【51CTO.com 独家特稿】防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个"中间分隔点"上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多"陷阱",本文将对几种方式进行分析。
方案一:错误的防火墙部署方式
传统的防火墙部署方式可能所有人都认为非常简单,将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源(比如说FTP服务器和Web服务器)的话,那么这将是一个非常危险的部署方式,如图1所示。理由其实非常简单,一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。因为在这种情况下,木马和病毒已经在内网中存在,而客户端和共享资源服务器在同一个网段,这无异于内网的安全隐患,防火墙对此无能为力,从而也失去了部署的意义了。
图1 错误的防火墙部署方式#p#
方案二:使用DMZ
目前一个比较流行和正确的做法就是采用DMZ的防火墙部署方式,如图2所示。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在DMZ中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了方案一的缺点。
图2 使用DMZ的防火墙部署方式#p#
方案三:使用DMZ+二路防火墙
为了加强方案二中防火墙的安全强度,目前有些企业将图2的架构优化成图3的架构,也就是使用DMZ+二路防火墙。另外,在此结构中选用防火墙,应尽量采用两家不同公司的产品,这样才有利于发挥这种架构的优势。
图3 使用DMZ+二路防火墙的部署方式
方案四:通透式防火墙
在前面的几种方案中,防火墙本身就是一个路由器,在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整,则相应的路由需要进行变更,维护和操作起来有一定的难度和工作量。
通透式防火墙则可以比较好的解决上述问题(如图4所示)。该类防火墙是一个桥接设备,并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层(也就是数据链路层),所以不会有任何路由的问题。并且,防火墙本身也不需要指定IP地址,因此,这种防火墙的部署能力和隐密能力都相当强,从而可以很好地应对黑客对防火墙自身的攻击,因为黑客很难获得可以访问的IP地址。
图4 通透式防火墙部署方式
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】
