| |
二、防火墙的应用配置
在传统边界防火墙应用配置中,最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。下面具体介绍。
1、 DMZ(非军事区)应用配置
DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到,由此可见它非常重要,为此我们有必要再次对这样一个防火墙技术进行更深入的研究。
DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点,在其中放置的都是一些可供内、外部用户宽松访问的服务器,或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内,否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙,只是在此想充分利用企业原有设备,节省企业投资。
之所以要把DMZ区放在边界路由器与防火墙之间,那是因为边界路由器作为网络安全的第一防线,可以起到一定的安全过滤作用,因为它具有包过滤功能,通常它不会设置的太严。而防火墙作为网络的第二道,也是最后一道防线,它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后,显然因安全级别太高,外部用户无法访问到这些服务器,达不到公共服务的目的。
以上所介绍的是一种典型网络应用环境,有些企事业单位用户网络,可能需要两类DMZ,即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源,如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口;内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等),当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。
如果企业没有边界路由器,则外部DMZ区就要单独放置在主防火墙的一个LAN端口上,这也就要求主防火墙具有2个以上LAN接口,因为内部DMZ区也需与主防火墙的一个LAN接口单独连接,以此来配置多宿主机模式。其它连接如图9一样。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
