在防火墙的设计事理上历来有不少争论，争论的一个首要问题是到底拥有几个防火墙是最好的。笔者觉得两个防火墙一般不会比一个防火墙良多多少少。因为在大大都的抨击袭击事务中，防火墙自身的裂痕很少成为问题。黑客们凡是并不需要并吞防火墙，因为他们可以经由过程开放的端口进入，并操作防火墙之后的处事器上的裂痕。此外，防火墙自己并没有侍趵睃引黑客抨击袭击的处所，因为任何明智的打点员城市将设置装备摆设防火墙使其丢弃那些毗连防火墙的狡计。例如，即使在用户的防火墙上有一个已知的SSH裂痕，这种威胁也只能来自防火墙指定的受到精采呵护的打点工作站，更别嗣魅这种工作站被封锁的情形了。事实上，防火墙的最大问题在于其维护上的亏弱、糟糕的策略及收集设计。在与防火墙有关的平安事务中，人的身分造成的破损占到了大约99%的比例。更糟的是，如不美观你运行多个厂商的防火墙，那么其成本将迫使用户抛却一些需要出格关注的问题。用户最好将有限的资本破耗在强化一种平台上，而不要周全出击。

　　防火墙的设计方针

　　一种精采的防火墙策略和收集设计理当能够削减(而不是肃除)下面的这些平安风险：

　　◆来自互联网的抨击袭击DMZ处事的抨击袭击

　　◆企业收集的任一部门抨击袭击互联网

　　◆企业用户或处事器抨击袭击DMZ处事器

　　◆DMZ处事器抨击袭击用户、处事器，或者损害自身。

　　◆来自合资人和国外网(extranet)的威胁

　　◆来自经由过程WAN毗连的远程部门的威胁

　　这些方针听起来也许有点过分头了，因为这根基上并不是传统的体例，不外它却其自身的事理。武汉软件开发培训学校整理

　　第一点长短常较着的，那就是限制经由过程互联网试图访谒DMZ处事器的处事端口，这就极大地削减了它们被并吞的机缘。例如，在一个SMTP邮件处事器上，仅许可互联网的通信经由过程25号TCP端口。是以，如不美观这台SMTP处事器恰巧在其处事器处事或轨范中有一个裂痕，它也不会被吐露在互联网上，蠕虫和黑客总在关心80号端口的裂痕。

　　下一条听起来可能有点儿怪僻，我们为什么要关心经由过程自己的收集来呵护公共收集呢?当然，任何平正易近都不理当漫衍恶意代码，这是起码的要求。但这样做也是为了更好地呵护我们自己的的收集毗连。以SQL slammer 蠕虫为例，如不美观我们部署了更好的防火墙策略，那么就可以防止对互联网的拒绝处事抨击袭击 ，同时还节约了互联网资本。

　　最欠好对于的是内部威胁。大都昂贵的防火墙并不能借助传统的设计来防止收集免受内部抨击袭击者的风险。如一个恶意用户在家里或其它处所将一台传染恶意代码的标识表记标帜本电脑挂接到收集上所造成的后不美观可想而知。一个精采的收集设计和防火墙策略理当能够呵护DMZ处事器，使其免受处事器和用户所带来的风险，就如同防御来自互联网的风险一样。

　　工作还有此外一方面。因为DMZ处事器吐露在公共的互联网上，这就存在着它被黑客或蠕虫破损的可能。打点员采纳法子限制DMZ处事器可能对内部处事器或用户工作站所造成的威胁是至关主要的。此外，一套稳健的防火墙策略还可以防止DMZ处事器进一步损害自身。如不美观一台处事器被黑客经由过程某种已知或未知的裂痕给破损了，他们做的第一件工作就是使处事器下载一个rootkit.防火墙策略理当防止下载这种工具。

　　还可以进一步削减来自国外网(Extranet)合资人及远程办公部门WAN的威胁。毗连这些收集的路由器使用了广域网手艺，如帧中继、VPN地道、租用私有线路等来保障，这些路由器也可以由防火墙来保障其平安。操作每一台路由器上的防火墙特征来实施平安性过分于昂贵，这样不单造成硬件成本高，更首要的是其设置和打点上难度也很大。企业的防火墙借助于跨越传统防火墙的附加功能可以供给简单而集中化的广域网和国外网的平安打点。

　　关头在于防火墙能够限制分歧收集区域的通信，这些区域是按照逻辑组织和功能目的划分的。但防火墙不能限制并呵护主机免受统一子网内的其它主机的威胁，因为数据绝对不会经由过程防火墙接管搜检。这也就是为什么防火墙撑持的区域越多，它在一个设计科学的企业收集中也就越有用。因为一些首要的厂商都撑持接口的汇聚，所以区域划分实现起来也就简零丁了。零丁一个千兆比特的端口可以轻松地撑持多个区域，而且比几个快速以太网端口的执行速度更快。