博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
如何正确地部署防火墙?
阅读量:5861 次
发布时间:2019-06-19

本文共 1158 字,大约阅读时间需要 3 分钟。

防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个"中间分隔点"上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多"陷阱",本文将对几种方式进行分析。

请阅读全文:

 

防火墙在实际的部署应用过程当中,经常部署在网关的位置,也就是经常部署在网内和网外的一个"中间分隔点"上,而就是在这样一个部署的环境中,也还存在着多种方式,且存在着许多"陷阱",本文将对几种方式进行分析。

方案一:错误的防火墙部署方式

传统的方式可能所有人都认为非常简单,将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源(比如说FTP服务器和Web服务器)的话,那么这将是一个非常危险的部署方式,如图1所示。理由其实非常简单,一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。因为在这种情况下,木马和病毒已经在内网中存在,而客户端和共享资源服务器在同一个网段,这无异于内网的安全隐患,防火墙对此无能为力,从而也失去了部署的意义了。

图1  错误的防火墙部署方式

 

方案二:使用DMZ

目前一个比较流行和正确的做法就是采用DMZ的防火墙部署方式,如图2所示。也就是在防火墙上多加一块网卡,把提供对外服务的服务器和内网的客户端严格地隔离开来,这样,即算有安全风险和漏洞在DMZ中出现,由此对内部网络造成的危害也可以得到很好的控制,从而避免了方案一的缺点。

图2  使用DMZ的防火墙部署方式

 

方案三:使用DMZ+二路防火墙

为了加强方案二中防火墙的安全强度,目前有些企业将图2的架构优化成图3的架构,也就是使用DMZ+二路防火墙。另外,在此结构中选用防火墙,应尽量采用两家不同公司的产品,这样才有利于发挥这种架构的优势。

图3  使用DMZ+二路防火墙的部署方式

方案四:通透式防火墙

在前面的几种方案中,防火墙本身就是一个路由器,在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整,则相应的路由需要进行变更,维护和操作起来有一定的难度和工作量。

通透式防火墙则可以比较好的解决上述问题(如图4所示)。该类防火墙是一个桥接设备,并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层(也就是数据链路层),所以不会有任何路由的问题。并且,防火墙本身也不需要指定IP地址,因此,这种防火墙的部署能力和隐密能力都相当强,从而可以很好地应对黑客对防火墙自身的攻击,因为黑客很难获得可以访问的IP地址。

图4  通透式防火墙部署方式

本文转自samsunglinuxl51CTO博客,原文链接: http://blog.51cto.com/patterson/564701,如需转载请自行联系原作者

你可能感兴趣的文章
Windows下安装RabbitMQ3.6.5
查看>>
入职五年回顾(十一) 2013年6月
查看>>
iOS - NSString 封装
查看>>
精选CSDN的ACM-ICPC活跃博客
查看>>
程序猿之没事瞎吐槽
查看>>
Sequence query 好题啊
查看>>
今天看到的xx的一道百度前端笔试题
查看>>
JS复习第五章
查看>>
WebApi系列~StringContent参数需要添加MetaType对象
查看>>
爱上MVC~ajax调用分部视图session超时页面跳转问题
查看>>
品味人生~咖啡与程序员
查看>>
我心中的核心组件(可插拔的AOP)~调度组件quartz.net
查看>>
Linq实体类的设计(解决了复合查询的问题,同时解决了LINQ上下文缓存问题)...
查看>>
NPOI excel读取转datatabel excel日期格式处理
查看>>
Android Spinner级联菜单实现
查看>>
React入门
查看>>
php简单实用的验证码生成类
查看>>
leetcode Intersection of Two Linked Lists
查看>>
云计算浅谈
查看>>
PyQt5学习笔记1-安装PyQt5
查看>>