當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來(lái)源:本站　編輯:葉子

　　2、控制來(lái)自第三方網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)

　　這種應(yīng)用主要是針對(duì)一些規(guī)模比較大的企事業(yè)單位，它們的企業(yè)內(nèi)部網(wǎng)絡(luò)通常要與分支機(jī)構(gòu)、合作伙伴或供應(yīng)商的局域網(wǎng)進(jìn)行連接，或者是同一企業(yè)網(wǎng)絡(luò)中存在多個(gè)子網(wǎng)。在這種應(yīng)用環(huán)境下，防火墻主要限制第三方網(wǎng)絡(luò)(以上所說(shuō)的其它單位局域網(wǎng)或本單位子網(wǎng))對(duì)內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪(fǎng)問(wèn)。

　　在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中，根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案：

　　(1)需要DMZ區(qū)。這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器，供日常訪(fǎng)問(wèn)。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶(hù)非法訪(fǎng)問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)一樣，整個(gè)網(wǎng)絡(luò)同樣可分為三個(gè)區(qū)域：

　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護(hù)的設(shè)備和用戶(hù)主機(jī)。為防火墻的可信網(wǎng)絡(luò)區(qū)域，需對(duì)第三方用戶(hù)透明隔離(透明是指“相當(dāng)于不存在的”意思)。

　　外部網(wǎng)絡(luò)：防火墻要限制訪(fǎng)問(wèn)的對(duì)象，包括第三方網(wǎng)絡(luò)主機(jī)和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。
　　DMZ(非軍事區(qū))：由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成，包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。

　　需要保護(hù)的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的：需要保護(hù)的內(nèi)部網(wǎng)絡(luò)一般禁止來(lái)自第三方的訪(fǎng)問(wèn)，而DMZ則是為第三方提供相關(guān)的服務(wù)，允許第三方的訪(fǎng)問(wèn)。

　　同樣必要時(shí)可通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)網(wǎng)安全。

　　我們?nèi)钥紤]企業(yè)原有邊界路由器設(shè)備，通過(guò)配置后它同樣可以擔(dān)當(dāng)包過(guò)濾防火墻角色。這時(shí)的DMZ區(qū)就可直接連接邊界路由器的一個(gè)LAN接口上，而無(wú)需經(jīng)過(guò)防火墻。而保護(hù)內(nèi)部網(wǎng)絡(luò)通過(guò)防火墻與邊界路由器連接。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。如果企業(yè)沒(méi)有邊界路由器，則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個(gè)不同的LAN接口上，構(gòu)成多宿主機(jī)模式。

　　(2)、沒(méi)有DMZ區(qū)：此應(yīng)用環(huán)境下整個(gè)網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)通過(guò)防火墻的同一LAN接口連接，作為內(nèi)部網(wǎng)絡(luò)的一部分，只是通過(guò)防火墻配置對(duì)第三方開(kāi)放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機(jī)資源。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示。但要注意的是，這種配置可能帶來(lái)極大的安全隱患，因?yàn)閬?lái)自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對(duì)他們開(kāi)放的內(nèi)部服務(wù)器/主機(jī)，并以此為據(jù)點(diǎn)，進(jìn)而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其它主機(jī)/服務(wù)器等網(wǎng)絡(luò)資源。

　　以上是考慮了企業(yè)是否需要DMZ區(qū)的兩種情況。與上面介紹的對(duì)互聯(lián)網(wǎng)用戶(hù)訪(fǎng)問(wèn)控制的應(yīng)用環(huán)境一樣，在這種應(yīng)用環(huán)境中，同樣可以考慮企業(yè)單位原來(lái)是否已有邊界路由器。這種應(yīng)用環(huán)境下，企業(yè)同樣可以沒(méi)有邊界路由器。如果沒(méi)有邊界路由器，則須把如圖3和圖4所示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)按如圖2所示進(jìn)行相應(yīng)的改變，此時(shí)如圖3和圖4所示網(wǎng)絡(luò)中，防火墻須直接與第三方網(wǎng)絡(luò)連接，DMZ區(qū)與受保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的兩個(gè)不同的LAN接口。不過(guò)要注意，如圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)中，DMZ區(qū)就相當(dāng)于沒(méi)有任何保護(hù)，其實(shí)也稱(chēng)不上“DMZ區(qū)”，所以在企業(yè)沒(méi)有邊界路由器的情況下，通常不采用如圖3所示網(wǎng)絡(luò)結(jié)構(gòu)，而是采用圖4所示結(jié)構(gòu)，把一些安全級(jí)別相對(duì)較低的服務(wù)器連接與內(nèi)部受保護(hù)的網(wǎng)絡(luò)連接在一起，只是在防火墻上對(duì)這些公眾服務(wù)器進(jìn)行特殊權(quán)限配置即可。

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558711221.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558711221.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558733015.jpg"

本新聞共7頁(yè),當(dāng)前在第3頁(yè) 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费