| |
3、 控制内部网络不同部门之间的访问
这种应用环境就是在一个企业内部网络之间,对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等,在这些部门网络主机中的数据对于企业来说是非常重要,它的工作不能完全离开企业网络,但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置,但这种方法需要配置三层以上交换机,同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离,在防火墙上进行相关的配置(比起VLAN来简单许多)。通过防火墙隔离后,尽管同属于一个内部局域网,但是其他用户的访问都需要经过防火墙的过滤,符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的,而且还要对用户身份的合法性(在防火墙中可以设置允许哪此些用户访问)进行识别。通常为自适应代理服务器型防火墙,这种防火墙方案还可以有日志记录功能,对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。
4、 控制对服务器中心的网络访问
对于一个服务器中心,比如主机托管中心,其众多服务器需要对第三方(合作伙伴、互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,其安全策略也各不相同。如果把它们都定义在同一个安全区域中,显然不能满足各用户的不同需求,这时我们就得分别设置。要按不同安全策略保护这些服务器,可以有两种方法:
(1)、为每个服务器单独配置一个独立的防火墙,网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易,但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火,对托管中心来说投资非常之大;而且托管中心管理员面对这么多防火墙,其管理难度可想而知。
(2)、采用虚拟防火墙方式,网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能,先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网,然后通过对高性能防火墙对VLAN子网的配置,就相当于将一个高性能防火墙划分为多个虚拟防火墙,其最终效果如图6一样。这种方案虽然配置较为复杂,但是这也只是首次配置,一旦配置好了,其后的使用和管理就相当方便了,就像用交换机管理多个VLAN子网一样来管理每个用户服务器,而且这种方案在现实中比较经济可行。
 |
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
