随着互联网的持续发展，企业内部网络越来越多地用于传输和存储敏感数据。这增加了对安全技术的需求，并由此产生了防火墙。防火墙将保护区和非保护区进行隔离，阻止非授权用户对保护区资源的访问。

一个配置良好的防火墙，能够有效地防止外来的入侵，控制进出网络的信息流向和信息包，提供使用和流量的日志和审计，隐藏内部IP地址及网络结构的细节，以及提供VPN功能等等。

对于企业网络而言，一个没有配备防火墙的网络无异于“开门揖盗”，安全性无从谈起。那么，如何选择合适的防火墙呢?本文谈谈企业级防火墙的选购要点。

防火墙分类

从其形式上来看，有两大种类，一是硬件防火墙，二是软件防火墙。硬件防火墙是一个拥有多个端口的金属盒子，它是一套预装有安全软件的专用安全设备，一般采用专用的操作系统。而软件防火墙通常可以安装在通用的网络操作系统(如Windows和Linux)上。

根据数据通信发生的位置，可将防火墙分为几种类型，一是网络层防火墙,它也被称为数据包过滤器，它运行在TCP/IP堆栈结构的第三层，在数据包与所建立的规则相匹配时才准许其通过。

二是应用层防火墙：它运行在TCP/IP堆栈结构的最高层，它可以截获一个应用程序的所有数据包。大体上，应用层防火墙可以阻止所有外部的恶意通信达到受保护的机器。通过这种方法，防火墙实际上代表了一个应用程序代理，它支持与远程系统的所有数据交换。

企业一般根据其需要和喜好来选择防火墙。通常情况下， 购买防火墙会考虑：防火墙的体系结构、所需要的并发防火墙会话的数量、所需要的外部访问的范围和类型、所需要的VPN协议的类型和数量、需要保护的并发VPN的数量、管理用户接口的种类(属于命令行接口、图形用户接口还是Web界面)，以及对高可用性特性的需要。

防火墙的功能与性能考虑

用户节点数

在选购防火墙时，用户需要考虑保护的节点数。从最简单的分类上来说，要加以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下，SOHO防火墙能够应付50个以内的用户连接请求，如果需要保护50个以上用户，就必须采用企业防火墙。

企业防火墙往往具有管理多个防火墙的功能，即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外，安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。

NAT

如今，几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。NAT结构可分为四类：一对一寻址、多对一寻址、一对多寻址和多对多寻址。

一对一寻址是NAT最基本的形式，可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址，如果用户有一个内部DHCP作用域，并想把它映射到一个外部IP地址，建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域，这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络，这就需要使用NAT的高级特性。

防火墙需配合其他设备协同工作

除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。