選擇防火墻的基本標準有哪些？

防火墻的基本配置原則默認情況下，所有的防火墻都是按以下兩種情況配置的：

●拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。

●允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。

可論證地，大多數防火墻默認都是拒絕所有的流量作為安全選項。

一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內的用戶在通過驗證之后可以訪問系統。

換句話說，如果你想讓你的員工們能夠發送和接收Email，你必須在防火墻上設置相應的規則或開啟允許POP3和SMTP的進程。在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程中需堅持以下三個基本原則：

（1）. 簡單實用：對防火墻環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。

而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。

每種產品在開發前都會有其主要功能定位，比如防火墻產品的初衷就是實現網絡之間的安全控制，入侵檢測產品主要針對網絡非法行為進行監控。

但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。

但是這些增值功能并不是所有應用環境都需要，在配置時我們也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。

（2）. 全面深入：單一的防御措施是難以保障系統的安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統。

這方面可以體現在兩個方面：

一方面體現在防火墻系統的部署上，多層次的防火墻部署體系，即采用集互聯網邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢測、網絡加密、病毒查殺等多種安全措施結合在一起的多層安全體系。

（3）. 內外兼顧：防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。

對內部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。

這方面體現在防火墻配置方面就是要引入全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。

目前來說，要做到這一點比較困難。