防火墙注意事项

1 防火墙实现了你的安全政策

　　防火墙加强了一些安全策略。 假如你没有在放置防火墙之前制定安全策略的话，那么现在即是制定的时候了。它可以不被写成书面形式，可是同样可以作为安全策略。假如你还没有明确关于安全策略应当做什么的话，安装防火墙即是你能做的最好的保护你的站点的作业，并且要随时保护它也是很不容易的作业。要想有一个好的防火墙，你需要好的安全策略---写成书面的并且被大家所接受。

　　2 一个防火墙在许多时候并不是一个单一的设备

　　除非在特别简略的案例中，防火墙很少是单一的设备，而是一组设备。就算你采购的是一个商用的“all-in-one”防火墙应用程序，你同样得装备其他机器(例如你的网络服务器)来与之一同运转。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的装备和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简略的挑选一个叫做“防火墙”的设备却希望其背负所有安全责任。

　　3 防火墙并不是现成的随时获得的产品

　　挑选防火墙更像买房子而不是挑选去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要保护否则都会崩溃掉。建设防火墙需要细心的挑选和装备一个解决方案来满足你的需要，然后不断的去保护它。需要做很多的决议，对一个站点是正确的解决方案通常对另外站点来说是错误的。

　　4 防火墙并不会解决你所有的疑问

　　并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类进犯的威胁，人们尝试从外部直接进犯内部。可是却不能防止从LAN内部的进犯，它甚至不能保护你免首所有那些它能检测到的进犯。

　　5 使用默认的策略

　　正常情况下你的手段是拒绝除了你晓得必要和安全的服务以外的任何服务。可是新的漏洞每天都出现，关闭不安全的服务意味着一场继续的战争。

　　6 有条件的妥协，而不是轻易的

　　人们都喜欢做不安全的作业。假如你允许所有的请求的话，你的网络就会很不安全。假如你拒绝所有的请求的话，你的网络同样是不安全的，你不会晓得不安全的东西躲藏在哪里。那些不能和你一同作业的人将会对你不利。你需要找到满足用户需要的方式，虽然这些方式会带来一定量的风险。

　　7 使用分层手段

　　并在一个地点以来单一的设备。使用多个安全层来防止某个失误造成对你关心的疑问的侵害。

　　8 只安装你所需要的

　　防火墙机器不能像普通计算机那样安装厂商提供的悉数软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。

　　9 使用可以获得的所有资源

　　不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源:例如厂商信息，我们所编写的书，邮件组和网站。

　　10 只相信你能确定的

　　不要相信图形界面的手工和对话框或是厂商关于某些东西如何运转的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。

　　11 不断的重新评价决议

　　你五年前买的房子今天可能现已不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况现已不是最好的解决方案了。对于防火墙你应当经常性的评估你的决议并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要显着的努力和细心的计划。

　　12 要对失败有心理准备

　　做好最坏的心理准备。机器可能会中止运转，动机良好的用户可能会做错作业，有歹意动机的用户可能做坏的作业并成功的打败你。可是一定要明白当这些作业发生的时候这并不是一个完全的灾难。