導(dǎo)語(yǔ)：以下是學(xué)習(xí)啦OMG小編為大家整理的勞動(dòng)法規(guī)的知識(shí)，希望你喜歡閱讀：

　　防火墻測(cè)評(píng)——買(mǎi)

　　第一條：不要誤信含糊實(shí)驗(yàn)條件的驚人數(shù)字

　　親閱過(guò)無(wú)數(shù)防火墻產(chǎn)品廣告，一個(gè)個(gè)白紙黑字標(biāo)稱(chēng)的4G吞吐量讓人炫目，但如果把“64字節(jié)小包”、“線(xiàn)速”、“堅(jiān)持幾分鐘”之類(lèi)字眼拋出來(lái)，銷(xiāo)售人員就會(huì)對(duì)吞吐量自己先變的吞吞吐吐起來(lái)。所以不能輕信廠商提供的各項(xiàng)數(shù)據(jù)，必須拿標(biāo)準(zhǔn)實(shí)驗(yàn)條件的測(cè)試結(jié)果來(lái)比對(duì)，或者重新搭建環(huán)境親自來(lái)測(cè)試。

　　第二條：不要喜歡在數(shù)字，而不考慮可管理性

　　測(cè)評(píng)中，用戶(hù)往往過(guò)多地關(guān)注性能數(shù)字，但對(duì)于實(shí)際的網(wǎng)絡(luò)安全管理來(lái)講，兩種產(chǎn)品間2%的差異、5%的差異就算10%的差異，真的能帶來(lái)本質(zhì)的區(qū)別么?一臺(tái)防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲(chǔ)日志?有無(wú)月度CPU、內(nèi)存統(tǒng)計(jì)功能?可否方便查詢(xún)已配策略……比起性能數(shù)字來(lái)，測(cè)評(píng)這些看似不切主題，但這種問(wèn)題可是“誰(shuí)用誰(shuí)知道”!

　　第三條：不要關(guān)注花哨功能，卻不了解性能的隱憂(yōu)

　　這年頭的防火墻，功能都是多多的，訪(fǎng)問(wèn)控制、防病毒、入侵檢測(cè)/防御、，叫功能異構(gòu)也好，叫統(tǒng)一威脅管理也好，像個(gè)雜貨鋪一樣。說(shuō)這些功能“花哨”，是因?yàn)樗鼈儐?dòng)起來(lái)，對(duì)硬件資源性能的吞噬能力超乎人的想象。所以，擬定測(cè)評(píng)方案時(shí)就輕易不要把這些列在功能項(xiàng)里了吧?

　　第四條：不要不科學(xué)看待高性能硬件架構(gòu)

　　硬件防火墻的性能高下離不開(kāi)硬件架構(gòu)種類(lèi)。所謂高性能硬件架構(gòu)，是對(duì)應(yīng)于X86的傳統(tǒng)工控機(jī)架構(gòu)而言的，常見(jiàn)的有NP、ASIC等。對(duì)于高性能硬件架構(gòu)，我們既不能不關(guān)注，也不能迷信。但關(guān)注的同時(shí)，又不能過(guò)分推崇“NP”“ASIC”，因?yàn)椋顝?qiáng)的不一定是最好的和最適合你的。

　　第五條：不要不結(jié)合自己網(wǎng)絡(luò)特點(diǎn)考慮，不結(jié)合自己的安全戰(zhàn)略考慮

　　脫離了用戶(hù)自身的網(wǎng)絡(luò)環(huán)境特點(diǎn)來(lái)測(cè)試防火墻是很不科學(xué)的，不基于自己安全戰(zhàn)略設(shè)計(jì)防火墻測(cè)試指標(biāo)，更是背離了產(chǎn)品應(yīng)用的初衷。網(wǎng)絡(luò)特點(diǎn)告訴用戶(hù)自己的網(wǎng)里在跑什么樣的包，構(gòu)成成分、多大、什么協(xié)議。安全戰(zhàn)略告訴用戶(hù)防火墻買(mǎi)了是為了做什么，要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測(cè)”。

　　第六條：不要不警惕測(cè)試中的作弊行為

　　產(chǎn)品銷(xiāo)售與購(gòu)買(mǎi)屬于商業(yè)行為，商業(yè)就不得不提防欺騙，在測(cè)試中則是要警惕作弊行為。假設(shè)極個(gè)別廠商制作了專(zhuān)門(mén)用來(lái)測(cè)試的高性能“競(jìng)爭(zhēng)測(cè)試版”產(chǎn)品唬人，假設(shè)極個(gè)別廠商在設(shè)備內(nèi)作一些手腳(如用網(wǎng)線(xiàn)直接連通)，那么整個(gè)測(cè)試結(jié)果就會(huì)對(duì)其他誠(chéng)信的廠商很不公平。

　　防火墻管理——用

　　第七條：不能對(duì)防火墻期望過(guò)高

　　防火墻，顧名思義，是旨在防范威脅之“火”的墻。不幸的是，這只是一廂情愿，管理員在防火墻上合理合法地為Web服務(wù)開(kāi)一個(gè)80端口，黑客就可以利用軟件漏洞來(lái)個(gè)SQL注入或者跨站攻擊?？陀^地講，沒(méi)有防火墻是萬(wàn)萬(wàn)不能的，但有了防火墻不是萬(wàn)能的。

　　而用戶(hù)們常常認(rèn)識(shí)不到這點(diǎn)，要么以為邊界上部署了防火墻就可以高枕無(wú)憂(yōu)，要么把安全責(zé)任一股腦推到網(wǎng)管或防火墻管理員頭上，要么凡是想重點(diǎn)保護(hù)什么信息資產(chǎn)就一定用防火墻把它罩起來(lái)……這樣過(guò)高期望防火墻功效，會(huì)讓整個(gè)信息系統(tǒng)疏于防范，建設(shè)投入不當(dāng)，最終導(dǎo)致信息系統(tǒng)在高風(fēng)險(xiǎn)層面運(yùn)轉(zhuǎn)——說(shuō)它為“傻”并不為過(guò)。

　　科學(xué)的做法是，對(duì)防火墻保持正確清醒的認(rèn)識(shí)，理解它是網(wǎng)絡(luò)層通信行為控制的有力武器，能為訪(fǎng)問(wèn)控制提供強(qiáng)有力的支撐，但它在安全方面的作用也只限于此，安全世界里有更多更重要的工作要留給其他安全技術(shù)實(shí)現(xiàn)，不要對(duì)防火墻有不切實(shí)際的期望。

　　第八條：不能對(duì)防火墻未以重任

　　把防火墻定位為“網(wǎng)絡(luò)層通信行為控制的有力武器”，有的讀者會(huì)說(shuō)這種觀念太陳舊，認(rèn)為現(xiàn)在應(yīng)用層防火墻遍地都是，為什么要忽視防火墻的應(yīng)用層控制能力?這就正應(yīng)了防火墻管理的第二傻，給防火墻分配了與其能力不相當(dāng)?shù)闹厝巍?/p>

　　我們固然可以在防火墻上開(kāi)啟反病毒、入侵檢測(cè)、抗DoS攻擊等諸多其實(shí)連廠家都不真心推薦的功能，但這樣的后果就是產(chǎn)品性能大受損耗，防火墻的CPU和內(nèi)存在高風(fēng)險(xiǎn)位運(yùn)轉(zhuǎn)，甚至幫助入侵者實(shí)現(xiàn)他們夢(mèng)寐以求的“拒絕服務(wù)”。

　　這么做確實(shí)很傻，有不少用戶(hù)寄希望于外國(guó)的名墻、好墻能實(shí)現(xiàn)一墻多能，或者寄希望于ASIC把防火墻變得多才多藝，或者寄希望于小企業(yè)小環(huán)境使用。殊不知——外國(guó)墻也一樣有性能損耗，老外反入侵也仰仗IPS;ASIC尚無(wú)法完全賦予防火墻這么好的身手; 小企業(yè)首先未必有這么豐富的安全需求，就算有，防火墻性能不足也一樣會(huì)殃及小企業(yè)。

　　科學(xué)的做法是，讓防火墻做好本職工作，盡量避免讓它兼職或做第二職業(yè)。

　　第九條：不能對(duì)防火墻濫用異構(gòu)

　　異構(gòu)是體現(xiàn)安全管理中冗余思想的一種好方法，會(huì)增加安全保障系數(shù)。但什么事情都怕做過(guò)頭了，我們可以適當(dāng)采用異構(gòu)，但如果迷信異構(gòu)，濫用異構(gòu)，就會(huì)成為防火墻管理的第三傻——不管有無(wú)實(shí)際需要，用兩個(gè)品牌的防火墻串起來(lái)保護(hù)。

　　濫用異構(gòu)經(jīng)常會(huì)導(dǎo)致無(wú)用功。其實(shí)防火墻的訪(fǎng)問(wèn)控制，可以被比喻成保安在門(mén)口查驗(yàn)來(lái)客的身份證，不管設(shè)多少層崗，查的內(nèi)容如果一樣就毫無(wú)意義。即使你用中外保安各一個(gè)，他們也都是在看阿拉伯?dāng)?shù)字，沒(méi)什么區(qū)別(當(dāng)然，如果某些用戶(hù)應(yīng)國(guó)家法律或監(jiān)管需要而進(jìn)行中外防火墻異構(gòu)，要另當(dāng)別論)。濫用異構(gòu)的另一個(gè)重大危害是帶來(lái)管理的復(fù)雜性，不同品牌防火墻的協(xié)同管理會(huì)很辛苦。

　　科學(xué)的做法是，慎重考慮防火墻異構(gòu)問(wèn)題，按需部署，不要過(guò)分推崇異構(gòu)，以免走上濫用之路。

　　第十條：不能讓防火墻規(guī)則粗放

　　防火墻的看家本事是執(zhí)行檢查工作。一項(xiàng)檢查工作是否有效，關(guān)鍵看檢查依據(jù)定得如何，而防火墻的檢查依據(jù)就是訪(fǎng)問(wèn)控制規(guī)則。

　　防火墻的訪(fǎng)問(wèn)控制規(guī)則有兩個(gè)要素，一是控制服務(wù)(通信端口);二是控制訪(fǎng)問(wèn)源、目的地址(IP)。用戶(hù)一般都知道嚴(yán)格控制前者，但對(duì)后者有時(shí)就粗放管理。如果用戶(hù)使用了其他認(rèn)證手段，在地址控制上粗放些倒無(wú)可厚非，否則就是第四傻。

　　其實(shí)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制中，控制地址的重要性大于控制服務(wù)。服務(wù)由系統(tǒng)提供，理論上講，系統(tǒng)安全做好了，關(guān)閉了不必要的端口并除去同一安全域內(nèi)互訪(fǎng)的端口，剩下的端口或許都得對(duì)外開(kāi)放，只是開(kāi)放的源地址不同。這就凸顯了控制地址的重要性。

　　而且要控制地址，就需要控制到具體的IP。除非諸如80端口之類(lèi)確實(shí)要對(duì)任何應(yīng)用提供服務(wù)的端口，否則不要輕易開(kāi)放網(wǎng)段。另外，開(kāi)放C類(lèi)段未必比B類(lèi)段安全很多，就像原本是要篩沙子的密格濾網(wǎng)，你開(kāi)小窟窿和開(kāi)大窟窿有多少本質(zhì)區(qū)別呢?

　　有人可能會(huì)說(shuō)，如此詳細(xì)控制會(huì)讓規(guī)則激增，防火墻不堪重負(fù)。這個(gè)問(wèn)題要靠改善網(wǎng)絡(luò)部署或采用其他認(rèn)證手段為防火墻代勞，不能為了性能就不堅(jiān)持訪(fǎng)問(wèn)控制的安全性原則。

　　科學(xué)的做法是，防火墻要對(duì)地址嚴(yán)格細(xì)致地控制，如果性能不濟(jì)，通過(guò)綜合規(guī)劃來(lái)解決，不能因?yàn)?ldquo;將就”而留下安全隱患。

　　以上是筆者總結(jié)的防火墻管理中的幾個(gè)誤區(qū)，值得用戶(hù)和工程實(shí)施人員關(guān)注。雖然“傻”這個(gè)字顯得很絕對(duì)，但為了不被惡意入侵者事后同樣用這個(gè)字嘲笑我們，大家還是事前把自己看得傻一點(diǎn)好。

　　謝謝觀賞