三、进一步的建议
没有一个防火墙的设计能够适用于所有的环境,所以建议选择防火墙时,应根据站点的特点来选择合适的防火墙。如果站点是一个机密性机构,但对某些人提供入站的FTP服务,则需要有强大认证功能的防火墙。
另外,不要把防火墙的等级看得过重。在各种报纸杂志中的等级评选中,防火墙的速度占有很大的比重。如果站点通过T1线路或更慢的线路连接到因特网上,大多数防火墙的速度完全能满足站点的需要。
下面是选购一个防火墙时,应该考虑的其他因素:
网络受威胁的程度;
若入侵者闯入网络,将要受到的潜在的损失;
其他已经用来保护网络及其资源的安全措施;
由于硬或软件失效,或防火墙遭到“拒绝服务侵袭”,而导致用户不能访问因特网,造成的整个机构的损失;
机构所希望提供给因特网的服务,以及希望能从因特网得到的服务;可以同时通过防火墙的用户数目;
站点是否有经验丰富的管理员;
今后可能的要求,如要求增加通过防火墙的网络活动或要求新的因特网服务。
四、防火墙的局限
我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限,有时防火墙会给人一种虚假的安全感,导致在防火墙内部放松安全警惕。而许多攻击正是内部犯罪,这是任何基于隔离的防范措施都无能为力的。同样,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广,这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够,大多数产品还需要网络管理员手工建立。当然,这一问题马上会得到改观。
防火墙在当今Internet上的存在是有生命力的,但它不能替代墙内的安全措施,因此,它不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
