當(dāng)一個企業(yè)決定用防火墻來實施組織的安全策略后，下一步要做的就是選擇一個安全、實惠、合適的防火墻。選擇防火墻時，要考慮以下幾方面問題。
　　一、選擇防火墻的要求

　　1、防火墻應(yīng)具備的基本功能

　　支持“除非明確允許，否則就禁止”的設(shè)計策略，即使這種策略不是 初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進的認(rèn)證手段或有掛鉤程序，可以安裝先進的認(rèn)證方法；如果需要，可以運用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進的認(rèn)證手段就可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等；

　　如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議），X window，HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應(yīng)允許公眾對站點的訪問。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。

　　2、其他功能

　　防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應(yīng)提供一個完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應(yīng)該安裝所有的操作系統(tǒng)的補丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。

　　防火墻的強度和正確性應(yīng)該可被驗證。防火墻的設(shè)計應(yīng)該簡單，以便管理員理解和維護。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補丁程序進行升級且升級必須定期進行。

　　正像前面提到的那樣，因特網(wǎng)每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產(chǎn)生。當(dāng)新的危險出現(xiàn)時，新的服務(wù)和升級工作可能會對防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應(yīng)性是很重要的。

　　二、購買還是自己構(gòu)筑

　　一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設(shè)備或自己編寫一個防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù)，例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風(fēng)險評估、安全檢測和安全培訓(xùn)等。

　　企業(yè)自己構(gòu)筑防火墻的優(yōu)勢是內(nèi)部人員了解防火墻設(shè)計的細(xì)節(jié)從而能夠方便應(yīng)用。但自制防火墻需要長時間的修建、記錄文檔和維護，費用較高。相比之下，從銷售商那里購買防火墻是較為經(jīng)濟的。

　　企業(yè)決定是否構(gòu)筑并成功地運行一個防火墻需要考慮如下問題：

　　防火墻應(yīng)該怎樣被測試?

　　怎么證明防火墻按需工作?

　　誰可以做日常的防火墻工作，如備份和修復(fù)?

　　誰會對防火墻進行升級更新，如安裝新的代理服務(wù)器、補丁程序和其他的升級程序?

　　安全漏洞可以定期被更正嗎?

　　誰會對用戶進行技術(shù)支持和培訓(xùn)?

• 1
• 2
• 3
• 下一頁

相關(guān)文章

• 上一篇： 如何應(yīng)用網(wǎng)絡(luò)防火墻全方位保護網(wǎng)絡(luò)安全
• 下一篇： 右鍵磁盤開不了,出現(xiàn)auto,自動播放等解決的方法