只有当防火墙可以或许明显削减风险，而且你能熟悉到它们会激发扩大性和可用性问题时，才应用防火墙。实用情况:无论何时都实用。只对服从PI和PCI等律例的主要数据采取防火墙。对价值低的静态数据，不要采取防火墙。防火墙会下降可用性，造成不需要的护展瓶颈。固然防火墙很有效，但它们平日会被滥用，假如设计或实行欠妥，可用性和扩大性都邑受影响。

决议采取哪种平安办法最终应当从利润最年夜化的方面斟酌。平日平安办法只是削减风险的一种办法。而风险则是产生某个动作且该动作会造成影响或伤害的可能性。防火墙经由过程减小事宜产生的可能性来下降风险。采取防火墙会有些额外的开支，对可用性也会有必定的影响(从而也会影响到收益和客户满足度)，平日还会影响扩大性，在收集流量或事务数目方面造成扩大瓶颈。遗憾的是，很多公司都把防火墙看作独一的平安手腕。他们滥用防火墙，却没有充足应用其他更平安的办法。

关于防火墙对可用性的影响，我们不克不及轻描淡写一笔带过。依据我们的经验，造成站点故障停工的重要原因是数据库故障，其次就是防火墙故障。同同样地，这个原则就是要削减防火墙的数目。然则要记住，在你削减不需要的或过剩的防火墙的同时，还有许多其他关系到平安性的工作要做。依据我们的经验，应把防火墙看做一种周边平安装备。也就是说，它会增长产物的感知成本和现实成本。就这一点而言，防火墙的功效与房间的门锁类似。事实上，我们]以为房子这个比方很合适解释若何对待防火墙，所以下面就以这个比方为基本进行解释

在你的房子中，有几块区域很可能没有上锁。例如，你可能不会给前院上锁，还可能会把一些相对较便宜的器械放在前院里，如浇水的软管和园艺对象。你还可能会把自行车放在前院中，固然你知道把它放在车库中，贼更不轻易偷走它。更有可能，你给后门也上了锁，甚至还有门栓，浴室和卧室可能也有小型的隐私锁。而房子的其他房间，包含衣橱等，可能都没有锁。为什么要差别看待分歧的区域呢?

房子室外的区域，固然对你来说很有价值，但对别人来说，却没有值得偷盗的价值。即使你很看重本身的前院，然则也不会以为有人愿意拿着铁锨来把它挖走，移到别处去。你可能会担忧有人骑车压过它，损坏了草坪或花酒头，但这种担忧还不足以让你花钱用栅栏(并非装潢性的那种)把它围起来，损坏了本身和邻人的优越视野。

室内安装锁的目标只是为了掩护隐私。年夜多半室内的门并没有为了防止好奇者的窥视而装锁。我们并没有给年夜多半的室内门上锁或门栓，因为它们只会给我们带来麻烦，这些锁带来的平安感还抵消不了它们造成的麻烦。

如今想想你的产物。有些方面的内容，如静态图像、CSs文件、Javascript文件等，它们对你来说虽很主要，但并不须要高端的平安办法。在很多情形中，都是经由过程外部收集的边沿缓存(或内容分发收集)来传输这些属性的。同样地，不该该让这些对象再经由额外的关节(防火墙)来下降全局可用性，因为额外的收集瓶颈限制了扩大性。确保经由过程私有IP地址和端口80与443传递这些对象，这不仅可以节俭成本还能削减防火墙的负载。

再回头看看防火墙的价值和成本，让我们研讨一个别系，应用该系统，可以决议何时何地应当实行防火墙。我们已经介绍过，防火墙会让我们支付以下的价值，即购置防火墙的扶植成本。有了防火墙，还要对它进行额外的扩大，而上且它在事务的症结路线上增长了装备，有可能出故障或激发问题，从而对可用性也造成了影响。我们也介绍过防火墙的价值，即它可以阻拦或者妨害那些想偷盗或者伤害我们产物的行动。

起首是数据对进击者的价值与实行防火墙的成本根本上成反比。固然两者关系并非老是如斯，但对我们很多客户的产物来说确切如斯。静态对象引用是页面上的重要对象要求，平日也是页面上最多的元素。是以，跟着事务处置速度和吞吐量的增长，防火墙的成本会增长。在你想到它们对进击者来说毫无价值时，就会认为防火墙更贵。斟酌到防火墙会对可用性发生的影响以及购置防火墙的成本，而这种数据又不是进击者的重要目的所以该种数据不值得如斯投咨。对干这种数口要F保它们应用的是私有IP空间(如10.X.Y.Z)，而且只有经由过程端口80和443的要求能力拜访它们即可。

不外，另一方面，我们还有诸如信誉卡号、银行账户信息和社会保障编码如许的数据。这些数据对进击者具有很高的价值。掩护这种数据的成原形对于掩护其他对象来说较低，因为它们的要求频率比其他对象低。这种对象，我们绝对应当锁定。

对于我们的平台所办事的其他要求，没有需要确保所有的客户搜刮都经由防火墙。那么我们掩护什么，办事器自身吗?我们可以掩护本身的资产，经由过程包过滤、路由器和运营商关系等，使它们免于受到散布式谢绝办事之类的进击。应用限制拜访体系的端口的方法可能会掉败。假如进击者对这些办事并没有极年夜兴致，那么我们也没有需要把它看成皇冠上的珠宝，消费年夜量的金钱，以下降可用性为价值来掩护它们。

简而言之，不要假设所稀有据都须要一致级其余掩护。是否采取网站设计防火墙是一项贸易决议，该决议要可以或许在就义可用性增长成本的情形降低低风险。太多公司把防火墙看作一元的决议，即假如我们的站点有防火墙，那么所有要求都要经由防火墙，但事实是，防火墙只是浩瀚用于下降风险的对象之一。在你的产物中，并非所稀有据都值得经由过程增长成本及就义可用性来掩护。与其他任何一项贸易决议一样，是否采取防火墙也须要衡量，而不是在实行中采取一模一样的办法。斟酌到防火墙的特征，从产物的扩大方面来看，它很轻易成为最年夜的瓶颈。