| |
2、 控制来自第三方网络对内部网络的访问
这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。
在这种防火墙应用网络环境中,根据企业是否需要非军事区(放置一些供第三方网络用户访问的服务器)可以有两种具体的网络配置方案:
(1)需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器,供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样,整个网络同样可分为三个区域:
内部网络:这是防火墙要保护的对象,包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域,需对第三方用户透明隔离(透明是指“相当于不存在的”意思)。
外部网络:防火墙要限制访问的对象,包括第三方网络主机和设备。为防火墙的非可信网络区域。
DMZ(非军事区):由企业内部网络中一些外部服务器组成,包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。
需要保护的内部网络和DMZ区的安全策略也是不同的:需要保护的内部网络一般禁止来自第三方的访问,而DMZ则是为第三方提供相关的服务,允许第三方的访问。
同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构,保护内网安全。
我们仍考虑企业原有边界路由器设备,通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上,而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器,则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上,构成多宿主机模式。
(2)、 没有DMZ区:此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接,作为内部网络的一部分,只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是,这种配置可能带来极大的安全隐患,因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机,并以此为据点,进而破坏和攻击内部网络中的其它主机/服务器等网络资源。
以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样,在这种应用环境中,同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下,企业同样可以没有边界路由器。如果没有边界路由器,则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变,此时如图3和图4所示网络中,防火墙须直接与第三方网络连接,DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意,如图3所示的网络结构中,DMZ区就相当于没有任何保护,其实也称不上“DMZ区”,所以在企业没有边界路由器的情况下,通常不采用如图3所示网络结构,而是采用图4所示结构,把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起,只是在防火墙上对这些公众服务器进行特殊权限配置即可。
 |
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
