以下的文章主要向大家講述的是部署不等同于安全，部署防火墻一般會有的6大誤區(qū)，防火墻作為企業(yè)安全保障，其已得到各企業(yè)的廣泛認同，幾乎每時每刻都會有企業(yè)將部署防火墻提上網(wǎng)絡(luò)安全議程。

部署不等于安全 部署防火墻六大誤區(qū) 部署不等于安全 部署防火墻六大誤區(qū)[2] 防火墻作為企業(yè)安全的重要保障已經(jīng)被各企業(yè)廣泛認同，幾乎每時每刻都會有企業(yè)將部署防火墻提上網(wǎng)絡(luò)安全議程。那么，是不是部署了防火墻之后就可以毫無后顧之憂了呢？本篇文章將講述部署防火墻過程中的六大誤區(qū)。

部署防火墻誤區(qū)之一：部署了防火墻并不等于絕對安全

防火墻對于企業(yè)網(wǎng)絡(luò)的保護作用是每位企業(yè)網(wǎng)管所共知的，可是，企業(yè)網(wǎng)絡(luò)部署了防火墻，并不意味著企業(yè)網(wǎng)絡(luò)就不再有安全威脅。舉個最簡單的例子，防火墻的功能僅僅能夠?qū)碜酝獠烤W(wǎng)絡(luò)的數(shù)據(jù)進行過濾，如果有人在企業(yè)網(wǎng)絡(luò)內(nèi)部搞破壞，防火墻是沒有任何防范作用的。

另外，防火墻對來自外部數(shù)據(jù)的過濾檢查是按照過濾規(guī)則進行的。如果一種網(wǎng)絡(luò)攻擊模式不在防火墻過濾規(guī)則之內(nèi)，防火墻對于這種網(wǎng)絡(luò)攻擊也是沒有任何防范能力的。為此，企業(yè)網(wǎng)管不要認為網(wǎng)絡(luò)中部署了防火墻，企業(yè)網(wǎng)絡(luò)就絕對安全，不再有任何安全隱患，部署了防火墻并不等于絕對安全。

部署防火墻誤區(qū)之二：長期不更新防火墻安全策略

防火墻可以阻擋來自外界的網(wǎng)絡(luò)攻擊，以及過濾一些網(wǎng)絡(luò)病毒，這都得益于防火墻設(shè)備的安全策略。如同殺毒軟件一樣，憑借防火墻自帶默認的安全策略，防火墻設(shè)備能夠阻擋已知的網(wǎng)絡(luò)攻擊模式，以及一部分網(wǎng)絡(luò)病毒；對于新的網(wǎng)絡(luò)攻擊模式，以及新的網(wǎng)絡(luò)病毒，防火墻是沒有任何防范能力的。要想讓防火墻能夠具備非常強大的防范能力，企業(yè)網(wǎng)管必須定期的更新防火墻的安全策略。

在網(wǎng)絡(luò)安全漏洞呈爆炸式增長的今天，如果長期不更新防火墻的安全策略，防火墻無疑會成為一個擺設(shè)。每當(dāng)遇到新的網(wǎng)絡(luò)安全漏洞，企業(yè)網(wǎng)管必須及時的更新防火墻的安全策略，只有這樣，防火墻才能真正成為企業(yè)網(wǎng)絡(luò)的安全保護神。

部署防火墻誤區(qū)之三：安裝防火墻設(shè)備的所有組件

眾所周知，部署防火墻這款網(wǎng)絡(luò)安全設(shè)備時，很多企業(yè)網(wǎng)管為了保障企業(yè)網(wǎng)絡(luò)的安全，通常會將防火墻所有的功能組件都安裝到防火墻設(shè)備中。從表面看，安裝了所有組件的防火墻，安全更有保障?？墒牵惭b了一些多余的防火墻組件之后，反而會降低防火墻的安全性能。

從技術(shù)角度來講，防火墻的工作過程與普通PC相似。對于一臺普通的PC來說，如果安裝了過多的功能組件，其系統(tǒng)響應(yīng)速度會變慢，尤其是PC開機時如果啟動了太多的項目，PC可能會因為不堪重負而死機。防火墻亦是如此，防火墻中的組件都是隨防火墻啟動而啟動的，如果網(wǎng)管部署防火墻時安裝了所有組件，勢必會耗費防火墻太多的資源，在網(wǎng)絡(luò)數(shù)據(jù)交換繁忙時，防火墻設(shè)備可能會因為系統(tǒng)資源不足而當(dāng)機。一旦防火墻當(dāng)機，防火墻將失去了作用，企業(yè)網(wǎng)絡(luò)也將失去防火墻的保護，其后果不難想象。為此，部署防火墻時，不要安裝防火墻設(shè)備的所有組件。

部署防火墻誤區(qū)之四：把防火墻當(dāng)成防病毒的武器

從理論上說，防火墻當(dāng)然可以防病毒，但防火墻只能防范通過網(wǎng)絡(luò)傳播的一部分病毒。道理很簡單，防火墻是位于網(wǎng)絡(luò)通路上的一道關(guān)卡，對于一切經(jīng)過它的數(shù)據(jù)包，它都可以過濾出禁止傳輸?shù)臄?shù)據(jù)?？墒牵蠖鄶?shù)病毒在傳播過程中是非常隱蔽的，防火墻的過濾規(guī)則很難有效的防范病毒入侵，看一下病毒傳播的過程就明白了。

病毒在隱蔽在網(wǎng)絡(luò)應(yīng)用層中的，在通過防火墻時，病毒被分為若干個數(shù)據(jù)包。不可否認，防火墻雖然可以過濾一些數(shù)據(jù)包，但分割為多個數(shù)據(jù)包的病毒，防火墻是很難識別的，除非防火墻能夠?qū)⑷舾蓚€數(shù)據(jù)包重新拼裝起來進行檢查，否則防火墻是不可能發(fā)現(xiàn)病毒的。防火墻對數(shù)據(jù)包的過濾，僅僅是決定轉(zhuǎn)發(fā)還是放棄，為此，防火墻的過濾規(guī)則很難防范通過網(wǎng)絡(luò)傳播的病毒。

不過，對于一些特征非常明顯的病毒，防火墻是可以過濾的。例如震蕩波病毒，在傳播過程中是占用TCP的某些端口，這時，只要企業(yè)網(wǎng)管將防火墻的端口封閉，震蕩波病毒將無法進入企業(yè)網(wǎng)絡(luò)中。在實際應(yīng)用中，能夠像震蕩波這樣有如此明顯特征的病毒很少。總的來說，防火墻對于病毒有一定的防范能力，但防范能力是非常有限的，為此，不要把防火墻當(dāng)成防病毒的有效武器。

部署防火墻誤區(qū)之五：忽略防火墻日志文件的作用

與任何一款網(wǎng)絡(luò)設(shè)備一樣，防火墻工作過程中也會自動生成日志。在企業(yè)網(wǎng)絡(luò)的日常維護中，很多企業(yè)網(wǎng)管認識防火墻日志的存在，更沒有意識到防火墻工作日志的重要性。對于防火墻的日志，企業(yè)網(wǎng)管存在著諸多誤區(qū)。

由于防火墻每天在過濾數(shù)百萬甚至上千萬的報文數(shù)據(jù)包，其生成的日志也是數(shù)量眾多。面對密密麻麻的日志文件，企業(yè)網(wǎng)管該從何處入手呢？其實，對于正常過濾的數(shù)據(jù)包記錄，企業(yè)網(wǎng)管是無需理會的。諸如丟棄、告警、日志等動作，企業(yè)網(wǎng)管需要慎重的進行審核，并且進行分析，以確定是否有非法的網(wǎng)絡(luò)攻擊存在，切莫忽視防火墻日志文件的作用。

部署防火墻誤區(qū)之六：過濾規(guī)則中有太多拒絕規(guī)則

對于防火墻的過濾規(guī)則，每位企業(yè)網(wǎng)管都非常熟悉。防火墻工作過程中，對于允許的數(shù)據(jù)包直接放行，而對于拒絕的規(guī)則，將直接拋棄。毫無疑問，如果防火墻的過濾規(guī)則中有太多的拒絕規(guī)則，將會浪費防火墻的系統(tǒng)資源，因為防火墻需要不斷的拒絕不符合規(guī)則的數(shù)據(jù)包，并且禁止其通過。為此，在配置防火墻的過濾規(guī)則時，要少用拒絕規(guī)則。

總結(jié)：防火墻有保護企業(yè)網(wǎng)絡(luò)安全的功能，可是，防火墻并不是萬能的，也會有漏洞。加之防火墻是一個機器，其保護功能需要人的設(shè)置才能提高。也就是說，要想讓防火墻的保護功能更加完善，部署防火墻時必須躲開上述誤區(qū)