亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

登錄論壇 | 注冊會員 設(shè)為首頁 | 收藏本站
當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文
 
學習邊界防火墻的應(yīng)用

http://www.yibo1263.com 2008/6/12 8:46:08  來源:本站  編輯:葉子
 
  2、 控制來自第三方網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問

  這種應(yīng)用主要是針對一些規(guī)模比較大的企事業(yè)單位,它們的企業(yè)內(nèi)部網(wǎng)絡(luò)通常要與分支機構(gòu)、合作伙伴或供應(yīng)商的局域網(wǎng)進行連接,或者是同一企業(yè)網(wǎng)絡(luò)中存在多個子網(wǎng)。在這種應(yīng)用環(huán)境下,防火墻主要限制第三方網(wǎng)絡(luò)(以上所說的其它單位局域網(wǎng)或本單位子網(wǎng))對內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問。

  在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中,根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案:

  (1)需要DMZ區(qū)。這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器,供日常訪問。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)一樣,整個網(wǎng)絡(luò)同樣可分為三個區(qū)域:

  內(nèi)部網(wǎng)絡(luò):這是防火墻要保護的對象,包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護的設(shè)備和用戶主機。為防火墻的可信網(wǎng)絡(luò)區(qū)域,需對第三方用戶透明隔離(透明是指“相當于不存在的”意思)。

  外部網(wǎng)絡(luò):防火墻要限制訪問的對象,包括第三方網(wǎng)絡(luò)主機和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。
  DMZ(非軍事區(qū)):由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成,包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。

  需要保護的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的:需要保護的內(nèi)部網(wǎng)絡(luò)一般禁止來自第三方的訪問,而DMZ則是為第三方提供相關(guān)的服務(wù),允許第三方的訪問。

  同樣必要時可通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),保護內(nèi)網(wǎng)安全。

  我們?nèi)钥紤]企業(yè)原有邊界路由器設(shè)備,通過配置后它同樣可以擔當包過濾防火墻角色。這時的DMZ區(qū)就可直接連接邊界路由器的一個LAN接口上,而無需經(jīng)過防火墻。而保護內(nèi)部網(wǎng)絡(luò)通過防火墻與邊界路由器連接。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖3所示。如果企業(yè)沒有邊界路由器,則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個不同的LAN接口上,構(gòu)成多宿主機模式。

  (2)、 沒有DMZ區(qū):此應(yīng)用環(huán)境下整個網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機與需要保護的內(nèi)部網(wǎng)絡(luò)通過防火墻的同一LAN接口連接,作為內(nèi)部網(wǎng)絡(luò)的一部分,只是通過防火墻配置對第三方開放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機資源。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖4所示。但要注意的是,這種配置可能帶來極大的安全隱患,因為來自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對他們開放的內(nèi)部服務(wù)器/主機,并以此為據(jù)點,進而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其它主機/服務(wù)器等網(wǎng)絡(luò)資源。

  以上是考慮了企業(yè)是否需要DMZ區(qū)的兩種情況。與上面介紹的對互聯(lián)網(wǎng)用戶訪問控制的應(yīng)用環(huán)境一樣,在這種應(yīng)用環(huán)境中,同樣可以考慮企業(yè)單位原來是否已有邊界路由器。這種應(yīng)用環(huán)境下,企業(yè)同樣可以沒有邊界路由器。如果沒有邊界路由器,則須把如圖3和圖4所示網(wǎng)絡(luò)拓撲結(jié)構(gòu)按如圖2所示進行相應(yīng)的改變,此時如圖3和圖4所示網(wǎng)絡(luò)中,防火墻須直接與第三方網(wǎng)絡(luò)連接,DMZ區(qū)與受保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的兩個不同的LAN接口。不過要注意,如圖3所示的網(wǎng)絡(luò)結(jié)構(gòu)中,DMZ區(qū)就相當于沒有任何保護,其實也稱不上“DMZ區(qū)”,所以在企業(yè)沒有邊界路由器的情況下,通常不采用如圖3所示網(wǎng)絡(luò)結(jié)構(gòu),而是采用圖4所示結(jié)構(gòu),把一些安全級別相對較低的服務(wù)器連接與內(nèi)部受保護的網(wǎng)絡(luò)連接在一起,只是在防火墻上對這些公眾服務(wù)器進行特殊權(quán)限配置即可。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558711221.jpg"


請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558733015.jpg"

本新聞共7頁,當前在第3頁  1  2  3  4  5  6  7  

收藏】【打印】【進入論壇
  相關(guān)文章:

 
 
 
最新文章

搶先蘋果,消息稱英特爾芯片采用臺積電
三星揭曉業(yè)內(nèi)首款單條 512GB DDR5 內(nèi)存
vivo 高端新機爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息稱三星 Galaxy Tab S8 系列平板將放
機械革命推出 F6 輕薄本:16 英寸全面屏
英特爾 12 代 Alder Lake CPU 600 系列
雷軍:向小米手機 1 首批用戶每人贈送價
小米李明談用戶被踢出 MIUI 測試版:大

推薦文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感寫真
宮如敏不雅照瘋傳 看張馨予韓一菲獸獸誰
不懼孔子搶位 阿凡達游戲影音配置推薦
2015第十七屆“東北安博會”火爆招商
第十六屆東北國際公共安全防范產(chǎn)品博覽
2016年第五屆中國國際商業(yè)信息化博覽會
2016年第五屆中國國際POS機及相關(guān)設(shè)備展
互聯(lián)網(wǎng)電視熟了嗎 2013最火電視深解析
桑達獲邀出席2015中國(廣州)國際POS機
寶獲利報名參加“2015年度中國POS機行業(yè)
八卦圖解 More>>
叛逆嫩模性感寫真 宮如敏不雅照瘋傳 看張馨予韓一菲
周偉童魔鬼身材日本性感寫真圖  聯(lián)想V360筆記本模特寫真
油尖旺区| 彭泽县| 乡城县| 武强县| 张家口市| 桂东县| 文山县| 吴川市| 运城市| 巫山县| 临桂县| 留坝县| 通山县| 邹平县| 高陵县| 浮梁县| 无极县| 祥云县| 天峻县| 榕江县| 临海市| 衢州市| 宝兴县| 榆社县| 绵竹市| 甘德县| 麻江县| 广元市| 夹江县| 横峰县| 仙游县| 搜索| 常德市| 庄河市| 陆川县| 新营市| 樟树市| 青铜峡市| 高尔夫| 台湾省| 红原县|