問:我們的公司正在與Internet聯(lián)網(wǎng),同時,我們正在討論放置防火墻的問題。我認為,為了實現(xiàn)最佳效果的安全,防火墻應放置在公司內(nèi);其他人則希望把防火墻置于我們的ISP處并在我們之間運行點到點T-1。盡管風險很小,但是,我認為在我們和防火墻之間存在出現(xiàn)一個未保護的回路的風險。我是否大錯特錯了?
答:我認為放置防火墻的方式是在Internet邊界放置一個,在你的Internet服務網(wǎng)絡(有時稱為DMZ)和企業(yè)網(wǎng)絡之間放置一個。應讓你的ISP在Internet邊界管理防火墻。
我推薦從ISP保護你的企業(yè)網(wǎng)絡,放置一個ISP內(nèi)部控制的防火墻。這種“雙保險”方式使你能控制你的網(wǎng)絡業(yè)務而將防火墻的基本設置工作讓ISP去做。可以通過監(jiān)控你的防火墻記錄判定ISP防火墻是否在運行,你還可以在ISP在其它防火墻上實施新的策略規(guī)則前,在你的防火墻上測試它們。在今天的Internet中,兩個防火墻比一個強,可以將它們分別置于你的DMZ的兩端??梢钥紤]的另兩種網(wǎng)絡保護系統(tǒng)是在網(wǎng)關安裝e-mail病毒掃描系統(tǒng)和入侵檢測系統(tǒng)。
