十戒 认清防火墙评测与管理

核心提示： 第五条：不要不结合自己网络特点考虑，不结合自己的安全战略考虑 脱离了用户自身的网络环境特点来测试防火墙是很不科学的，十戒 认清防火墙评测与管理(2)，不基于自己安全战略设计防火墙测试指标，更是背离了产品应用的初衷，但它在安全方面的作用也只限于此，安全世界里有更多更重要的工作要留给其他安全技

第五条：不要不结合自己网络特点考虑，不结合自己的安全战略考虑

脱离了用户自身的网络环境特点来测试防火墙是很不科学的，不基于自己安全战略设计防火墙测试指标，更是背离了产品应用的初衷。网络特点告诉用户自己的网里在跑什么样的包，构成成分、多大、什么协议。安全战略告诉用户防火墙买了是为了做什么，要怎么部、怎么配、怎么管。我们要为了“部”、“配”、“管”而“选”而“测”。

第六条：不要不警惕测试中的作弊行为

产品销售与购买属于商业行为，商业就不得不提防欺骗，在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人，假设极个别厂商在设备内作一些手脚(如用网线直接连通)，那么整个测试结果就会对其他诚信的厂商很不公平。

防火墙管理——用

第七条：不能对防火墙期望过高

防火墙，顾名思义，是旨在防范威胁之“火”的墙。不幸的是，这只是一厢情愿，管理员在防火墙上合理合法地为Web服务开一个80端口，黑客就可以利用软件漏洞来个SQL注入或者跨站攻击。客观地讲，没有防火墙是万万不能的，但有了防火墙不是万能的。

而用户们常常认识不到这点，要么以为边界上部署了防火墙就可以高枕无忧，要么把安全责任一股脑推到网管或防火墙管理员头上，要么凡是想重点保护什么信息资产就一定用防火墙把它罩起来……这样过高期望防火墙功效，会让整个信息系统疏于防范，建设投入不当，最终导致信息系统在高风险层面运转——说它为“傻”并不为过。

科学的做法是，对防火墙保持正确清醒的认识，理解它是网络层通信行为控制的有力武器，能为访问控制提供强有力的支撑，但它在安全方面的作用也只限于此，安全世界里有更多更重要的工作要留给其他安全技术实现，不要对防火墙有不切实际的期望。