信阳电务段在哪:如何正确地部署防火墙?

来源:百度文库 编辑:95后网站 时间:2019/10/22 20:24:37

如何正确地部署防火墙?

http://www.techweb.com.cn 2011.5.13 11:01 51CTO.com ( 0条评论 )   .content_txt{font-size:14px; line-height:25px;}

【51CTO.com 独家特稿】防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个"中间分隔点"上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多"陷阱",本文将对几种方式进行分析。

方案一:错误的防火墙部署方式

传统的防火墙部署方式可能所有人都认为非常简单,将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源(比如说FTP服务器和Web服务器)的话,那么这将是一个非常危险的部署方式,如图1所示。理由其实非常简单,一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。因为在这种情况下,木马和病毒已经在内网中存在,而客户端和共享资源服务器在同一个网段,这无异于内网的安全隐患,防火墙对此无能为力,从而也失去了部署的意义了。

图1  错误的防火墙部署方式

 

 

方案二:使用DMZ

目前一个比较流行和正确的做法就是采用DMZ的防火墙部署方式,如图2所示。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在DMZ中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了方案一的缺点。

图2  使用DMZ的防火墙部署方式

 

 

方案三:使用DMZ+二路防火墙

为了加强方案二中防火墙的安全强度,目前有些企业将图2的架构优化成图3的架构,也就是使用DMZ+二路防火墙。另外,在此结构中选用防火墙,应尽量采用两家不同公司的产品,这样才有利于发挥这种架构的优势。

图3  使用DMZ+二路防火墙的部署方式

方案四:通透式防火墙

在前面的几种方案中,防火墙本身就是一个路由器,在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整,则相应的路由需要进行变更,维护和操作起来有一定的难度和工作量。

通透式防火墙则可以比较好的解决上述问题(如图4所示)。该类防火墙是一个桥接设备,并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层(也就是数据链路层),所以不会有任何路由的问题。并且,防火墙本身也不需要指定IP地址,因此,这种防火墙的部署能力和隐密能力都相当强,从而可以很好地应对黑客对防火墙自身的攻击,因为黑客很难获得可以访问的IP地址。

图4  通透式防火墙部署方式
6.设置一个DMA

  DMZ(隔离区)是内部(企业)网络与互联网之间的一个小网络。DMZ阻止外部用户直接访问公司计算机。在典型的设置中,DMZ会收到公司用户要访问网站和外部网其它信息的请求。DMZ开始处理这个信息的请求并且把这个数据包发回提出请求的机器。公司经常把Web服务器放在DMZ,这样,外部用户就可以访问它们的网站,但是不能访问公司网络托管的内部数据。

  有两种类型的DMZ。第一种称作“three-homed”边界网络。在这种设置中,防火墙有三个连接:第一个是内部网络连接、第二个是互联网连接、第三个是DMZ连接。第二种类型的DMZ称作背靠背边界网络,它使用两个防火墙。第一个防火墙连接到互联网和DMZ,第二个防火墙连接到你的内部网络和这个DMZ。这样,DMZ就位于内部和外部网络中间了。

  在这两种设置中,你要设置防火墙限制进出每一个网络的通讯。