十戒 认清防火墙评测与管理
2008-09-11 12:13:14 来源:WEB开发网核心提示: 第八条:不能对防火墙未以重任 把防火墙定位为“网络层通信行为控制的有力武器”,有的读者会说这种观念太陈旧,十戒 认清防火墙评测与管理(3),认为现在应用层防火墙遍地都是,为什么要忽视防火墙的应用层控制能力?这就正应了防火墙管理的第二傻,要另当别论),滥用异构的另一个
第八条:不能对防火墙未以重任
把防火墙定位为“网络层通信行为控制的有力武器”,有的读者会说这种观念太陈旧,认为现在应用层防火墙遍地都是,为什么要忽视防火墙的应用层控制能力?这就正应了防火墙管理的第二傻,给防火墙分配了与其能力不相当的重任。
我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能,但这样的后果就是产品性能大受损耗,防火墙的CPU和内存在高风险位运转,甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。
这么做确实很傻,有不少用户寄希望于外国的名墙、好墙能实现一墙多能,或者寄希望于ASIC把防火墙变得多才多艺,或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗,老外反入侵也仰仗IPS;ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求,就算有,防火墙性能不足也一样会殃及小企业。
科学的做法是,让防火墙做好本职工作,尽量避免让它兼职或做第二职业。
第九条:不能对防火墙滥用异构
异构是体现安全管理中冗余思想的一种好方法,会增加安全保障系数。但什么事情都怕做过头了,我们可以适当采用异构,但如果迷信异构,滥用异构,就会成为防火墙管理的第三傻——不管有无实际需要,用两个品牌的防火墙串起来保护。
滥用异构经常会导致无用功。其实防火墙的访问控制,可以被比喻成保安在门口查验来客的身份证,不管设多少层岗,查的内容如果一样就毫无意义。即使你用中外保安各一个,他们也都是在看阿拉伯数字,没什么区别(当然,如果某些用户应国家法律或监管需要而进行中外防火墙异构,要另当别论)。滥用异构的另一个重大危害是带来管理的复杂性,不同品牌防火墙的协同管理会很辛苦。
更多精彩
赞助商链接