|
在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单位原有网络设备情况而定。
如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。
如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。
|
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|