當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　這里介紹的防火墻是傳統(tǒng)邊界防火墻，不包括后面將要介紹的個(gè)人防火墻和分布式防火墻。首先介紹的是防火墻的幾種典型應(yīng)用拓?fù)浣Y(jié)構(gòu)。

　　一、防火墻的主要應(yīng)用拓?fù)浣Y(jié)構(gòu)

　　邊界防火墻雖然是傳統(tǒng)的，但是它的應(yīng)用最廣，技術(shù)最為成熟。目前大多數(shù)企業(yè)網(wǎng)絡(luò)中所應(yīng)用的都是邊界防火墻。所以了解邊界防火墻的應(yīng)用對(duì)于掌握整個(gè)防火墻技術(shù)非常重要。

　　傳統(tǒng)邊界防火墻主要有以下四種典型的應(yīng)用環(huán)境，它們分別是：

　　●控制來自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問　

　　●控制來自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

　　●控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問

　　●控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問　

　　下面分別予以介紹。

　　1、控制來自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

　　這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護(hù)內(nèi)部網(wǎng)絡(luò)不遭受互聯(lián)網(wǎng)用戶(主要是指非法的黑客)的攻擊。目前絕大多數(shù)企業(yè)、特別是中小型企業(yè)，采用防火墻的目的就是這個(gè)。

　　在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域：

　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

　　外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部互聯(lián)網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

　　DMZ(非軍事區(qū))：它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。

　　在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域廟宇不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別(策略)是不同的。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由企業(yè)內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，所以在一定程度上，沒有內(nèi)部網(wǎng)絡(luò)限制那么嚴(yán)格，如Web服務(wù)器通常是允許任何人進(jìn)行正常的訪問�；蛟S有人問，這樣的話，這些服務(wù)器不是很容易初攻擊，按原理來說是這樣的，但是由于在這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。

　　另外，建議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣有兩個(gè)好處：一則可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全；同時(shí)因?yàn)槭枪W(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了企業(yè)投資成本。

本新聞共7頁,當(dāng)前在第1頁 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费