5. 使用默认的策略。

　　正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。

　　6. 有条件的妥协，而不是轻易的。

　　人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。

　　7. 使用分层手段。

　　并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。

　　8. 只安装你所需要的。

　　防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。

　　9. 使用可以获得的所有资源。

　　不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源:例如厂商信息，我们所编写的书，邮件组，和网站。

　　10. 只相信你能确定的。

　　不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。

　　11. 不断的重新评价决定。

　　你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。

　　12. 要对失败有心理准备。

　　做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。

上一页  [1] [2]