防火墙基本知识(3)

　　5．防火墙能否防止病毒的攻击？

　　防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。换句话说，防火墙不可能将安全意识（security-consciosness）交给用户一方。总之，防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本（ghostscript）和免费 PostScript阅读器的这类攻击。

　　对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外，而是保证每个脆弱的桌面系统都安装上病毒扫描软件，只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒，而绝大多数病毒是通过软盘传染上的。

　　尽管如此，还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。

　　6．在防火墙设计中需要做哪些基本设计决策？

　　在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前，有许多基本设计问题等着他去解决。

　　首先，最重要的问题是，它应体现你的公司或机构打算如何运行这个系统的策略：安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问（"queuing" access）提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂；防火墙的最终功能可能将是行政上的结果，而非工程上的决策。

　　第二个问题是：你需要何种程度的监视、冗余度以及控制水平？通过解决第一个问题，确定了可接受的风险水平（例如你的偏执到何种程度）后，你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说，你开始时先列出你的总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作的清单中。