10.3.3 防火墙设计
当进行防火墙设计时 ，需要从以下几个方面进行考虑。
1、防火墙的基本准则
防火墙可以采取两种截然不同的基本准则：
“拒绝一切未被允许的东西”，这一准则的含义是，防火墙应该先封锁所有信息流的出入，然后只对所希望的服务或应用程序逐项解除封锁。由于防火墙只支持相关的服务，因此，通过这个准则，可以创建相对安全的环境。但这种准则的弊端是，它使用了最大程度的限制以保证系统的安全，因而限制了用户可选择的服务范围。
“允许一切未被特别拒绝的东西”，这一准则的含义是，防火墙可以转发所有的信息流，然而要对可能造成危害的服务进行删除。这种方法比前一种方法显得更灵活一些，可使用户得到更多的服务。但其弊端是，网管人员任务太繁重，他必须知道哪些服务应该被禁止，有些时候，对禁止的内容可能并不全面。
2、机构的安全策略
防火墙并不是孤立的，它是一个系统安全中不可分割的组成部分。安全政策必须建立在认真的安全分析、风险评估和商业需要分析的基础之上。如果一个机构没有一项完备的安全策略，大多数精心制作的防火墙可能形同虚设，使整个内部网络暴露给攻击者 。
3、防火墙的费用
防火墙的费用取决于它的复杂程度以及要保护的系统规模。一个简单的包过滤式防火墙可能费用最低，因为包过滤本身就是路由器标准功能的一部分，也就是说一台路由器本身就是一个可以做为防火墙的设备。在商业里为了提高公司内部机密更加严紧性，所以需要专门购买较好的安全设备，但这些设备的价格非常不菲。有些网管理在主机上使用一些安全软件，随然没有设备的价格的昂贵，但软件会占用系统资源且还要定期升级这都需要一批昂贵的费用的。

回书目   上一节   下一节