我们固然可以在防火墙上开启反病毒、入侵检测、抗DoS攻击等诸多其实连厂家都不真心推荐的功能，但这样的后果就是产品性能大受损耗，防火墙的CPU和内存在高风险位运转，甚至帮助入侵者实现他们梦寐以求的“拒绝服务”。

　　这么做确实很傻，有不少用户寄希望于外国的名墙、好墙能实现一墙多能，或者寄希望于ASIC把防火墙变得多才多艺，或者寄希望于小企业小环境使用。殊不知——外国墙也一样有性能损耗，老外反入侵也仰仗IPS；ASIC尚无法完全赋予防火墙这么好的身手; 小企业首先未必有这么丰富的安全需求，就算有，防火墙性能不足也一样会殃及小企业。

　　科学的做法是，让防火墙做好本职工作，尽量避免让它兼职或做第二职业。

　　第九条：不能对防火墙滥用异构

　　异构是体现安全管理中冗余思想的一种好方法，会增加安全保障系数。但什么事情都怕做过头了，我们可以适当采用异构，但如果迷信异构，滥用异构，就会成为防火墙管理的第三傻——不管有无实际需要，用两个品牌的防火墙串起来保护。

　　滥用异构经常会导致无用功。其实防火墙的访问控制，可以被比喻成保安在门口查验来客的身份证，不管设多少层岗，查的内容如果一样就毫无意义。即使你用中外保安各一个，他们也都是在看阿拉伯数字，没什么区别（当然，如果某些用户应国家法律或监管需要而进行中外防火墙异构，要另当别论）。滥用异构的另一个重大危害是带来管理的复杂性，不同品牌防火墙的协同管理会很辛苦。

　　科学的做法是，慎重考虑防火墙异构问题，按需部署，不要过分推崇异构，以免走上滥用之路。

　　第十条：不能让防火墙规则粗放

　　防火墙的看家本事是执行检查工作。一项检查工作是否有效，关键看检查依据定得如何，而防火墙的检查依据就是访问控制规则。

　　防火墙的访问控制规则有两个要素，一是控制服务（通信端口）；二是控制访问源、目的地址（IP）。用户一般都知道严格控制前者，但对后者有时就粗放管理。如果用户使用了其他认证手段，在地址控制上粗放些倒无可厚非，否则就是第四傻。

　　其实网络访问控制中，控制地址的重要性大于控制服务。服务由系统提供，理论上讲，系统安全做好了，关闭了不必要的端口并除去同一安全域内互访的端口，剩下的端口或许都得对外开放，只是开放的源地址不同。这就凸显了控制地址的重要性。

　　而且要控制地址，就需要控制到具体的IP。除非诸如80端口之类确实要对任何应用提供服务的端口，否则不要轻易开放网段。另外，开放C类段未必比B类段安全很多，就像原本是要筛沙子的密格滤网，你开小窟窿和开大窟窿有多少本质区别呢？

　　有人可能会说，如此详细控制会让规则激增，防火墙不堪重负。这个问题要靠改善网络部署或采用其他认证手段为防火墙代劳，不能为了性能就不坚持访问控制的安全性原则。

　　科学的做法是，防火墙要对地址严格细致地控制，如果性能不济，通过综合规划来解决，不能因为“将就”而留下安全隐患。

　　以上是笔者总结的防火墙管理中的几个误区，值得用户和工程实施人员关注。虽然“傻”这个字显得很绝对，但为了不被恶意入侵者事后同样用这个字嘲笑我们，大家还是事前把自己看得傻一点好。