刍议防火墙的选购

要防火墙解决第一类问题显然是力不从心，系统缺陷和病毒不同，没有病毒马可以作为依据，在判断到底是不是攻击上常常误报，现有的国内外地对这类攻击的检测至少有50%的误报，大家如果用过IIS的real secure就有认识，这类攻击检测不能装在防火墙上，否则可能把合法的报文认为是攻击。防火墙能做的是对付第二类攻击，如针对SYN-FLOODING，可以限制服务器接受连接请求的速度，最大的半连接数和最大已建立连接数实现。

8、可扩展和可升级性

用户的网络不是一成不变的，现在可能只要在公司内部网络和外部网络之间做过滤，随着业务的发展，公司内部可能具有不同安全级别的子网，此时就需要在这些子网之间做过滤。目前市面上的防火墙一般标配是三个网络接口分别接外部网，内部网和SSN，在购买时必须问清楚是否可以增加网络接口，因为有些防火墙设计成支持三个接口，无法扩展，和防病毒产品类似，随着网络技术的发展和黑客攻击手段的变化，防火墙也必须不断地进行升级，此时支持软件升级就更加重要了。如果不支持软件升级，为了抵御新的攻击手段，必须进行硬件上的更换，在更换期间你的网络是不设防的。以上就是防火墙的采购方法，选购防火墙时，如能做到以上几点，防火墙的选购就不会成为难题了。