當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學習邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　2、控制來自第三方網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問

　　這種應(yīng)用主要是針對一些規(guī)模比較大的企事業(yè)單位，它們的企業(yè)內(nèi)部網(wǎng)絡(luò)通常要與分支機構(gòu)、合作伙伴或供應(yīng)商的局域網(wǎng)進行連接，或者是同一企業(yè)網(wǎng)絡(luò)中存在多個子網(wǎng)。在這種應(yīng)用環(huán)境下，防火墻主要限制第三方網(wǎng)絡(luò)(以上所說的其它單位局域網(wǎng)或本單位子網(wǎng))對內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。

　　在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中，根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案：

　　(1)需要DMZ區(qū)。這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器，供日常訪問。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)一樣，整個網(wǎng)絡(luò)同樣可分為三個區(qū)域：

　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護的對象，包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護的設(shè)備和用戶主機。為防火墻的可信網(wǎng)絡(luò)區(qū)域，需對第三方用戶透明隔離(透明是指“相當于不存在的”意思)。

　　外部網(wǎng)絡(luò)：防火墻要限制訪問的對象，包括第三方網(wǎng)絡(luò)主機和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。
　　DMZ(非軍事區(qū))：由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成，包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。

　　需要保護的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的：需要保護的內(nèi)部網(wǎng)絡(luò)一般禁止來自第三方的訪問，而DMZ則是為第三方提供相關(guān)的服務(wù)，允許第三方的訪問。

　　同樣必要時可通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護內(nèi)網(wǎng)安全。

　　我們?nèi)钥紤]企業(yè)原有邊界路由器設(shè)備，通過配置后它同樣可以擔當包過濾防火墻角色。這時的DMZ區(qū)就可直接連接邊界路由器的一個LAN接口上，而無需經(jīng)過防火墻。而保護內(nèi)部網(wǎng)絡(luò)通過防火墻與邊界路由器連接。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖3所示。如果企業(yè)沒有邊界路由器，則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個不同的LAN接口上，構(gòu)成多宿主機模式。

　　(2)、沒有DMZ區(qū)：此應(yīng)用環(huán)境下整個網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機與需要保護的內(nèi)部網(wǎng)絡(luò)通過防火墻的同一LAN接口連接，作為內(nèi)部網(wǎng)絡(luò)的一部分，只是通過防火墻配置對第三方開放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機資源。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖4所示。但要注意的是，這種配置可能帶來極大的安全隱患，因為來自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對他們開放的內(nèi)部服務(wù)器/主機，并以此為據(jù)點，進而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其它主機/服務(wù)器等網(wǎng)絡(luò)資源。

　　以上是考慮了企業(yè)是否需要DMZ區(qū)的兩種情況。與上面介紹的對互聯(lián)網(wǎng)用戶訪問控制的應(yīng)用環(huán)境一樣，在這種應(yīng)用環(huán)境中，同樣可以考慮企業(yè)單位原來是否已有邊界路由器。這種應(yīng)用環(huán)境下，企業(yè)同樣可以沒有邊界路由器。如果沒有邊界路由器，則須把如圖3和圖4所示網(wǎng)絡(luò)拓撲結(jié)構(gòu)按如圖2所示進行相應(yīng)的改變，此時如圖3和圖4所示網(wǎng)絡(luò)中，防火墻須直接與第三方網(wǎng)絡(luò)連接，DMZ區(qū)與受保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的兩個不同的LAN接口。不過要注意，如圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)中，DMZ區(qū)就相當于沒有任何保護，其實也稱不上“DMZ區(qū)”，所以在企業(yè)沒有邊界路由器的情況下，通常不采用如圖3所示網(wǎng)絡(luò)結(jié)構(gòu)，而是采用圖4所示結(jié)構(gòu)，把一些安全級別相對較低的服務(wù)器連接與內(nèi)部受保護的網(wǎng)絡(luò)連接在一起，只是在防火墻上對這些公眾服務(wù)器進行特殊權(quán)限配置即可。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558711221.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558711221.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558733015.jpg"

本新聞共7頁,當前在第3頁 1 2 3 4 5 6 7

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费