防火墙的评估与防火墙知识的管理

简介：以下是OMG汇编的劳动法律法规知识。我希望你喜欢阅读：
防火墙评价mdash；mdash；买
一、不要误以为数量惊人的实验条件模糊。
亲阅人无数的防火墙产品广告，一个名义上的吞吐量4G放在黑与白的耀眼，但如果64字节包，线速度；分钟；喜欢的话抛出来，销售人员将他们的吞吐量首次改变。所以你不能相信厂家提供的数据，你必须比较测试结果与标准测试条件下，或重新构建环境，亲自测试。
第二：不喜欢在数字，而不是管理。
在评估过程中，用户往往更关注数字网络安全管理绩效，但实际来讲，2%、5%甚至10%的差异产品之间的差异，能真正带来便利或完整的墙日志管理功能可以存储日志没有每月的CPU，内存统计功能可以方便查询已从什么策略hellip防火墙配置界面本质上是不同的；hellip；绩效评估的数字，这些看似毫不相关，但这个问题是谁知道；！
第三个：不注重花哨的功能，却不知道演出的秘密。
今年的防火墙功能很多。访问控制、防病毒、入侵检测/防御、VPN被称为功能异构。他们被称为统一威胁管理，像一个杂货店。说这些功能花哨因为他们启动，吞食硬件性能的能力是超乎人类的想象。所以，不要把这些功能项目容易当你做了一个测试计划。
第四：不要看高性能硬件架构不科学
对硬件防火墙的性能不能从硬件体系结构分离。所谓的高性能的硬件体系结构是传统的工业控制机架构的x86，这是常见的NP、ASIC等。我们既不关心也不迷信的高性能的硬件架构。但同时，你可以不要太过分NPASIC因为最强的不是最好的，最适合你的。
第五：不要考虑你自己网络的特点，不要考虑你自己的安全策略。
从用户自身网络环境的特点来测试防火墙是非常不科学的。它不是基于他们自己的安全策略，防火墙设计测试指标，而且偏离原来的产品应用的意图。网络特征告诉用户什么样的包在自己的网络，运行的组成、大小和协议的安全策略，防火墙是告诉用户买什么做什么，怎么做，怎么搭配，以及如何管理它。我们想为部门和管和选择和；。
第六点：不要提防考试作弊。
产品销售和采购属于商业行为，企业要谨防上当受骗，在测试是要警惕作弊。很少有厂家生产的高性能的产品设计测试的测试版；竞争；虚张声势，个别企业对设备的一些假设（如电缆直接手连接），然后将测试结果对其他厂商的完整性是不公平的。
防火墙管理mdash；mdash；使用
第七：你不能指望防火墙太高了。
防火墙，顾名思义，是防范的威胁；火灾；墙上。不幸的是，这只是一厢情愿的想法，对防火墙的合法Web服务打开一个端口，80个管理员，黑客可以利用软件漏洞SQL注入和跨站脚本攻击。客观地说，没有防火墙是不可能的，但防火墙不是万能的。
用户往往不承认这一点，或者在防火墙的边界可以把安全责任高枕无忧、推流的网络防火墙管理员或主管，或那些想要关注的信息资产的保护将它所覆盖的防火墙如此高的期望会使防火墙功能保护信息系统，建设投资不当，导致在高风险水平运行——信息系统；mdash；这是是不是太愚蠢了。
科学的方法是保持清醒的防火墙的正确认识，理解它是一个强大的武器来控制网络通信层的行为，可以提供访问控制的强有力的支持，但它的作用在安全性也仅限于此，还有更多更重要的工作要实现在世界上的其他安全技术，不没有防火墙的不切实际的期望。
第八：你不能在防火墙上承担繁重的任务。
定位为防火墙；网络通信控制的有力武器；一些读者会说这个想法太老，现在应用层防火墙到处都是，为什么忽略防火墙应用层控制这个防火墙管理应该是第二傻的，它分配防火墙的能力还不完全。
我们可以打开防火墙、防病毒、入侵检测、反DoS攻击，甚至很多厂家也没有真正推荐这个功能，但这是产品性能损失的后果，防火墙CPU和内存在高风险的操作，甚至有助于实现入侵者的梦想拒绝服务；。
这样做是愚蠢的。许多用户希望墙壁和国外墙可以实现壁能量，或希望ASIC将使防火墙成为多才多艺，或希望使用它在一个小的商业环境。但是mdash；mdash；对外墙有相同的性能损失，反外国人的入侵也依靠IPS；ASIC没有完全赋予了这样一个好的防火墙技术；首先，小企业不可能有这么丰富的安全要求，即使有不足也会影响防火墙的性能为小型企业。
科学的方法是让防火墙工作得更好，尽量避免让它成为兼职或第二份工作。
第九：不能滥用防火墙的异构性。
异构性是体现在安全管理中的冗余思想的好方法，它将提高安全系数，但我们害怕做什么。我们可以适当地采用异构。但如果迷信是异构和滥用的异质性，它将成为第三个傻——和防火墙管理mdash；不顾实际需要，我们将用两个品牌的防火墙来保护他们。
滥用异构通常会导致无用的工作。事实上，防火墙的访问控制可以比作门口的安全访问者的身份证。安装不管多少级的帖子，搜索的内容将是毫无意义的，即使你使用国外的安全，他们也在阿拉伯数字，没有什么区别（当然，如果某些用户应国家法律或法规要求中外防火墙异构的，另一个。）。误用异构的另一个主要的危害是管理的复杂性，以及不同品牌的防火墙协同管理将很难。
科学的方法是仔细考虑防火墙的异构性，按需部署，不要过分推崇异构性，以免滥用。
第十：防火墙的规则不能被广泛使用。
防火墙是检查房屋检修工作技术的实施，检查是否有效，关键在于检查依据的确定，防火墙的检查依据是访问控制规则。
防火墙的访问控制规则的因素有两个，一个是控制服务（通信端口），和二是访问控制的源和目的地址（IP）。用户通常知道前者是严格控制的，但后者有时还是粗心。如果用户使用其他的认证方式，这是第四个愚蠢的是地址控制粗糙。
事实上，在网络访问控制中，控制地址的重要性要比控制服务的重要性更大，服务是由系统提供的。从理论上讲，系统安全性良好，不需要的端口被关闭，并且在相同安全域中访问的端口被删除。其余的端口可能必须向公众开放，但开源地址是不同的，这突出了控制地址的重要性。
和控制地址，你需要控制特定的IP。不要打开段容易除非一个端口，如80端口，真正需要服务的任何应用程序。此外，开放C类B类未必比安全很多，原来是筛砂过滤你在密网开一个小洞，和一个大洞，有多少本质区别。
可以说，这样的详细控制会增加规则，而防火墙是难以忍受的。这个问题取决于网络的改进还是通过其他的认证手段来部署防火墙来做的，而不是出于性能上不遵守安全访问控制的原则。
科学的方法是严格严格地控制地址。如果表现不好，就不能通过全面规划来解决。它不能因为落后而掉队。
以上是防火墙管理中的一些误区，值得用户和工程师重视，虽然傻这个词是很傻的，但是为了不被恶意入侵者所嘲笑，我们在自己面前还是显得很傻。
谢谢收看