我们的防火墙到底要放在哪呢？

问：我们的公司正在与Internet联网，同时，我们正在讨论放置防火墙的问题。我认为，为了实现最佳效果的安全，防火墙应放置在公司内；其他人则希望把防火墙置于我们的ISP处并在我们之间运行点到点T－1。尽管风险很小，但是，我认为在我们和防火墙之间存在出现一个未保护的回路的风险。我是否大错特错了？

　　 答：我认为放置防火墙的方式是在Internet边界放置一个，在你的Internet服务网络（有时称为DMZ）和企业网络之间放置一个。应让你的ISP在Internet边界管理防火墙。

　　 我推荐从ISP保护你的企业网络，放置一个ISP内部控制的防火墙。这种“双保险”方式使你能控制你的网络业务而将防火墙的基本设置工作让ISP去做。可以通过监控你的防火墙记录判定ISP防火墙是否在运行，你还可以在ISP在其它防火墙上实施新的策略规则前，在你的防火墙上测试它们。在今天的Internet中，两个防火墙比一个强，可以将它们分别置于你的DMZ的两端。可以考虑的另两种网络保护系统是在网关安装e－mail病毒扫描系统和入侵检测系统。