欢迎来到天天文库
浏览记录
ID:11281003
大小:77.00 KB
页数:14页
时间:2018-07-11
《边界防火墙的应用_基础信息化_信息安全_2》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、边界防火墙的应用_基础信息化_信息安全极茶肆炸锇倒僧觳挪舭埋 一、防火墙的主要应用拓扑结构囗渌别蚶玷伦凛疲计撖驴 边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。羚淙陔癖蹁痰翰莓予水透 传统边界防火墙主要有以下四种典型的应用环境,它们分别是:镏涞椽周蠢移愎绷茶央筇 ●控制来自互联网对内部网络的访问 ●控制来自第三方局域网对内部网络的访问 ●控制局域网内部不同部门网络之间的访问 ●控制对服务器中心的网络访问
2、嫁茶宰识眭襻衬饔苴晋掣 下面分别予以介绍。过蠃调慕秃罚血千瞅聒螺 1、控制来自互联网对内部网络的访问槐去杌及丛舸莶俸洼瘩乱 这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业,采用防火墙的目的就是这个。髌痞价摊襟撇景喜愫偿欤 在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:弁暮业抢浆湍诼惺协绀腽 内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可
3、信区域(这是由传统边界防火墙的设计理念决定的)。哩榴蛘麾苦帝芒歆锼侵鹣 外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。癸馨彝礼墩材软岈维癌疟 DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。桷拮批舰粕炸黑谷为貌聊 在以上三个区域中,用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DM
4、Z区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由企业内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,所以在一定程度上,没有内部网络限制那么严格,如Web服务器通常是允许任何人进行正常的访问。或许有人问,这样的话,这些服务器不是很容易初攻击,按原理来说是这样的,但是由于在这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而
5、获得过高的网络访问权限。醺晃坎廊泵锼幔啄歆抡睑 另外,建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处:一则可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用,节省了企业投资成本。赛侣蜒痒设傅澳撂撂脒披 在这种应用环境中,在网络拓扑结构上企事业单位可以有两种选择,这主要是根据单位原有网络设备情况而定。菀蚀凛暇淫洒庄弧嫖澹担 如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器
6、的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。绠律叶廛亓萍寄蟊洳桓蛳 如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同L
7、AN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。厥钬私凌仫槠挫砻浃篇骥踬结置挞阏灸缡阮醮置母图1供北苡觋染鍪炝鄙克饔屠骞鲚缠飑岢壮轧欷舒郐旬图2銮帧暴鼙嗪宦沲四裉侣窘 2、控制来自第三方网络对内部网络的访问郏忮极情珏喹址濡柝捱孜 这种应用主要是针对一些规模比较大的企事业单位,它们的企业内部网络通常要与
8、分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内
此文档下载收益归作者所有