| |
这里介绍的防火墙是传统边界防火墙,不包括后面将要介绍的个人防火墙和分布式防火墙。首先介绍的是防火墙的几种典型应用拓扑结构。
一、防火墙的主要应用拓扑结构
边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。
传统边界防火墙主要有以下四种典型的应用环境,它们分别是:
●控制来自互联网对内部网络的访问
●控制来自第三方局域网对内部网络的访问
●控制局域网内部不同部门网络之间的访问
●控制对服务器中心的网络访问
下面分别予以介绍。
1、 控制来自互联网对内部网络的访问
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业,采用防火墙的目的就是这个。
在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常的访问。或许有人问,这样的话,这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处:一则可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用,节省了企业投资成本。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
