这年头的防火墙，功能都是多多的，访问控制、防病毒、入侵检测/防御、vpn，叫功能异构也好，叫统一威胁管理也好，像个杂货铺一样。说这些功能 “花哨”，是因为它们启动起来，对硬件资源性能的吞噬能力超乎人的想象。所以，拟定测评方案时就轻易不要把这些列在功能项里了吧？

　　硬件防火墙测评误区四：不能科学看待高性能硬件架构

　　硬件防火墙的性能高下离不开硬件架构种类。所谓高性能硬件架构，是对应于x86的传统工控机架构而言的，常见的有np、asic等。对于高性能硬件架构，我们既不能不关注，也不能迷信。但关注的同时，又不能过分推崇“np”“asic”，因为，最强的不一定是最好的和最适合你的。

　　硬件防火墙测评误区五：不结合自己网络特点考虑，不结合自己的安全战略考虑

　　脱离了用户自身的网络环境特点来测试防火墙是很不科学的，不基于自己安全战略设计防火墙测试指标，更是背离了产品应用的初衷。网络特点告诉用户自己的网里在跑什么样的包，构成成分、多大、什么协议。安全战略告诉用户防火墙买了是为了做什么，要怎么部、怎么配、怎么管。我们要为了“部”、“配”、 “管”而“选”而“测”。

　硬件防火墙测评误区六：不警惕测试中的作弊行为

　　产品销售与购买属于商业行为，商业就不得不提防欺骗，在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人，假设极个别厂商在设备内作一些手脚(如用网线直接连通)，那么整个测试结果就会对其他诚信的厂商很不公平。

　　第4页：部署防火墙需谨慎 更新很重要

　　防火墙作为企业安全的重要保障已经被各企业广泛认同，几乎每时每刻都会有企业将部署防火墙提上网络安全议程。那么，是不是部署了防火墙之后就可以毫无后顾之忧了呢？本篇文章将讲述部署防火墙过程中的六大误区。

　　误区之一：部署了防火墙并不等于绝对安全

　　防火墙对于企业网络的保护作用是每位企业网管所共知的，可是，企业网络部署了防火墙，并不意味着企业网络就不再有安全威胁。举个最简单的例子，防火墙的功能仅仅能够对来自外部网络的数据进行过滤，如果有人在企业网络内部搞破坏，防火墙是没有任何防范作用的。

　　另外，防火墙对来自外部数据的过滤检查是按照过滤规则进行的。如果一种网络攻击模式不在防火墙过滤规则之内，防火墙对于这种网络攻击也是没有任何防范能力的。为此，企业网管不要认为网络中部署了防火墙，企业网络就绝对安全，不再有任何安全隐患，部署了防火墙并不等于绝对安全。

　　误区之二：长期不更新防火墙安全策略

　　防火墙可以阻挡来自外界的网络攻击，以及过滤一些网络病毒，这都得益于防火墙设备的安全策略。如同杀毒软件一样，凭借防火墙自带默认的安全策略，防火墙设备能够阻挡已知的网络攻击模式，以及一部分网络病毒;对于新的网络攻击模式，以及新的网络病毒，防火墙是没有任何防范能力的。要想让防火墙能够具备非常强大的防范能力，企业网管必须定期的更新防火墙的安全策略。

　　在网络安全漏洞呈爆炸式增长的今天，如果长期不更新防火墙的安全策略，防火墙无疑会成为一个摆设。每当遇到新的网络安全漏洞，企业网管必须及时的更新防火墙的安全策略，只有这样，防火墙才能真正成为企业网络的安全保护神。

　　误区之三：安装防火墙设备的所有组件

　　众所周知，部署防火墙这款网络安全设备时，很多企业网管为了保障企业网络的安全，通常会将防火墙所有的功能组件都安装到防火墙设备中。从表面看，安装了所有组件的防火墙，安全更有保障。可是，安装了一些多余的防火墙组件之后，反而会降低防火墙的安全性能。

　　从技术角度来讲，防火墙的工作过程与普通pc相似。对于一台普通的pc来说，如果安装了过多的功能组件，其系统响应速度会变慢，尤其是pc开机时如果启动了太多的项目，pc可能会因为不堪重负而死机。防火墙亦是如此，防火墙中的组件都是随防火墙启动而启动的，如果网管部署防火墙时安装了所有组件，势必会耗费防火墙太多的资源，在网络数据交换繁忙时，防火墙设备可能会因为系统资源不足而当机。一旦防火墙当机，防火墙将失去了作用，企业网络也将失去防火墙的保护，其后果不难想象。为此，部署防火墙时，不要安装防火墙设备的所有组件。

　　误区之四：把防火墙当成防病毒的武器

　　从理论上说，防火墙当然可以防病毒，但防火墙只能防范通过网络传播的一部分病毒。道理很简单，防火墙是位于网络通路上的一道关卡，对于一切经过它的数据包，它都可以过滤出禁止传输的数据。可是，大多数病毒在传播过程中是非常隐蔽的，防火墙的过滤规则很难有效的防范病毒入侵，看一下病毒传播的过程就明白了。

　　病毒在隐蔽在网络应用层中的，在通过防火墙时，病毒被分为若干个数据包。不可否认，防火墙虽然可以过滤一些数据包，但分割为多个数据包的病毒，防火墙是很难识别的，除非防火墙能够将若干个数据包重新拼装起来进行检查，否则防火墙是不可能发现病毒的。防火墙对数据包的过滤，仅仅是决定转发还是放弃，为此，防火墙的过滤规则很难防范通过网络传播的病毒。

　　不过，对于一些特征非常明显的病毒，防火墙是可以过滤的。例如震荡波病毒，在传播过程中是占用tcp的某些端口，这时，只要企业网管将防火墙的端口封闭，震荡波病毒将无法进入企业网络中。在实际应用中，能够像震荡波这样有如此明显特征的病毒很少。总的来说，防火墙对于病毒有一定的防范能力，但防范能力是非常有限的，为此，不要把防火墙当成防病毒的有效武器。

　　误区之五：忽略防火墙日志文件的作用

　　与任何一款网络设备一样，防火墙工作过程中也会自动生成日志。在企业网络的日常维护中，很多企业网管认识防火墙日志的存在，更没有意识到防火墙工作日志的重要性。对于防火墙的日志，企业网管存在着诸多误区。

　　由于防火墙每天在过滤数百万甚至上千万的报文数据包，其生成的日志也是数量众多。面对密密麻麻的日志文件，企业网管该从何处入手呢？其实，对于正常过滤的数据包记录，企业网管是无需理会的。诸如丢弃、告警、日志等动作，企业网管需要慎重的进行审核，并且进行分析，以确定是否有非法的网络攻击存在，切莫忽视防火墙日志文件的作用。