防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。那么，互聯(lián)網(wǎng)為什么要設(shè)立防火墻?

　　在互聯(lián)網(wǎng)中，人們采用類似防火墻的設(shè)備，保護(hù)內(nèi)部或私人的網(wǎng)絡(luò)資源不受侵害，具備這種功能的設(shè)備被稱為“防火墻”。防火墻實(shí)際是一種插在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的隔離系統(tǒng)，作為兩者之間的關(guān)卡，起到加強(qiáng)系統(tǒng)安全與信息審查的功能。建立防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外來(lái)攻擊，為此需要確定“防火墻安全策略” 。目前主要有兩種截然不同的安全策略：一是拒絕一切未被特許的信息進(jìn)入內(nèi)部網(wǎng);一是允許一切未被拒絕的信息進(jìn)入。從網(wǎng)絡(luò)的安全性來(lái)考慮，前都除了被確認(rèn)是可信任的信息外，其他的信息都不允許通過(guò)，對(duì)網(wǎng)絡(luò)的互聯(lián)性有一定的影響，但安全性好;后者的意思是，除了被確認(rèn)是來(lái)自不可信任的信息源以外的信息都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，這樣有利于信息交換，但存在一定的安全隱患。

防火墻

　　防火墻選購(gòu)誤區(qū)

　　防火墻是好，但是，若選擇不當(dāng)?shù)脑?，可能?huì)起到相反的作用。在這里，筆者想跟大家交流一下防火墻選購(gòu)的經(jīng)驗(yàn)。筆者結(jié)合自己與朋友防火墻管理方面的心得，總結(jié)出了防火墻選購(gòu)中的五大誤區(qū)。權(quán)當(dāng)拋磚引玉。

　　誤區(qū)一：太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。

　　在防火墻的產(chǎn)品說(shuō)明中，往往會(huì)有一些性能、功能方面的參考數(shù)字。如吞吐量有6G， 抗病毒能力有多強(qiáng)等等。對(duì)于這些數(shù)字我們?cè)诜阑饓x購(gòu)的時(shí)候不能夠太過(guò)于迷信。而應(yīng)該以辯證的眼光去看待這些數(shù)字。

　　一方面，這些數(shù)字都是實(shí)驗(yàn)數(shù)據(jù)。也就是說(shuō)，是在一個(gè)相對(duì)合理的、干擾因素比較少的情況下得出的數(shù)據(jù)。但是，說(shuō)實(shí)話，任何一個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境都不可能達(dá)到他們測(cè)試產(chǎn)品的那種水準(zhǔn)。當(dāng)企業(yè)主機(jī)數(shù)量比較多，若分段不合理，就會(huì)造成比較多的網(wǎng)絡(luò)廣播，那時(shí)也會(huì)影響到這個(gè)最終的有效吞吐量。所以，對(duì)于實(shí)驗(yàn)室出來(lái)的數(shù)據(jù)，我們往往要打個(gè)對(duì)折。

　　另一方面，不能夠光看某個(gè)指標(biāo)。在選購(gòu)防火墻的時(shí)候，有多大幾十項(xiàng)的指標(biāo)，若其中一個(gè)指標(biāo)，如吞吐量，即使高達(dá)10G，但是，若其他指標(biāo)跟不上去的話，那么一切都是白搭。有時(shí)候，廠商在測(cè)試產(chǎn)品的時(shí)候，往往會(huì)把某些功能關(guān)掉后再進(jìn)行測(cè)試。在這種情況下，測(cè)試出來(lái)的數(shù)據(jù)，實(shí)用價(jià)值不會(huì)很大。因?yàn)槿舭哑渌δ荜P(guān)掉，就啟用一項(xiàng)功能，則CPU等硬件資源就不會(huì)發(fā)生爭(zhēng)奪。如此，某個(gè)指標(biāo)的數(shù)字看起來(lái)就會(huì)好看許多。而在企業(yè)中部署防火墻的時(shí)候，不可能只用一項(xiàng)功能。把其他功能開(kāi)起來(lái)的話，則這個(gè)數(shù)字就會(huì)打折扣了。

　　總之，在防火墻選購(gòu)的時(shí)候，不要太過(guò)于相信實(shí)驗(yàn)數(shù)據(jù)。對(duì)于他們從實(shí)驗(yàn)室得出來(lái)的數(shù)字，筆者往往會(huì)給他們打個(gè)對(duì)折。打折后的數(shù)據(jù)，可能水分會(huì)少一點(diǎn)。所以，實(shí)驗(yàn)數(shù)據(jù)只能拿來(lái)參考。在有條件的情況下，網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境，對(duì)防火墻產(chǎn)品進(jìn)行測(cè)試。這測(cè)試出來(lái)的結(jié)果，對(duì)于我們防火墻選購(gòu)才會(huì)有參考價(jià)值。

　　網(wǎng)絡(luò)管理員不要走入這個(gè)誤區(qū)。否則的話，網(wǎng)絡(luò)管理員只有自己消化由此帶來(lái)的苦果了。

　　誤區(qū)二：功能花哨卻不實(shí)用。

　　信息化技術(shù)越來(lái)越復(fù)雜，而且防火墻的競(jìng)爭(zhēng)也越來(lái)越激烈。所以，防火墻廠商為了提供自己產(chǎn)品的市場(chǎng)競(jìng)爭(zhēng)力，就往往在自己的防火墻產(chǎn)品中集成比較多的功能，以增加市場(chǎng)的賣點(diǎn)。

　　對(duì)于這些功能，我們要冷眼看待。

　　一方面，要看看這些額外的功能企業(yè)是否需要。如有些防火墻產(chǎn)品中會(huì)集成等功能。但是，企業(yè)是否需要這項(xiàng)功能呢?網(wǎng)絡(luò)管理員要事先考慮清楚。因?yàn)榉?wù)不僅在防火墻上可以實(shí)現(xiàn)，而且在路由器上也可以實(shí)現(xiàn)。如果企業(yè)對(duì)于有比較高的性能要求的話，甚至可以部署一個(gè)專用的服務(wù)器等等。若在防火墻上實(shí)現(xiàn)功能，筆者個(gè)人認(rèn)為，有著畫蛇添足的味道。在管理上，沒(méi)有其他實(shí)現(xiàn)方式那邊簡(jiǎn)便與人性化。

　　另一方面，一些額外的功能會(huì)耗費(fèi)防火墻的資源。上面筆者說(shuō)過(guò)，在實(shí)驗(yàn)室中測(cè)試產(chǎn)品的時(shí)候，往往只是測(cè)試單一的功能。如測(cè)試吞吐量的話，會(huì)把其他功能關(guān)閉掉。若把防火墻的功能都啟用起來(lái)的話，則某個(gè)指標(biāo)的數(shù)字可能需要打個(gè)兩折了。所以，花哨功能多了，就會(huì)大大影響防火墻的性能。這就好像一個(gè)巨無(wú)霸，網(wǎng)絡(luò)管理員必須為他提供更好的硬件配置，才能夠讓其正常的運(yùn)行 [7]。