今天，數(shù)據(jù)中心是企業(yè)甚至是政府部門的重要核心資產(chǎn)，因此如何確保其安全穩(wěn)定的運行，已成為政企客戶的首要關注點。其中，防火墻的部署更是幫助企業(yè)形成多層網(wǎng)絡防御的關鍵組成部分。

     目前，一些最新的數(shù)據(jù)中心防火墻產(chǎn)品已經(jīng)具備了諸如立體式防御和阻擋應用層DDoS攻擊，高級服務器負載均衡，數(shù)據(jù)加速和SSL卸載，多租戶、靈活的數(shù)據(jù)過濾等先進的防護功能。然而，為了將防火墻的能力發(fā)揮到極致，企業(yè)還需要注意以下三個方面。

1、測試防火墻性能  

        不要只通過防火墻在默認狀態(tài)下的性能表現(xiàn)來判斷其優(yōu)劣，因為現(xiàn)在很多數(shù)據(jù)中心托管的應用程序與服務都是基于SaaS和云計算的。諸如智能手機、平板等移動設備而產(chǎn)生的數(shù)據(jù)包，不僅要大流量管道才能滿足網(wǎng)絡的訪問需要，而且必須在網(wǎng)絡邊緣給予審核。 

        對于網(wǎng)絡安全設備來說，在處理上述不可預知的容量與流量并發(fā)的時候，會產(chǎn)生大量的網(wǎng)絡延遲，并降低關鍵應用和服務的性能，今天的防火墻設備更是需要處理日益增多的數(shù)據(jù)流量。因此，這就與默認狀態(tài)下的性能表現(xiàn)會有很大差別，也有必要為了確保制定的安全策略與防火墻進行最佳適配，而不定期進行防火墻的性能測試。  

2、檢查加密流量  

        確保防火墻可以檢查所有流量，包括加密的流量。雖然很多網(wǎng)絡流量都是通過SSL（安全套接層，Secure Sockets Layer）和SSH（安全外殼協(xié)議，Secure Shell）加密，來保障交互數(shù)據(jù)的安全，但實際上，對于攻擊者來說，也會利用它們來加密惡意活動，并隱瞞與入侵系統(tǒng)的通信。據(jù)估計，在擊中企業(yè)網(wǎng)絡的所有流量中，有三分之一以上的攻擊流量是被加密的。  

        因此，如果沒有一種方法來解密流量的話，那么你的防火墻面對攻擊者的威脅將是盲目的，而且可能會在加密流量面前栽跟頭。雖然目前一些新式防火墻已經(jīng)能夠解密和檢查加密流量，但大量運行著的傳統(tǒng)防火墻并不具備這個功能。而如果你的防火墻屬于后者，那么就有必要在SSL流量抵達之前給予攔截。并且，現(xiàn)在一些IT服務供應商可提供代理服務器來幫助企業(yè)實現(xiàn)流量的攔截過濾服務。  

3、查看防護策略  

        確保定期地審查防火墻策略規(guī)則。因為即使一開始企業(yè)制定的一套安全策略是有效的，但隨著時間的推移，該策略規(guī)則都有被淘汰的可能，變成冗余和矛盾的存在。所以，建議至少每半年檢查一次防火墻策略集，刪除過時、未使用的和過期的策略規(guī)則。而當添加新策略時，要確保其與現(xiàn)行策略不重復和不沖突。  

        最后，為了確保企業(yè)數(shù)據(jù)中心網(wǎng)絡的安全，將上述各注意點切實在防火墻設備上付諸實踐也是非常關鍵的。