防火墙的设计原则

防火墙能否起到防护作用。最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大。(I)防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解，目前只有美国ISS公司提供有防火墙性能测试的工具软件。(2)防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。(3)选择“谁”进行公正的测试也是一个问题。可见，防火墙的性能测试绝不是一件简单的事情，但这种测试又相当必要，因为不进行测试.就不能证明防火墙的安全.

防火墙安装和投人使用后，要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系.时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch〕产品，此时应尽快确认真伪，并对防火墙软件进行更新.

评价防火墙性能如何，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹.而且要看到一旦防火墙被攻破，它的状态如何。按级别来分，它应有以下4种状态。1、未受伤害能够继续正常工作 ，2、关闭并重新启动，同时恢复到正常工作状态，3、关闭并禁止所有的数据通行，4、关闭并允许所有的数据通行。前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证.无法确定其失效状态等级，因此网络必然存在安全隐患。