栏目主持人赵 毅
　　
　　作为保护网络的主力安全设备，经过多年的发展，防火墙的技术已经逐步趋于成熟。即便如此，用户在选购防火墙时仍需擦亮眼睛。我们就中小企业防火墙的选购问题为读者做一组解答。
　　Q：对于一款防火墙，我们选择它什么样的附加功能？
　　A：由于在网络环境中引入了防火墙设备，必然要求防火墙能够提供相应的支持，包括可管理、环境适应能力、与已有交换机、路由器的互联互通、一定的吞吐能力和适当的延迟等，这样防火墙才不会成为网络瓶颈。这些功能实际上是对防火墙的附加要求，虽然不会给用户带来增值，但“适合”就是最好的需求。
　　
　　Q：如何选择防火墙的功能与性能？
　　A：现在的防火墙一般具有很多功能，这些功能单独看都没什么问题，比如双机热备功能已经通过测试，H.323动态应用支持也通过测试。但在实际环境中，可能需要在双机热备情况下使用H.323视频会议，并要求切换时视频不中断，这样有的防火墙可能就力所难及了。
　　此外，防火墙的功能和性能一般会独立评估，分为功能测试和性能测试两部分：前者关注单个功能有无，后者则关注二、三层简单的应用。评估的结果往往会导致功能、性能两层皮,不能真正反映防火墙能力。测试中性能很高，但很多功能不能用，而在实际使用中，当把常用的功能都打开后，性能却又变得很低。
　　
　　Q：应该选择防火墙什么样的网络功能?
　　A：网络功能包括：地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
　　各种功能眼花缭乱，在价钱相等的情况下，当然功能越多越好。用户首先应该明确自己都需要什么功能，并且要确定这些功能都要达到什么效果，然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。
　　
　　Q：防火墙的功能与性能有哪些具体参考标准？
　　A：1.2~7层访问控制功能，尤其是应用层深度过滤。该功能应该能和地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等功能任意组合使用。
　　2.安全功能。需要重点考察安全防护功能能否在过滤攻击的同时保证正常访问，是否对伪造源地址攻击和真实源地址攻击同时有效，能否保护服务器免受冲击。该功能应该可以与地址映射、端口映射、VLAN Trunk支持、用户认证、动态包过滤、流量控制等同时或任意组合使用。
　　3.实用性能。实用性能即考察在接近用户真实使用情况下的性能。性能测试一般包括6个主要方面：吞吐量、延迟、丢包率、背靠背、并发连接数、新建连接速率。
　　4.新建连接速率。由于网络应用具有波动性大,不同时间访问量差异很大的特点，要求防火墙也能适应这种情况，相应的考量指标即新建连接速率。考虑到用户网络和应用的复杂性，还需要打开常用功能，例如包过滤、内容过滤、抗攻击等情况下测试新建连接速率。