防火墙非常普遍，但并非一应俱全。说到安全细化分析，基于网关的防火墙最好，紧随其后的是状态检测防火墙，但状态检测防火墙提供的安全处理功能最弱。不过就易管理性而言，顺序恰好相反：状态检测防火墙具有最佳的“即插即用性”，应用代理防火墙最弱。那么你怎样确定哪种类型的防火墙适合你的网络呢？哪一种能够在安全、功能、成本和易管理性之间达到最佳平衡呢？

    要解决上述问题，不妨分析一下三种应用环境：小型办公室、需求一般的大中型办公室，以及需求复杂的大型办公室。

    小型办公室。

    小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。

    因此，就小型办公室而言，简单的数据包过滤防火墙就足够了，譬如许多dsl或线缆路由器随机自带的那些防火墙。其中包括d-link、3com、netgear和linksys等公司出品的宽带路由器。另外，watchguard的firebox soho、symantec的firewall 100、global科技公司的gnat、netscreen以及sonicwall soho等防火墙也完全适用于这种环境。check point和cisco分别提供小型办公室版本的firewall-1和pix，不过价格要贵一点。

    需求一般的大中型办公室。

    “一般”是指基本或标准的因特网服务。当然，“一般”的定义会随着时间而变化，不过就目前实际应用而言，它包括下列服务：web、电子邮件、流式媒体以及少量的文件传输和终端访问。

    几乎任何功能并不局限于简单的静态过滤防火墙都能满足这种需求。应用代理防火墙也能胜任这项任务，不过现在纯粹的基于网关的应用防火墙寥寥无几。许多主要品牌的防火墙都是混合型，如cyberguard、firebox、pix、netscreen、sidewinder、raptor和firewall-1，在有些情况下，允许用户选择代理、状态检测还是动态过滤。如果配置成让尽可能多的服务使用安全代理，上述任何一款防火墙都很合适。电子邮件应当始终使用代理，防火墙应当只允许电子邮件进出指定的电子邮件服务器。从内部到因特网的所有web访问应该实行代理。如果常用服务没有代理，使用动态即状态过滤也不失为好办法。

    复杂的大型环境。

    当然，拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务，譬如voip和netmeeting。这两种服务都需要为25种以上的不同服务开放端口，所以就应该使用应用网关防火墙，或者仅限于严格控制的环境（譬如，从内部网络、某一组ip地址启动服务、只在特定时间段进行）。此外，如果在复杂的大型环境安装防火墙，应该使用支持集中式防火墙管理和配置功能的防火墙，譬如pix、cyberguard、firebox、firewall-1、netscreen和sidewinder g2。

    记住这些是指导原则，文中举例提到的防火墙也只是例子而已。如果配置得当，每个类型的任何一款防火墙以及没有提到的其它防火墙都能够胜任。