當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上企事業(yè)單位可以有兩種選擇，這主要是根據(jù)單位原有網(wǎng)絡(luò)設(shè)備情況而定。

　　如果企業(yè)原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

　　如果企業(yè)原來沒有邊界路由器，此時也可不再添加邊界路由器，僅由防火墻來保護(hù)內(nèi)部網(wǎng)絡(luò)。此時DMZ區(qū)域和需要保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口，因此需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種拓?fù)浣Y(jié)構(gòu)雖然只有一道安全防線，但對于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購防火墻時就要注意，防火墻一定要有兩個以上的LAN網(wǎng)絡(luò)接口。它與我們前面所介紹的“多宿主機(jī)”結(jié)構(gòu)是一樣的。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558628963.jpg"