| |
DMZ用于从公共的互联网访问的服务器。它直接位于防火墙之后,并且总是过滤通信。
外延网和广域网区域用于路由器的内部接口,此路由器连接的是远程WAN站点和合伙人的站点。使用这种配置准许用户保护WAN和外延网站点的安全,而不必购买或配置路由器自身的防火墙特性集。用户甚至可以将路由器的外部接口置于防火墙的一个非NAT区域上,这有助于防止黑客从外部破坏路由器。这种方法使得高可用性企业防火墙能够极大地保护多个路由器的安全。
临时区域也不是新东西,但它实质上是一种安全特性。在客户机需要访问VPN或互联网时,让其连接到拥有互联网访问能力的临时网络,而不是用户的内部LAN。这种区域在无线环境中是极为有用的。由于Wi-Fi架构技术支持VLAN等原因,单独一个无线Wi-Fi连接可以支持多个VLAN、一个运行着其自己的SSID和802.1x/EAP安全的内部VLAN、一个临时VLAN。这些例子仅仅是这种高级防火墙架构的一般应用。
结论
现代的防火墙的功能是很强大的,在此笔者必须强调防火墙仅仅是网络安全的开端。仅仅因为拥有了最佳的网络和防火墙设计并不能免去管理员其它的安全责任。防火墙只能减轻安全的危害,并不能清除漏洞。用户仍需要部署入侵检测/防御系统,因为这种系统可以积极地阻止攻击,并强化服务器安全,而且需要系统地为所有的设备和程序打补丁。最为重要的是,并不存在什么“刀枪不入”的机制,我们能做的就是极大地将攻击和破坏时间调整为最为合理的水平。“不可侵入的”是一种梦想而已。对待安全问题,我们只能保持低姿态,并为此不断努力。
|
|
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
