十戒 认清防火墙评测与管理

核心提示： 第八条：不能对防火墙未以重任 把防火墙定位为“网络层通信行为控制的有力武器”，有的读者会说这种观念太陈旧，十戒 认清防火墙评测与管理(3)，认为现在应用层防火墙遍地都是，为什么要忽视防火墙的应用层控制能力？这就正应了防火墙管理的第二傻，要另当别论），滥用异构的另一个

第八条：不能对防火墙未以重任

把防火墙定位为“网络层通信行为控制的有力武器”，有的读者会说这种观念太陈旧，认为现在应用层防火墙遍地都是，为什么要忽视防火墙的应用层控制能力？这就正应了防火墙管理的第二傻，给防火墙分配了与其能力不相当的重任。

我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能，但这样的后果就是产品性能大受损耗，防火墙的CPU和内存在高风险位运转，甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。

这么做确实很傻，有不少用户寄希望于外国的名墙、好墙能实现一墙多能，或者寄希望于ASIC把防火墙变得多才多艺，或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗，老外反入侵也仰仗IPS；ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求，就算有，防火墙性能不足也一样会殃及小企业。

科学的做法是，让防火墙做好本职工作，尽量避免让它兼职或做第二职业。

第九条：不能对防火墙滥用异构

异构是体现安全管理中冗余思想的一种好方法，会增加安全保障系数。但什么事情都怕做过头了，我们可以适当采用异构，但如果迷信异构，滥用异构，就会成为防火墙管理的第三傻——不管有无实际需要，用两个品牌的防火墙串起来保护。

滥用异构经常会导致无用功。其实防火墙的访问控制，可以被比喻成保安在门口查验来客的身份证，不管设多少层岗，查的内容如果一样就毫无意义。即使你用中外保安各一个，他们也都是在看阿拉伯数字，没什么区别（当然，如果某些用户应国家法律或监管需要而进行中外防火墙异构，要另当别论）。滥用异构的另一个重大危害是带来管理的复杂性，不同品牌防火墙的协同管理会很辛苦。