作为保障网络安全的主要设备，经过多年的发展，防火墙技术逐渐成熟。尽管如此，用户在购买防火墙时还是要擦亮眼睛。

防火墙是放置在内部和外部网络边界上的访问控制设备，用于防止未经授权的内部网络和外部网络之间的通信。防火墙主要分为三种茄子类型：简单的数据包过滤防火墙、状态/动态检测防火墙和应用程序代理防火墙。

防火墙控制是检查用户的2-7层策略，根据检查结果接受、减少或限制流量的网络数据的对象。实际的防火墙也可以代替路由器和交换机的一部分，但是对这些功能的结果太多只是物交换。

防火墙设备引入网络后，必须提供必要的支持，例如管理、环境适应性、与现有交换机/路由器的互连、吞吐量和适当的延迟。这种防火墙不会引起网络瓶颈。这些功能实际上是对防火墙的附加要求，需要这些功能，但对用户没有附加价值，整体要求最好。

防火墙的开发时间比较长，但技术比较成熟，但是新的防火墙概念、新技术仍然不断出现。那么，如何实际评估防火墙呢？此外，还必须从用户使用角度从功能、性能、管理和可靠性三个茄子方面进行深入分析。

功能，“双皮肤”

功能和性能一直是用户评估防火墙的主要方面，尤其是可量化的性能，使其成为对比的焦点，但真正理解牙齿两个茄子问题并不容易。(David assell，Northern Exposure(美国电视电视剧)，性能名言)为了适应用户环境而复杂且需要的“卖点”，现在的防火墙通常有很多功能，这些功能都没有问题。热备盘功能通过了测试，动态应用程序支持也通过了测试，但是在实际环境中，热备盘可以不间断地使用烫伤会议的需求和要求。视频开关。

这可能是某些防火墙，也可能是用户实际需要的类似功能组合。此外，防火墙功能和性能通常是独立评估的。功能测试和性能测试和功能测试包括单个功能、大约2、3个性能测试简单应用程序性能，使性能成为一个功能的“双皮肤”实际上并不反映防火墙功能。测试性能很高，但许多功能不可用。打开实际使用中所有常用的功能，因此必须评估防火墙的性能和功能，以评估防火墙性能。

具体评价应在以下方面展开：

2-7层访问控制功能，特别是过滤器层深度的应用。函数必须能够使用地址映射、通信端口映射、主干VLAN支持、用户身份验证、动态包过滤、使用任何组合的流控制等功能。

侧重于Synflood攻击的安全功能。目前，“黑客”的攻击行为中最常用的是分布式拒绝服务攻击(DDoS)。这是因为服务器拒绝服务。防火墙用作确保网络安全的网络通道。必须重视安全功能。在过滤攻击的同时，可以确保正常访问。根据源地址攻击和实际源地址攻击是否同时有效地欺骗，可以保护服务器免受冲击。(约翰f肯尼迪、美国电视电视剧(Northern Exposure)、成功)牙齿函数必须同时或随机组合使用地址映射、通信端口映射、主干VLAN支持、用户身份验证、动态包筛选、流量控制等。

实际性能。性能测试通常包括6个茄子方面，如吞吐量、延迟、数据包丢失率、响应、并发连接数、新连接率等，接近实际用户使用性能。

新连接率。防火墙也能适应这种情况，因为网络应用程序的波动是大小的，即随着时间的变化，访问属性有所不同。相应的指标，新的连接速度。考虑到用户网络的复杂性和应用程序，打开包过滤、内容过滤、攻击预防等一般功能，并测试新的连接速度。

管理是关键

用户要使用安全防火墙系统，必须实施防火墙安全策略。这对防火墙的实际操作者提出了更高的要求。由于每个防火墙的管理不同，管理员的管理难度可能导致配置错误，从而导致网络安全风险。所有网络管理员都不能成为网络安全专家，所以管理是网络安全的核心。应删除权限管理、通信加密等，重点关注管理的便利性和中央管理的两个茄子方面。

单一管理方便，防火墙需要提供多种管理功能，高级管理员需要在各种使用场所(例如全面管理防火墙的串行命令行模式)为管理员提供多种管理功能。远程维护和管理SSH方法；网络远程配置图形用户界面的远程配置和监控

其中，web模式不需要安装客户端软件，因此更加方便灵活。图形用户界面安装更麻烦，但灵活性更高。早期：许多服务器管理员在服务器受到攻击时直接安装了软件防火墙。实际上，由于达到了服务器的应用层，因此这种效果不是很明显。无论如何，流量已经是服务器的网络卡。例如，攻击者增加流量会耗尽带宽。

最初几年，攻击流量的小效应非常明显，成本低，数百美元可以解决问题。现在时代变了。动不动就有数十G数百G的攻击无处不在。高防CDN解决了访问和网络层应用层的问题，更适合于当前的大流量攻击。攻击者开始攻击后，将直接进入高流量的防访问硬件防火墙。群集防火墙过滤掉99%以上的攻击应用程序。仍有大量CC可能无法完全过滤。CC流量将转发到CDN节点服务器，限制访问频率和其他CC预防策略以阻止无效的IP。