選擇防火墻的基本標(biāo)準(zhǔn)有哪些？

防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：

●拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類(lèi)型。

●允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類(lèi)型。

可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。

一旦你安裝防火墻后，你需要打開(kāi)一些必要的端口來(lái)使防火墻內(nèi)的用戶(hù)在通過(guò)驗(yàn)證之后可以訪問(wèn)系統(tǒng)。

換句話說(shuō)，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開(kāi)啟允許POP3和SMTP的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過(guò)程中需堅(jiān)持以下三個(gè)基本原則：

（1）. 簡(jiǎn)單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講，首要的就是越簡(jiǎn)單越好。其實(shí)這也是任何事物的基本原則。越簡(jiǎn)單的實(shí)現(xiàn)方式，越容易理解和使用。

而且是設(shè)計(jì)越簡(jiǎn)單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡(jiǎn)便。

每種產(chǎn)品在開(kāi)發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。

但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來(lái)的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。

但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。

（2）. 全面深入：?jiǎn)我坏姆烙胧┦请y以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語(yǔ)句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。

這方面可以體現(xiàn)在兩個(gè)方面：

一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。

（3）. 內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來(lái)自?xún)?nèi)部，所以我們要樹(shù)立防內(nèi)的觀念，從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀念。

對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。

這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。

目前來(lái)說(shuō)，要做到這一點(diǎn)比較困難。