架構考量：
當然埠數越多的防火牆可以做很多複雜的架構，例如：多個網段、多層防禦、多WAN負載平衡、Multi Homing、
VPN、HA等等..當然埠數少也不是不能做，只是多幾台設備去做。

功能考量：
例如你要做SQL Injection防護、XSS防護，用一般的防火牆就沒用；
如果你需要SSL VPN，要考慮單獨採購一台SSL VPN設備，還是要一台UTM抵多台；跟應用軟體的相容性如何？怎麼算錢(By Client Accounts or Unlimit)
是不是有必要使用專門的防毒牆？
還有AntiSPAM功能是否有必要整合到防火牆內？還是使用專用的設備？
通常 UTM 功能超多，但是如果都啟用，效能會變很差。
而且這些功能的效果，可能不會比專用的設備好。
例如：很多防火牆都有內建 AntiSPAM 功能，但僅止於 Keyword, DNS Check, RBL 阻擋等等，它們的功效就沒辦法跟 CISCO IronPoint 相比。
一台 IronPort 就可以把垃圾信、釣魚信、病毒木馬信全擋掉，也不太需要多層過濾郵件(郵件過濾太多層，當你發生收不到信的問題就累了！)
內建的 IPS 效能與功能跟專用的 IPS 設備相比也差很多。

效能考量：
防火牆功能啟用越多，效能越低，規則政策越多，效能越低，
你如果有打算使用全部的功能，你可能必需考慮一下預算是否買得起負擔全部負載的等級的設備。
(將各功能分散，管理多台，還是集中一台管理？
選擇各家廠商專長領域的設備？還是集中一台就好？)

技術考量：
你是否有辦法自己Own該設備的所有技術？還是必須倚賴廠商？倚賴網友...
如果必須靠廠商，你得想想廠商對貴公司的態度、廠商的技術水準、備品的支援
如果依賴朋友，你得自己想想，有沒有那種熱血澎湃，技術能力又夠、又有時間的好朋友？

預算考量：
設備不是買來就算了，它還必須保持有效的持續運作，這包括硬體的保固、軔體的升級、如果有防毒、IPS、AnitSPAM等功能，相關的升級服務也是要逐年花錢的。
不要以為買了一個防火牆就可以擋一輩子，軔體不升級，可能會有漏洞被攻擊，其他功能的軔體不升級，可能攔不到新病毒，無法阻擋新的攻擊手法，無法過濾廣告病毒信等等。

先想想你想要保護什麼，多聽聽廠商的建議架構及規劃，全部聽完之後，要有自己的想法及需求；再問問廠商你的想法跟需求，怎樣規劃可以滿足。
架構越單純，維護越輕鬆，但也不表示我建議您使用一台 UTM 就好，因為前面講了，UTM 的部份功能，沒辦法滿足需求。

其實現在外到內的資安防護，就針對幾個常見的服務
1.Web Service：要防護 SQL Injection, XSS、DoS、...也許未來有其它更新的攻擊手法。
2.SMTP Service：如果採用CISCO IronPoint，一台就搞定，不需要搞太多層，又是過濾病毒又是過濾廣告信的。
3.POP3 Service：要防護暴力字典攻擊，確保帳號密碼不外流，你會需要 IPS 功能。
4.其它系統漏洞的部份防護：即便是很普通的服務，如果有漏洞，一樣會讓駭客入侵，這是一般防火牆無法防護的，你會需要 IPS。

但是系統漏洞通常修補得很慢，所以你要考慮是否需要零時差的防護，或是盡量把開放的服務限制來源端。
如果不想為了 IPS 防護而購買太高等級的設備，可以選用 ISP 的防護方案，例如中華電信的資安艦隊。

當然，最重要的是，要勤於修補系統漏洞！

至於內到外的資安防護範圍就太大，不討論那塊。

全方位考量點是沒錯!
但...也需要看你當時使用的環境是怎樣
這樣在做決定才是正確的
好比家裡的網路環境有可能安裝一台 2 萬多的防火牆嗎?
所以說，使用的環境是影響購買的方向

^^

後續的服務很重要

好的服務讓你上天堂

不好的服務讓你回家見爹娘

我覺得可以從最基本的問題來進行規劃

"錢" = "預算" = "實際" = "老闆的決定"

Recently just quote the following firewall design for government tender:

1. First tier : McAfee® - enterprise - McAfee Firewall Enterprise Sidewinder ( one pair )
2. DMZ : Check-point (Nokia) ( one pair )
3. Backup Network : Cisco ASA 5500 (one pair)

Has to sepreate Intranet Zone & Internet Zone.

哪一種品牌佔有優勢：各有各的擁護者，依管理者喜好、預算及電腦台數多寡而定。
主機價格跟備品層面哪一個最符合經濟效益：買主機時一起談三年保固及備品較划算。
各個Firewall的市占率：只有Gartner評比可參考其市佔率。
end user操作容易上手：見仁見智。
以及小弟沒有想到的層面 麻煩補充一下：提出公司的電腦台數、預算、管理者禁忌、一定要有的功能較能獲得最佳建議喔！

小弟使用過這幾款,裝機與測試過的(SE 與 MIS)
UTM-Firewall：Juniper、NetScreen、FortiGate、ShareTech、Cyberoam。
CP值高依序：Shertech -> Fortigate -> Cyberoam -> Juniper -> NetScreen
價格依序：Shertech -> Cyberoam -> Fortigate (記得的)
非價格考量與管理介面的建議採購：Fortigate -> Shertech -> Cyberoam

J & N都是同OS, 效能J要買硬體等級較高才好
Shertech為台廠NUsoft研發,功能操作都佳
但效能一定要買最高等級硬體,
遇過可作VPN trunk的產品,同時作Traffic & VPN的LoadBalance

不過近幾年有很多廠商推新款
Palo Alto內建類似AP防火牆功能
可在AP Layer就作阻擋封鎖
價格不便宜 號稱新一代防火牆

幾個因素要注意
1.老闆給的預算有給多少?
2.公司的流量及員工上網的行為模式?
3.Firewall若只做FW+DME,那各種品牌皆可.操作介面覺得好用才是重點.也許一台DLink就能滿足你,基本上是開80Port,其他全部都檔掉.是否尚需針對80Port做管理呢?
4.UTM的防火牆大同小異.IPS.防毒.URL...更新來源不就那幾家.功能全開效能就差.
5.多功能Firewall:任何的漏洞攻擊及病毒都是發生後才可得到特徵碼及病毒碼.重點在於你使用一年後是否以繼續購買昇級這些"碼".若不會去更新.建議去中古市場買一台Cisco PIX或Netscreen.
5.版裡有人提到Palo Alto,若有考慮買UTM的Firewall.那這台的CP值真的不錯.
6.連線數是設備硬體效能最大重點.不過有很多品牌的連線數都是灌水.標榜流量可達100MB.也許單掛一台PC跑個BT他就當掉了.這要特別注意.

隨便抓一台PC用Linux架一架就有了，便宜、強大且穩定，不過要花時間且後續要自己維護，你功力夠的話，預算真的很省，File Server、VPN、iSCSI、RAID、L7-Filter、QoS、、、等都有足夠的資源可以運用，維護就寫寫SCRIPT讓它自動每月出報表，才不會讓老闆覺得MIS只會叫他花錢買，不如找個工讀生去按按下一步還比較省錢一點，還沒走的～就去當雜工連水電一起包一包吧 ~ XD。

我建議您先將需求表列出來,再考慮防火牆的品牌,老實說品牌不會決定一切,
重點是你的預算有多少,需要防火牆做到什麼功能,若是家庭要使用的話,
建議多爬爬文,若是公司要使用,建議找熟悉的SI,多問問他們,
相信您可以從中得到許多資訊.....

zikyo提到：
主機價格跟備品層面哪一個最符合經濟效益?end user操作容易上手

針對上述問題小弟有台設備提供給大家參考:
Sharetech LB2206是個不錯的選擇,具有多功能負載平衡的防火牆,使用操作簡單對入門者適用,價格約12,000左右