企业防火墙构建的误区和实施策略

核心提示：引子 防火墙是保障网络安全的关键组件，但它只是安全企业网络的一个开端而已，企业防火墙构建的误区和实施策略，对管理员来讲，有必要关注支持失效转移的多防火墙设计，而不要全面出击，防火墙的设计目标一种良好的防火墙策略和网络设计应当能够减少（而不是根除）下面的这些安全风险：来自互联网的攻击DMZ服务的攻击 企业网络的任一部分攻

引子

防火墙是保障网络安全的关键组件，但它只是安全企业网络的一个开端而已。对管理员来讲，有必要关注支持失效转移的多防火墙设计。这种防火墙设计的最终结果应是易于管理、高性能、高可用性、高安全性的组合，而且还要少花钱。

要几个防火墙？

在防火墙的设计原理上历来有不少争论，争论的一个主要问题是到底拥有几个防火墙是最好的。笔者以为两个防火墙一般不会比一个防火墙好多少。因为在大多数的攻击事件中，防火墙自身的漏洞很少成为问题。黑客们通常并不需要攻克防火墙，因为他们可以通过开放的端口进入，并利用防火墙之后的服务器上的漏洞。此外，防火墙本身并没有什么吸引黑客攻击的地方，因为任何明智的管理员都会将配置防火墙使其丢弃那些连接防火墙的企图。例如，即使在用户的防火墙上有一个已知的SSH漏洞，这种威胁也只能来自防火墙指定的受到良好保护的管理工作站，更别说这种工作站被关闭的情况了。事实上，防火墙的最大问题在于其维护上的薄弱、糟糕的策略及网络设计。在与防火墙有关的安全事件中，人的因素造成的破坏占到了大约99%的比例。更糟的是，如果你运行多个厂商的防火墙，那么其成本将迫使用户放弃一些需要特别关注的问题。用户最好将有限的资源花费在强化一种平台上，而不要全面出击。

防火墙的设计目标

一种良好的防火墙策略和网络设计应当能够减少（而不是根除）下面的这些安全风险：

来自互联网的攻击DMZ服务的攻击

企业网络的任一部分攻击互联网

企业用户或服务器攻击DMZ服务器

DMZ服务器攻击用户、服务器，或者损害自身。

来自合伙人和外延网（extranet）的威胁

来自通过WAN连接的远程部门的威胁