手把手教你选购防火墙(5)

　　策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开，以及它们进入和离开的时间和地点。

　　简单的说，防火墙应该具有灵活的策略设置，针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。

　　内容过滤

　　面对当前互联网上的各种有害信息，有的防火墙还增加了URL阻断、关键词检查、Java Apple、ActiveX和恶意脚本过滤等。

　　入侵检测

　　黑客普通攻击的实时检测。实时防护来自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒绝服务和许多其他的攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。

　　用户认证

　　完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多数认证方式。

　　对于内部网络的安全又多了一层保障。

　　虚拟专用网VPN

　　在网络之间或网络与客户端之间进行安全通讯。可以支持的最大VPN数目，支持的加密方式(手工密钥、IKE、PKI、DES、3DES和AES加密等)，是否支持完全的正反向加密，是否有冗余的VPN网关。

　　一般异地办公的网络都会注意这点。尤其是加密方式。不过硬的加密方式会导致黑客窃取机密文件等。所以加密的方式越高级越好。

　　日志/监控

　　防火墙对受到的攻击和通过防火墙的请求应具有完备的日志功能，包括安全日志、时间日志和传输日志。最好可以通过同步分析软件同步到指定主机上，实现对日志的详尽审计。

　　高可用性

　　提高可*性和负载分配。HA端口：专用于两点间通讯连接。分两种工作方式：一是两台防火墙同时工作，共同负担网络流量，在其中一台防火墙中断的同时，另外一台自动接管所有任务，保证不会发生网络中断；另外一种是在同一时间只使用其中一台防火墙，当其不能正常工作时，另外一台防火墙立刻接管当前的防火墙，不会造成网络中断。

　　写在最后

　　掌握了文章中提到的这些关键性要素对于选购防火墙的标准相信就可以有一个明确的概念了，也希望能通过本文帮助您选购到称心的防火墙产品！