威胁我们的内网应用，所以硬件防火墙应该有效支持对他们的过滤。

(2)支持各种IP服务，支持各种工作模式下多媒体协议(如H.323)的安全控制和通过。H.323多媒体协议在VOIP等语音技术中广泛应用，因此如果想在企业内网建立VOIP语音通讯系统的话，硬件防火墙就一定要能够针对相关协议进行安全控制和适当过滤。

(3)支持抗DoS/DDoS攻击提供SYN Flood攻击防护、畸形报文防护、IP 报文分片攻击防护、IP 异常选项检测、TCP 异常检测、IP地址欺骗防护、IP地址扫描攻击防护、端口扫描防护。DDos是目前威胁服务器和企业腽肭蜾蠃应用的主要杀手，因此一台性能高效的硬件防火墙针对DDos的防御能力是需要在选购时深思熟虑的。虽然目前硬件防火墙还不能够从根本上彻底避免DDos对企业网络的攻击，但是好的硬件防火墙可以过滤掉尽可能多的攻击，从而最大限度的减少DDos对企业带宽和资源的损耗。

(3)支持多链路负载均衡，即A链路断开自动切换到B链路。此功能在上文中已经在冗余环节上做过介绍，这里就不再详细说明了，总之支持多路负载均衡一方面可以提高网络运行效率，另外一方面可以提供线路的保护功能，保证企业网络畅通无阻。

(4)故障诊断类型包括设备故障、链路故障、接口状态故障等;同时需要支持802.3ad 链路聚合功能，可利用多条pppoe链路组建低成本高带宽链路。即总速率=A链路+B链路之总和。

(5)内置防ARP攻击客户端，可自动分发全网。这样就可以从内网下手避免内网病毒对防火墙的攻击。从而在第一时间揪出“内奸”来。

重要程度——★★★★

四，管理功能需关注：(如图3)

硬件防火墙的功能强大与否直接决定着内网运行以及相关应用的稳定，不过任何设备都是用户来使用的。没有好的设备只有最适合自己的，对于硬件防火墙来说并不是越贵越好，功能越全越好。我们在购买硬件防火墙前除了要针对上述多个方面进行考虑外，硬件防火墙自身的管理功能也需要考虑在内。只有将强大管理功能以及良好的管理界面整合到硬件防火

墙自身中，才能够让用户配置更加得心应手，让硬件防火墙可以更好的为企业网络服务。基本的管理功能主要有以下几点。

(1)提供安全、友好、易用，可扩展式的全中文的Web管理界面，提供Telnet、SSH

、HTTP、HTTPS、SNMP v1/v2c管理方式。

(2)支持带宽管理功能：支持带宽的保证、限制和优先级的功能，支持上下行方向分别控制。

(3)支持对BT/eMule/迅雷等P2P软件的控制，支持对MSN/QQ等IM即时通讯软件的合理控制。

重要程度——★★★☆

五，资质问题重中之重：(如图4)

最后我们来谈一谈在选购硬件防火墙时一些“硬指标”，这些硬指标一般在zhengfu采购时生效。说白了我们在选择硬件防火墙时需要考虑以下几个资质问题，只有具备相关资质和认证的厂商才能够进入候选名单。

笔者收集整理的相关资质问题包括——软件著作权登记证，公安部销售许可证，国家信息安全测评认证，军用信息安全产品认证以及国家保密局涉秘信息系统检测证书。必要时我们购买前需要审核厂商的相关资质信息。

重要程度——★★☆

六，总结：

总之购买硬件防火墙是件非常重要的事情，一方面硬件防火墙的价格都比较高，选购时要特别慎重;另一方面一旦功能上存在缺陷无法胜任企业内网应用所带来的“停网”恶果是严重的;当然选购硬件防火墙时需要注意的事情还有很多，本文只是针对几个方面的经验进行了介绍，任何硬件防火墙都离不开人的配置。因此除了硬件防火墙自身的硬件功能外我们还

需要多学习多思考，针对硬件防火墙的软件和参数进行合理设置，这样才能够建立一套安全稳定的内网系统。

随着网络技术的普及越来越多的企业开始关注内外网以及相关应用的安全，就目前实际使用来说通过防火墙来过滤入侵以及病毒的传播是最简单和直接的办法。因此很多企业特别是中小企业都迫切希望通过购买硬件防火墙来实现提升安全的功能。但是在选择硬件防火墙时该本着什么样的原则进行呢?选购时需要针对哪些参数和性能进行考证呢?笔者担任网络安全与维护工作已经有七个年头了，亲身参与过多次硬件防火墙的采购以及招标，自身也积累了一些选购硬件防火墙的经验。今天就请各位IT168读者跟随笔者一起用数据说话来选购中小企业的硬件防火墙。 一，什么是硬件防火墙：

平时我们都接触过防火墙，不过很多用户使用的都是偏软件的防火墙，通过一些软件程序实现对系统和网络的保护。然而相比硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙就是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙作为企业安全的屏障所起的作用是巨大的，正是因为防火墙程序和过滤规则的硬件化芯片化，所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显，平时出现问题的机率也比较低。(如图1)

二，数据说话——硬件防火墙选购经验谈：

很多企业都面临硬件防火墙的选购，今天笔者就从实际选购出发从数据说话为各位介绍硬件防火墙选购上的一些经验。

(1)按需选择原则

首先需要确定的就是选择防火墙时按照需求去确定各个参数，一般来说企业内网网络结点数以及会话连接情况决定了硬件防火墙的级别。选择时依照满足性能为首的原则，然后适当为日后升级做准备。

在执行按需选择原则时我们需要就以下几个方面进行划定，首先确定企业内网网络设备数量以及员工计算机数量，通过计算机下连网络数量来选择硬件防火墙的级别;其次根据企业网络流量来决定防火墙接口网络速度，流量大的需要选择G级接口，而小型网络100M的即可满足实际需求;再次考虑企业网络的稳定性，说白了就是是否需要提供线路上的冗余，对于多线多路网络接入来说这点需要额外考虑;最后就是从功能需求上去决定选购型号，一般来说防火墙都应该具备VPN接入的功能，这样才能够更好的提供不同权限不同用户级别的网络服务，同时诸如IPV6，VOIP等功能的支持要需要根据企业实际需求去选择。

2)防火墙硬字当先：

在确定需求后我们就要查看防火墙的自身配置了，首先需要确保的是防火墙必须采用多核处理器的纯硬件架构(非X86)，这个条件是必须满足的。为什么这么说呢?因为硬件防火墙区别于低性能低价格的软件防火墙而言关键点就是把防火墙程序做到芯片里面，从而节约了日常处理对CPU的占用。而很多厂商在推荐防火墙时可能选择的设备是一种“伪硬件”，使用新瓶装旧酒的策略，将经过优化的软件防火墙装到普通台式机上，再通过封装改造成所谓的硬件防火墙。这是明显的挂羊头卖狗肉。因此在确定防火墙时一定注意他是纯粹的硬件防火墙，另外由于在X86下搭建的系统多以Windows为主，而且Windows系统存在先天安全问题。所以在考虑硬件防火墙自身架构时也要尽量不采取X86架构。

采用多核心处理器可以更好的处理并发通讯和高数量的连接，因此防火墙必须采用多核处理器的纯硬件架构(非X86)成为选购硬件防火墙的首要原则。

重要指数： ★★★★★

3)冗余运行稳定当先：(如图2)

除了硬件防火墙自身“硬”指标外我们还需要关注的是设备运行的冗余性，对于企业来说网络接入冗余性，电源支持冗余性以及数据的冗余性都非常关键。毕竟企业很多业务都运行在网络上，硬件防火墙一旦出现问题各种安全防范以及网络接入服务都要受到致命的影响。

因此在选购硬件防火墙时其自身的冗余运行以及稳定性方面的表现也同样重要，其中网络接入方面的多接性以及电源支持的冗余性显得更加重要。

4)连接会话做足文章：(如图3)

除了上面两个因素需要考虑外防火墙自身的网络性能也需要考虑在内，具体包括防火墙的吞吐量以及并发连接数连各个参数。对于具备10000个下连网络节点的企业内网来说应该保证硬件防火墙满足下面几个要求——

吞吐量 ≥7.9G bps

吞吐量(小包) ≥2900 M bps

最大并发连接数 ≥4,900,000

每秒新建连接数 ≥190,000

小提示：

什么是吞吐量——吞吐量是在一个给定的时间段内设备能够传输的数据量，使用Mb/s进行度量。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙系统进行大量运算，通信量大打折扣。因此大多数防火墙虽号称100M防火墙，由于其算法依靠软件实现，通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙，由于采用硬件进行运算，因此吞吐量可以达到线性90-95M，这样才算是真正的100M防火墙。

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。如果企业实际下连节点不是万个级别的话，我们可以适当的将上面提到的几个参数进行缩减。吞吐量决定硬件防火墙处理数据的能力，而连接数的多少决定了防火墙自身的性能。

重要指数：★★★☆

三，总结：

由于篇幅关系笔者在本文中针对硬件防火墙选购方面介绍了几点经验，通过确定硬件防火墙核心是否真的“硬”，连接会话吞吐量实际情况以及性能硬件环节的冗余功能等方面下手，让我们选购的硬件防火墙可以真正的为我们企业高效服务。

在“数据说话——硬件防火墙选购经验谈(下)”一文中笔者将继续为各位读者讲解其他几个选购原则。让我们最大限度的避免被厂商所忽

上期文章中笔者为各位介绍了用数据说话硬件防火墙选购的几个经验，当然除了硬件方面的参数标准外，功能上的需求也需要我们全面考虑，今天笔者就从企业级硬件防火墙功能和应用两方面出发为各位IT168的读者介绍选购硬件防火墙的经验。 数据说话 硬件防火墙选购经验谈(上)

一，VPN功能不可缺：(如图1)

对于硬件防火墙来说如何有效的分清非法用户以及授权用户对内网的访问是非常关键的，很多企业在外都有分支机构，分支网络要想接入到本部网络中必须通过VPN接入服务，因此对于企业级硬件防火墙来说VPN功能是不可获缺的。

通过VPN我们可以将远程授权用户或远程授权网络与本部区域进行连接，而另一方面非法用户以及没有获取相关权限的用户是不能够顺利穿越防火墙的。因此在我们选择硬件防火墙时是否支持VPN功能是一个主要考察因素。

除了VPN功能外防火墙所支持的VPN隧道数同样含糊不得，对于具备一万个节点的网络来说防火墙应该支持的VPN隧道数在2000以上，这样才能够保证同时多人次多终端的访问能够顺利接入。另外最好在考察防火墙时确定其自身的VPN是集成硬件的方式，支持Site-to-SiteVPN，支持VPN星形部署方式，支持多端口并发VPN隧道功能。支持VPN隧道的NAT穿越，支持IPSEC VPN，支持SSLVPN，可支持用户B/S方式无缝接入，支持USB KEY进行SSL VPN双因素认证。总之关于VPN的功能越全越好，毕竟网络安全问题很大一部分都是由于外网接入与访问造成的，所以VPN功能的强大与否直接决定企业网络安全。同时强大的VPN扩展功能和访问应用技术可以为日后硬件防火墙和企业内网安全系统升级做好充足的准备。

重要程度——★★★★

二，与时俱进IPV6需兼容：(如图2)

正如上文所说我们在选购硬件防火墙时需要将日后的升级和改造因素考虑进去，因此在网络IP地址兼容性方面必须考虑IPV6的引入。在国内很多设备目前都是双网运行，IPV4与IPV6并存，未来国内网络也会逐步推进IPV6网络的发展，因此在硬件防火墙设置以及选购时IPV6的完美支持非常重要。

重要程度——★★★

三，安全功能不拖后腿：

硬件防火墙除了日常使用的包过滤和协议过滤等功能外，其他针对网络的扩展功能也是需要在选购时考虑清楚的。硬件防火墙自身的安全功能不能脱日后网络过滤的后腿。根据笔者参与zhengfu采购以及多次选购硬件防火墙的经验，以下安全功能需要在购买前进行权衡。

(1)支持敏感文件类型过滤，支持Java Applet、ActiveX阻断，支持URL过滤、URL关键字过滤、URL列表上载、下载。工作模式支持路由、NAT、透明及混合等多种模式。这些组件和插件程序都随时随地威胁我们的内网应用，所以硬件防火墙应该有效支持对他们的过滤。

(2)支持各种IP服务，支持各种工作模式下多媒体协议(如H.323)的安全控制和通过。H.323多媒体协议在VOIP等语音技术中广泛应用，因此如果想在企业内网建立VOIP语音通讯系统的话，硬件防火墙就一定要能够针对相关协议进行安全控制和适当过滤。

(3)支持抗DoS/DDoS攻击提供SYN Flood攻击防护、畸形报文防护、IP 报文分片攻击防护、IP 异常选项检测、TCP 异常检测、IP地址欺骗防护、IP地址扫描攻击防护、端口扫描防护。DDos是目前威胁服务器和企业腽肭蜾蠃应用的主要杀手，因此一台性能高效的硬件防火墙针对DDos的防御能力是需要在选购时深思熟虑的。虽然目前硬件防火墙还不能够从根本上彻底避免DDos对企业网络的攻击，但是好的硬件防火墙可以过滤掉尽可能多的攻击，从而最大限度的减少DDos对企业带宽和资源的损耗。

(3)支持多链路负载均衡，即A链路断开自动切换到B链路。此功能在上文中已经在冗余环节上做过介绍，这里就不再详细说明了，总之支持多路负载均衡一方面可以提高网络运行效率，另外一方面可以提供线路的保护功能，保证企业网络畅通无阻。

(4)故障诊断类型包括设备故障、链路故障、接口状态故障等;同时需要支持802.3ad 链路聚合功能，可利用多条pppoe链路组建低成本高带宽链路。即总速率=A链路+B链路之总和。

(5)内置防ARP攻击客户端，可自动分发全网。这样就可以从内网下手避免内网病毒对防火墙的攻击。从而在第一时间揪出“内奸”来。

重要程度——★★★★

四，管理功能需关注：(如图3)

硬件防火墙的功能强大与否直接决定着内网运行以及相关应用的稳定，不过任何设备都是用户来使用的。没有好的设备只有最适合自己的，对于硬件防火墙来说并不是越贵越好，功能越全越好。我们在购买硬件防火墙前除了要针对上述多个方面进行考虑外，硬件防火墙自身的管理功能也需要考虑在内。只有将强大管理功能以及良好的管理界面整合到硬件防火

墙自身中，才能够让用户配置更加得心应手，让硬件防火墙可以更好的为企业网络服务。基本的管理功能主要有以下几点。

(1)提供安全、友好、易用，可扩展式的全中文的Web管理界面，提供Telnet、SSH

、HTTP、HTTPS、SNMP v1/v2c管理方式。

(2)支持带宽管理功能：支持带宽的保证、限制和优先级的功能，支持上下行方向分别控制。

(3)支持对BT/eMule/迅雷等P2P软件的控制，支持对MSN/QQ等IM即时通讯软件的合理控制。

重要程度——★★★☆

五，资质问题重中之重：(如图4)

最后我们来谈一谈在选购硬件防火墙时一些“硬指标”，这些硬指标一般在zhengfu采购时生效。说白了我们在选择硬件防火墙时需要考虑以下几个资质问题，只有具备相关资质和认证的厂商才能够进入候选名单。

笔者收集整理的相关资质问题包括——软件著作权登记证，公安部销售许可证，国家信息安全测评认证，军用信息安全产品认证以及国家保密局涉秘信息系统检测证书。必要时我们购买前需要审核厂商的相关资质信息。

重要程度——★★☆

六，总结：

总之购买硬件防火墙是件非常重要的事情，一方面硬件防火墙的价格都比较高，选购时要特别慎重;另一方面一旦功能上存在缺陷无法胜任企业内网应用所带来的“停网”恶果是严重的;当然选购硬件防火墙时需要注意的事情还有很多，本文只是针对几个方面的经验进行了介绍，任何硬件防火墙都离不开人的配置。因此除了硬件防火墙自身的硬件功能外我们还

需要多学习多思考，针对硬件防火墙的软件和参数进行合理设置，这样才能够建立一套安全稳定的内网系统。