如何放置防火牆

　　“網絡安全”是時下比較流行的一個詞，這主要是因為各公司和個人都比以往更了解信息安全的重要性，所以防火牆產品成了現在最熱門的網絡產品之一，應用在各個行業。但是，光有了防火牆還是不行的，如何合理的安放防火牆，使之發揮出最好的效果，是好多用戶很頭疼的一件事情，現在，就為大家說說我的看法。
　　
　　 　　有人認為為了實現最佳效果的安全，防火牆應放置在公司內；也有的人則希望把防火牆置於他們的ISP處並在之間運行點到點T－1，這樣就能受到很好的效果了。
　　
　　 　　其實兩種方法都不是最好的，第一個方法控制的范圍太小，第二個方法則在公司和防火牆之間存在出現一個未保護的回路的風險。
　　
　　 　　那應該怎麼辦呢？
　　
　　 　　我個人認為放置防火牆的方式是在Internet邊界放置一個，在你的Internet服務網絡（有時稱為DMZ）和企業網絡之間放置一個。這樣就可以你的ISP在Internet邊界管理防火牆，達到最好效果。從ISP處保護你的企業網絡，放置一個ISP內部控制的防火牆。
　　
　　 　　這種“雙保險”方式使你能控制你的網絡業務而讓ISP去做防火牆的基本設置工作。你可以通過監控你的防火牆記錄判定ISP防火牆是否在運行，你還可以在ISP要在其它防火牆上實施新的策略規則前，在你的防火牆上測試它們。在今天的Internet中，兩個防火牆比一個強，這樣做成本是大點，但是分別置於你的DMZ的兩端的防火牆會把你的信息風險降到最小。

.

　　
　　 　　當然這不是唯一的方法，還可以考慮的在網關安裝e－mail病毒掃描系統和入侵檢測系統，這也可以達到比較不錯的效果。

回顧文章：全面實戰Windows XP防火牆 .