问:我们的公司正在与Internet联网,同时,我们正在讨论放置防火墙的问题。我认为,为了实现最佳效果的安全,防火墙应放置在公司内;其他人则希望把防火墙置于我们的ISP处并在我们之间运行点到点T-1。尽管风险很小,但是,我认为在我们和防火墙之间存在出现一个未保护的回路的风险。我是否大错特错了? 答:我认为放置防火墙的方式是在Internet边界放置一个,在你的Internet服务网络(有时称为DMZ)和企业网络之间放置一个。应让你的ISP在Internet边界管理防火墙。 我推荐从ISP保护你的企业网络,放置一个ISP内部控制的防火墙。这种“双保险”方式使你能控制你的网络业务而将防火墙的基本设置工作让ISP去做。可以通过监控你的防火墙记录判定ISP防火墙是否在运行,你还可以在ISP在其它防火墙上实施新的策略规则前,在你的防火墙上测试它们。在今天的Internet中,两个防火墙比一个强,可以将它们分别置于你的DMZ的两端。可以考虑的另两种网络保护系统是在网关安装e-mail病毒扫描系统和入侵检测系统。
(出处:http://www.sheup.com)