误区之三：安装防火墙设备的所有组件
    众所周知，部署防火墙这款网络安全设备时，很多企业网管为了保障企业网络的安全，通常会将防火墙所有的功能组件都安装到防火墙设备中。从表面看，安装了所有组件的防火墙，安全更有保障。可是，安装了一些多余的防火墙组件之后，反而会降低防火墙的安全性能。

    从技术角度来讲，防火墙的工作过程与普通PC相似。对于一台普通的PC来说，如果安装了过多的功能组件，其系统响应速度会变慢，尤其是PC开机时如果启动了太多的项目，PC可能会因为不堪重负而死机。防火墙亦是如此，防火墙中的组件都是随防火墙启动而启动的，如果网管部署防火墙时安装了所有组件，势必会耗费防火墙太多的资源，在网络数据交换繁忙时，防火墙设备可能会因为系统资源不足而当机。一旦防火墙当机，防火墙将失去了作用，企业网络也将失去防火墙的保护，其后果不难想象。为此，部署防火墙时，不要安装防火墙设备的所有组件。图二

    防火墙安装位置

    误区之四：把防火墙当成防病毒的武器
    从理论上说，防火墙当然可以防病毒，但防火墙只能防范通过网络传播的一部分病毒。道理很简单，防火墙是位于网络通路上的一道关卡，对于一切经过它的数据包，它都可以过滤出禁止传输的数据。可是，大多数病毒在传播过程中是非常隐蔽的，防火墙的过滤规则很难有效的防范病毒入侵，看一下病毒传播的过程就明白了。

    病毒在隐蔽在网络应用层中的，在通过防火墙时，病毒被分为若干个数据包。不可否认，防火墙虽然可以过滤一些数据包，但分割为多个数据包的病毒，防火墙是很难识别的，除非防火墙能够将若干个数据包重新拼装起来进行检查，否则防火墙是不可能发现病毒的。防火墙对数据包的过滤，仅仅是决定转发还是放弃，为此，防火墙的过滤规则很难防范通过网络传播的病毒。

    不过，对于一些特征非常明显的病毒，防火墙是可以过滤的。例如震荡波病毒，在传播过程中是占用TCP的某些端口，这时，只要企业网管将防火墙的端口封闭，震荡波病毒将无法进入企业网络中。在实际应用中，能够像震荡波这样有如此明显特征的病毒很少。总的来说，防火墙对于病毒有一定的防范能力，但防范能力是非常有限的，为此，不要把防火墙当成防病毒的有效武器。