来源：赛迪网

2007年，笔者一共写了两篇防火墙管理方面的评论，一篇是《中国计算机报》上《防火墙测评需规避六个误区》，一篇是《计算机世界》上的《防火墙管理四大傻》。两大IT传媒，正好一家来了一篇。

    6加上4，正好是10条。前6条教大家怎么买墙，后4条教大家怎么用墙。仔细想想，确实可以算是防火墙管理的10条警言了，整合起来，很值得防火墙管理者们参考。注意，管理者的范畴不仅是管理员，还有决策者。

    重新列一下：

    防火墙测评——买

    第一条：不要误信含糊实验条件的惊人数字

    亲阅过无数防火墙产品广告，一个个白纸黑字标称的4G吞吐量让人炫目，但如果把“64字节小包”、“线速”、“坚持几分钟”之类字眼抛出来，销售人员就会对吞吐量自己先变的吞吞吐吐起来。所以不能轻信厂商提供的各项数据，必须拿标准实验条件的测试结果来比对，或者重新搭建环境亲自来测试。

    第二条：不要喜欢在数字，而不考虑可管理性

测评中，用户往往过多地关注性能数字，但对于实际的网络安全管理来讲，两种产品间2%的差异、5%的差异就算10%的差异，真的能带来本质的区别么？一台防火墙配置界面操作是否方便？有否完备的日志管理功能？本墙能否存储日志？有无月度CPU、内存统计功能？可否方便查询已配策略……比起性能数字来，测评这些看似不切主题，但这种问题可是“谁用谁知道”！

    第三条：不要关注花哨功能，却不了解性能的隐忧

    这年头的防火墙，功能都是多多的，访问控制、防病毒、入侵检测/防御、VPN，叫功能异构也好，叫统一威胁管理也好，像个杂货铺一样。说这些功能“花哨”，是因为它们启动起来，对硬件资源性能的吞噬能力超乎人的想象。所以，拟定测评方案时就轻易不要把这些列在功能项里了吧？

    第四条：不要不科学看待高性能硬件架构

    硬件防火墙的性能高下离不开硬件架构种类。所谓高性能硬件架构，是对应于X86的传统工控机架构而言的，常见的有NP、ASIC等。对于高性能硬件架构，我们既不能不关注，也不能迷信。但关注的同时，又不能过分推崇“NP”“ASIC”，因为，最强的不一定是最好的和最适合你的。

    第五条：不要不结合自己网络特点考虑，不结合自己的安全战略考虑

    脱离了用户自身的网络环境特点来测试防火墙是很不科学的，不基于自己安全战略设计防火墙测试指标，更是背离了产品应用的初衷。网络特点告诉用户自己的网里在跑什么样的包，构成成分、多大、什么协议。安全战略告诉用户防火墙买了是为了做什么，要怎么部、怎么配、怎么管。我们要为了“部”、“配”、“管”而“选”而“测”。

    第六条：不要不警惕测试中的作弊行为

    产品销售与购买属于商业行为，商业就不得不提防欺骗，在测试中则是要警惕作弊行为。假设极个别厂商制作了专门用来测试的高性能“竞争测试版”产品唬人，假设极个别厂商在设备内作一些手脚(如用网线直接连通)，那么整个测试结果就会对其他诚信的厂商很不公平。

    防火墙管理——用

    第七条：不能对防火墙期望过高

    防火墙，顾名思义，是旨在防范威胁之“火”的墙。不幸的是，这只是一厢情愿，管理员在防火墙上合理合法地为Web服务开一个80端口，黑客就可以利用软件漏洞来个SQL注入或者跨站攻击。客观地讲，没有防火墙是万万不能的，但有了防火墙不是万能的。

    而用户们常常认识不到这点，要么以为边界上部署了防火墙就可以高枕无忧，要么把安全责任一股脑推到网管或防火墙管理员头上，要么凡是想重点保护什么信息资产就一定用防火墙把它罩起来……这样过高期望防火墙功效，会让整个信息系统疏于防范，建设投入不当，最终导致信息系统在高风险层面运转——说它为“傻”并不为过。

    科学的做法是，对防火墙保持正确清醒的认识，理解它是网络层通信行为控制的有力武器，能为访问控制提供强有力的支撑，但它在安全方面的作用也只限于此，安全世界里有更多更重要的工作要留给其他安全技术实现，不要对防火墙有不切实际的期望。

    第八条：不能对防火墙未以重任

    把防火墙定位为“网络层通信行为控制的有力武器”，有的读者会说这种观念太陈旧，认为现在应用层防火墙遍地都是，为什么要忽视防火墙的应用层控制能力？这就正应了防火墙管理的第二傻，给防火墙分配了与其能力不相当的重任。

    我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能，但这样的后果就是产品性能大受损耗，防火墙的CPU和内存在高风险位运转，甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。

    这么做确实很傻，有不少用户寄希望于外国的名墙、好墙能实现一墙多能，或者寄希望于ASIC把防火墙变得多才多艺，或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗，老外反入侵也仰仗IPS；ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求，就算有，防火墙性能不足也一样会殃及小企业。

    科学的做法是，让防火墙做好本职工作，尽量避免让它兼职或做第二职业。

    第九条：不能对防火墙滥用异构

    异构是体现安全管理中冗余思想的一种好方法，会增加安全保障系数。但什么事情都怕做过头了，我们可以适当采用异构，但如果迷信异构，滥用异构，就会成为防火墙管理的第三傻——不管有无实际需要，用两个品牌的防火墙串起来保护。

    滥用异构经常会导致无用功。其实防火墙的访问控制，可以被比喻成保安在门口查验来客的身份证，不管设多少层岗，查的内容如果一样就毫无意义。即使你用中外保安各一个，他们也都是在看阿拉伯数字，没什么区别（当然，如果某些用户应国家法律或监管需要而进行中外防火墙异构，要另当别论）。滥用异构的另一个重大危害是带来管理的复杂性，不同品牌防火墙的协同管理会很辛苦。

    科学的做法是，慎重考虑防火墙异构问题，按需部署，不要过分推崇异构，以免走上滥用之路。

    第十条：不能让防火墙规则粗放

    防火墙的看家本事是执行检查工作。一项检查工作是否有效，关键看检查依据定得如何，而防火墙的检查依据就是访问控制规则。

    防火墙的访问控制规则有两个要素，一是控制服务（通信端口）；二是控制访问源、目的地址（IP）。用户一般都知道严格控制前者，但对后者有时就粗放管理。如果用户使用了其他认证手段，在地址控制上粗放些倒无可厚非，否则就是第四傻。

    其实网络访问控制中，控制地址的重要性大于控制服务。服务由系统提供，理论上讲，系统安全做好了，关闭了不必要的端口并除去同一安全域内互访的端口，剩下的端口或许都得对外开放，只是开放的源地址不同。这就凸显了控制地址的重要性。

    而且要控制地址，就需要控制到具体的IP。除非诸如80端口之类确实要对任何应用提供服务的端口，否则不要轻易开放网段。另外，开放C类段未必比B类段安全很多，就像原本是要筛沙子的密格滤网，你开小窟窿和开大窟窿有多少本质区别呢？

    有人可能会说，如此详细控制会让规则激增，防火墙不堪重负。这个问题要靠改善网络部署或采用其他认证手段为防火墙代劳，不能为了性能就不坚持访问控制的安全性原则。

    科学的做法是，防火墙要对地址严格细致地控制，如果性能不济，通过综合规划来解决，不能因为“将就”而留下安全隐患。

    以上是笔者总结的防火墙管理中的几个误区，值得用户和工程实施人员关注。虽然“傻”这个字显得很绝对，但为了不被恶意入侵者事后同样用这个字嘲笑我们，大家还是事前把自己看得傻一点好。