硬件防火墙的四大选购要素

　　质量好的防火墙能够有效地控制通信，能够为不同级别、不同需求的用户提供不同的控制策略。控制策略的有效性、多样性、级别目标清晰性以及制定难易程度都直反映出防火墙控制策略的质量。现在大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护一方的IP地址不被暴露。但注意启用NAT后势必会对防火墙系统的性能有所影响。

　　目前防火墙技术进步很快，功能上也做的五花八门，用户选择上也比较困难。在包过滤方式上，目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定，例如，对于没有固定主机的单位，可能需要身份认证的功能；对网络资源比较紧张的单位，可能需要带宽管理的功能以合理控制资源分配；对于有总部和分支机构的企业，就可能需要选择能支持VPN通讯功能的防火墙产品等等。

 　　对于经常有公司内部用户移动办公的企业，最好能提供支持VPN通信或者身份验证功能，这样做有两个好处：一是可以大量节省通信费用（因为VPN只需要用户与本地ISP连接即可）；另一方面用户出差时可以登录公司内部的服务器，在没有其它加密手段或者加密成本比较高时，这样的身份验证方式是比较实用的。Nokia防火墙作为业内领先的产品，全面提供包括防火墙、VPN、入侵检测、流量控制、防病毒网关等多种功能在内的产品。

　　因为防火墙就象单位用户出入互联网的一道门，如果门坏了，显然进出互联网也就成问题了。这样很可能会使用户造成巨大的损失，这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。晓通代理的Nokia防火墙支持虚拟路由器冗余协议（VRRP，RFC2338），可以在2台或者多台Nokia防火墙之间实现冗余和负载均衡。

　　对于高可靠性环境，Nokia的IP集群技术可以将多个设备集群在一起，作为单个虚拟网关运行，实现动态的负载均衡。同一集群的所有成员共享安全状态信息，一旦出现故障，可以自动转化到冗余设备上。同时，为了优化性能，集群会不断地对负载进行重新平衡。这样，用户的网络就不会因为防火墙故障造成经济损失。Nokia硬件冗余包括支持热交换接口卡、冗余电源系统、电扇系统和镜像热交换硬盘系统等。

　　从适合中小型企业或大型企业分支机构的IP40安全访问解决方案，到适合大中型企业全面安全访问的IP350/380解决方案，晓通网络都会根据用户的不同要求，为用户量身定制网络安全解决方案，这些按照不同需求制定的安全解决方案将为用户提供具备高度可靠性、便于管理并且能够不断根据需求进行升级的全面安全保障。