防火墙非常普遍，但并非一应俱全。说到安全细化分析，基于网关的防火墙最好，紧随其后的是状态检测防火墙，但状态检测防火墙提供的安全处理功能最弱。不过就易管理性而言，顺序恰好相反：状态检测防火墙具有最佳的“即插即用性”，应用代理防火墙最弱。那么你怎样确定哪种类型的防火墙适合你的网络呢？哪一种能够在安全、功能、成本和易管理性之间达到最佳平衡呢？ 　

　　要解决上述问题，不妨分析一下三种应用环境：小型办公室、需求一般的大中型办公室，以及需求复杂的大型办公室。 　

　　小型办公室。小型办公室要管理的用户和机器显然比较少。它们通常不大容易成为攻击目标。而且只需要访问极少量的因特网服务：电子邮件、Web以及有时需要的流媒体。在这种情形下，几乎任何防火墙都能够胜任。因为一般说来，办公室规模越小，用户数就越少，面临的风险也就越低。 　

　　因此，就小型办公室而言，简单的数据包过滤防火墙就足够了，譬如许多DSL或线缆路由器随机自带的那些防火墙。其中包括D-Link、3Com、Netgear和Linksys等公司出品的宽带路由器。另外，WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墙也完全适用于这种环境。Check Point和Cisco分别提供小型办公室版本的FireWall-1和PIX，不过价格要贵一点。 　

　　需求一般的大中型办公室。“一般”是指基本或标准的因特网服务。当然，“一般”的定义会随着时间而变化，不过就目前实际应用而言，它包括下列服务：Web、电子邮件、流式媒体以及少量的文件传输和终端访问。 　

　　几乎任何功能并不局限于简单的静态过滤防火墙都能满足这种需求。应用代理防火墙也能胜任这项任务，不过现在纯粹的基于网关的应用防火墙寥寥无几。许多主要品牌的防火墙都是混合型，如CyberGuard、Firebox、PIX、NetScreen、Sidewinder、Raptor和FireWall-1，在有些情况下，允许用户选择代理、状态检测还是动态过滤。如果配置成让尽可能多的服务使用安全代理，上述任何一款防火墙都很合适。电子邮件应当始终使用代理，防火墙应当只允许电子邮件进出指定的电子邮件服务器。从内部到因特网的所有Web访问应该实行代理。如果常用服务没有代理，使用动态即状态过滤也不失为好办法。 　

　　复杂的大型环境。当然，拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务，譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口，所以就应该使用应用网关防火墙，或者仅限于严格控制的环境（譬如，从内部网络、某一组IP地址启动服务、只在特定时间段进行）。此外，如果在复杂的大型环境安装防火墙，应该使用支持集中式防火墙管理和配置功能的防火墙，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。 　

　　记住这些是指导原则，文中举例提到的防火墙也只是例子而已。如果配置得当，每个类型的任何一款防火墙以及没有提到的其它防火墙都能够胜任。