巴绨踩笔鞘毕卤冉狭餍械囊桓龃剩庵饕且蛭鞴竞透鋈硕急纫酝私庑畔踩闹匾裕苑阑鹎讲烦闪讼衷谧钊让诺耐绮分唬τ迷诟鞲鲂幸怠5牵庥辛朔阑鹎交故遣恍械模绾魏侠淼陌卜欧阑鹎剑怪⒒映鲎詈玫男Ч呛枚嘤没Ш芡诽鄣囊患虑椋衷冢臀蠹宜邓滴业目捶ā!
∮腥巳衔耸迪肿罴研Ч陌踩阑鹎接Ψ胖迷诠灸冢灰灿械娜嗽蛳M逊阑鹎街糜谒堑腎SP处并在之间运行点到点T-1,这样就能受到很好的效果了。
其实两种方法都不是最好的,第一个方法控制的范围太小,第二个方法则在公司和防火墙之间存在出现一个未保护的回路的风险。
那应该怎么办呢?
我个人认为放置防火墙的方式是在Internet边界放置一个,在你的Internet服务网络(有时称为DMZ)和企业网络之间放置一个。这样就可以你的ISP在Internet边界管理防火墙,达到最好效果。从ISP处保护你的企业网络,放置一个ISP内部控制的防火墙。
这种“双保险”方式使你能控制你的网络业务而让ISP去做防火墙的基本设置工作。你可以通过监控你的防火墙记录判定ISP防火墙是否在运行,你还可以在ISP要在其它防火墙上实施新的策略规则前,在你的防火墙上测试它们。在今天的Internet中,两个防火墙比一个强,这样做成本是大点,但是分别置于你的DMZ的两端的防火墙会把你的信息风险降到最小。
当然这不是唯一的方法,还可以考虑的在网关安装e-mail病毒扫描系统和入侵检测系统,这也可以达到比较不错的效果。
