防火墻的部署需要遵循哪些原則

• 簡單實用

  對防火墻環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。

  每種產品在開發前都會有其主要功能定位，比如防火墻產品的初衷就是實現網絡之間的安全控制，入侵檢測產品主要針對網絡非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應用環境都需要，在配置時我們也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。

• 全面深入

  單一的防御措施是難以保障系統的安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統。這方面可以體現在兩個方面：一方面體現在防火墻系統的部署上，多層次的防火墻部署體系，即采用集互聯網邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢測、網絡加密、病毒查殺等多種安全措施結合在一起的多層安全體系。

• 內外兼顧

  防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。這方面體現在防火墻配置方面就是要引入全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。

回答所涉及的環境：聯想天逸510S、Windows 10。