如何正確地部署防火墻?
原創【51CTO.com 獨家特稿】防火墻在實際的部署應用過程當中,經常部署在網關的位置,也就是經常部署在網內和網外的一個"中間分隔點"上,而就是在這樣一個部署的環境中,也還存在著多種方式,且存在著許多"陷阱",本文將對幾種方式進行分析。
方案一:錯誤的防火墻部署方式
傳統的防火墻部署方式可能所有人都認為非常簡單,將防火墻部署于外部網絡和內部網絡之間。這個思路如果在內部網絡中存在共享資源(比如說FTP服務器和Web服務器)的話,那么這將是一個非常危險的部署方式,如圖1所示。理由其實非常簡單,一旦這些共享服務器為黑客攻擊和安裝木馬滲透病毒的話,那么內部網絡的客戶端及其資源將沒有任何安全可言。因為在這種情況下,木馬和病毒已經在內網中存在,而客戶端和共享資源服務器在同一個網段,這無異于內網的安全隱患,防火墻對此無能為力,從而也失去了部署的意義了。
圖1 錯誤的防火墻部署方式#p#
方案二:使用DMZ
目前一個比較流行和正確的做法就是采用DMZ的防火墻部署方式,如圖2所示。也就是在防火墻上多加一塊網卡,把提供對外服務的服務器和內網的客戶端嚴格地隔離開來,這樣,即算有安全風險和漏洞在DMZ中出現,由此對內部網絡造成的危害也可以得到很好的控制,從而避免了方案一的缺點。
圖2 使用DMZ的防火墻部署方式#p#
方案三:使用DMZ+二路防火墻
為了加強方案二中防火墻的安全強度,目前有些企業將圖2的架構優化成圖3的架構,也就是使用DMZ+二路防火墻。另外,在此結構中選用防火墻,應盡量采用兩家不同公司的產品,這樣才有利于發揮這種架構的優勢。
圖3 使用DMZ+二路防火墻的部署方式
方案四:通透式防火墻
在前面的幾種方案中,防火墻本身就是一個路由器,在使用的過程中用戶必須慎重地考慮到路由的問題。如果網絡環境非常復雜或者是需要進行調整,則相應的路由需要進行變更,維護和操作起來有一定的難度和工作量。
通透式防火墻則可以比較好的解決上述問題(如圖4所示)。該類防火墻是一個橋接設備,并且在橋接設備上賦予了過濾的能力。由于橋接設備工作在OSI模型的第二層(也就是數據鏈路層),所以不會有任何路由的問題。并且,防火墻本身也不需要指定IP地址,因此,這種防火墻的部署能力和隱密能力都相當強,從而可以很好地應對黑客對防火墻自身的攻擊,因為黑客很難獲得可以訪問的IP地址。
圖4 通透式防火墻部署方式
【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
