購買防火牆要考量哪些？

購買防火牆要考量哪些？
到iT邦幫忙

zikyo（iT邦初學者10級）發問：
請問在購買防火牆時，應該要考慮那些層面，在採購時才算比較全面地評估？

takaki（iT邦初學者10級）：
要看規畫與安全政策而定。例如我們公司的政策一定要雙牆，且內外兩牆不能是相同核心。最近改成Hinet資安艦隊送的硬體防火牆作外牆，內牆是自建的Linux防火牆。此外還使用雙NAT，在DMZ區還外加一臺具有偽造封包能力的設備。

如果是小型公司，人數與電腦都少，使用家用的IP分享器絕對綽綽有餘。

在規畫時，基本上是不考慮品牌，因為規畫內容是針對公司需求，詳列所需的處理能力與效益。之後依據規畫找出符合需求的設備，再過濾這些設備的品質，就會得出符合企畫的設備。

品牌的品質參考，基本上是很主觀的，你要能夠從這些主觀的參考資料中找到平衡點。我會考量設備的穩定度與耐操能力，在沒有實際使用經驗下，我只能參考其他單位的使用情況或網路評價作為參考。另外，我比較重視負面評價，因為這可能會發生在我身上。

tombo（iT邦初學者4級）：
在架構考量上，埠數越多的防火牆，比較有彈性可以應付複雜的架構，例如多個網段、多層防禦、多WAN負載平衡、Multi Homing等。埠數少也不是不能做，只是要多用上幾臺設備。

在功能考量上，要考慮使用目的。如果要做SQL Injection防護、XSS防護，用一般的防火牆就沒用；如果需要SSL VPN，就要考慮單獨採購一臺SSL VPN設備，還是要一臺多功能的UTM。

功能多的設備，通常不會比專用的設備好。很多防火牆都有內建Anti Spam的功能，但僅止於關鍵字、DNS檢查，RBL阻擋等，它們的功效就沒辦法跟IronPort相比。

在效能考量上，防火牆功能啟用越多，效能越低；規則政策越多，效能越低。如果需要使用全部的功能，可能就必須考慮負載平衡的規畫。

在技術考量上，是否具備管理設備所需的技術？還是必須倚賴廠商、倚賴網友等。如果必須靠廠商，就得考慮廠商的技術水準、備品的支援、服務品質。如果依賴網友，就得想想，真的需要的時候，是不是有辦法適時支援？

在預算考量上， 設備不是買來就算了，它還必須保持有效的持續運作，這包括硬體的保固、軔體的升級、如果有防毒、IPS、Anti Spam等功能，相關的升級服務也是要逐年花錢的。