防火墙在现今已经是网络建设中必备的一个安全产品，但是我们发现简单的防火墙不能满足所有的安全问题。同时，面对林林总总的防火墙品牌及其功能，我们如何进行选择却成为一道难题，今天我们将通过三个问答和大家一起探讨，在防火墙选购的时候，我们如何进行选择，需要考虑哪些问题。

1.防火墙面对黑客，为何总是举白旗投降？

　　黑客的攻击往往是利用正常的网络行为来包裹非法的恶意攻击，例如，透过操作系统的漏洞，或应用程序的缺陷而达到攻击的目的，因而对于服务器或数据库，往往无法透过只支持到第四层(TCP/UDP服务层)的防火墙来给予足够的安全防御及保护。

2.企业IT如何让现有防火墙发挥最大的防御功效？

　　现有的防火墙如果拥有扩充的功能，则可以经由选购防攻击的模块，如IPS(或称IDP，主动入侵侦测及防护系统)来达到主动防攻击的机制，并可针对应用层级来提供更高阶的安全防护，如防范恶意程序、后门程序、木马、间谍程序、垃圾邮件、即时通信(IM)及点对点应用程序(P2P)等等；如果原有防火墙无法扩充，也可在防火墙后加上具高效能透明模式的IDP专属系统，由于具备实时在线封包比对技术，及内建的多重比对数据库，可以达到多重异常侦测、多重攻击模式侦测，来提供及时主动侦测及在线阻断之功能。

　　除此之外，为避免主机操作系统的漏洞，造成安全上的瑕疵，防火墙应尽量将不需要的应用端口关闭，但如此还是不足以提供更高的安全保证。我们可以加上第二道防护机制，那就是在企业内部网络的各个分支或每一台服务器的前端，安装高效能的透明模式防火墙，而且只开启业务相关的应用端口，如此一来可以相当程度地降低可能的安全威胁，并透过集中式网络安全管理系统(CNM)来实时掌握网络安全的状况，当发生问题时，透过主动及时的告知方式，让管理者可以在第一时间掌握状况来及时解决问题。

3.企业IT如何评估选购防火墙？

　　企业在考虑购买防火墙时，由于网络应用已经越来越多元，因而以防火墙单一功能与技术已越来越无法满足企业用户保障网络安全的需要，所以目前很明显的是，企业需要的是整体网络安全解决方案，因此多功能的安全网关器的出现，已经逐渐成为安全市场的主流，除了着重效能、功能性、稳定性、成本效益、扩充性外，支持集中式管理也是企业不可或缺的一环。此外为提升网络效能，VPN硬件加速、内建带宽管理、多路负载均衡、弹性的安全接口设定也渐渐成为产品加值的功能，而为了延伸全面性的安全需求，有的产品也整合了无线网络的安全。

　　最后，我们向您推荐几款优秀的防火墙供您选择，由ZyXEL研发生产的ZyWALL系列VPN防火墙可以满足中小企业的全方位应用。其整合了防火墙、VPN、、防病毒、入侵检测及防护（IDP）、防垃圾邮件、内容过滤、无线安全网络等功能，必将成为您定制网络安全策略的强有力保证。其中,ZyWALL P1更是世界上首款个人掌上型防火墙，其小巧的体积将使您随身携带的极佳选择。如果您感兴趣，您可以到 www.huaqin.com.cn 上去看看详细情况。