當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來(lái)源:本站　編輯:葉子

　　3、控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問(wèn)

　　這種應(yīng)用環(huán)境就是在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對(duì)一些安全敏感的部門進(jìn)行隔離保護(hù)。通過(guò)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問(wèn)。這些所謂的“敏感部門”通常是指人事部門、財(cái)務(wù)部門和市場(chǎng)部門等，在這些部門網(wǎng)絡(luò)主機(jī)中的數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)是非常重要，它的工作不能完全離開(kāi)企業(yè)網(wǎng)絡(luò)，但其中的數(shù)據(jù)又不能隨便供網(wǎng)絡(luò)用戶訪問(wèn)。這時(shí)有幾種解決方案通常是采用VLAN配置，但這種方法需要配置三層以上交換機(jī)，同時(shí)配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進(jìn)行隔離，在防火墻上進(jìn)行相關(guān)的配置(比起VLAN來(lái)簡(jiǎn)單許多)。通過(guò)防火墻隔離后，盡管同屬于一個(gè)內(nèi)部局域網(wǎng)，但是其他用戶的訪問(wèn)都需要經(jīng)過(guò)防火墻的過(guò)濾，符合條件的用戶才能訪問(wèn)。這類防火墻通常不僅通過(guò)包過(guò)濾來(lái)篩選數(shù)據(jù)包的，而且還要對(duì)用戶身份的合法性(在防火墻中可以設(shè)置允許哪此些用戶訪問(wèn))進(jìn)行識(shí)別。通常為自適應(yīng)代理服務(wù)器型防火墻，這種防火墻方案還可以有日志記錄功能，對(duì)網(wǎng)管員了解網(wǎng)絡(luò)安全現(xiàn)狀及改進(jìn)非常重要。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5所示。

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558772970.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558772970.jpg"

　　4、控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問(wèn)

　　對(duì)于一個(gè)服務(wù)器中心，比如主機(jī)托管中心，其眾多服務(wù)器需要對(duì)第三方(合作伙伴、互聯(lián)網(wǎng)用戶等)開(kāi)放，但是所有這些服務(wù)器分別屬于不同用戶所有，其安全策略也各不相同。如果把它們都定義在同一個(gè)安全區(qū)域中，顯然不能滿足各用戶的不同需求，這時(shí)我們就得分別設(shè)置。要按不同安全策略保護(hù)這些服務(wù)器，可以有兩種方法：

　　(1)、為每個(gè)服務(wù)器單獨(dú)配置一個(gè)獨(dú)立的防火墻，網(wǎng)絡(luò)如圖6所示。這種方案是一種最直接、最傳統(tǒng)的方法。配置方法也最容易，但這種方案無(wú)論從經(jīng)濟(jì)上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購(gòu)買與托管理服務(wù)器數(shù)據(jù)一樣多的防火，對(duì)托管中心來(lái)說(shuō)投資非常之大；而且托管中心管理員面對(duì)這么多防火墻，其管理難度可想而知。

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558801285.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558801285.jpg"

　　(2)、采用虛擬防火墻方式，網(wǎng)絡(luò)結(jié)構(gòu)如圖7所示。這主要是利用三層交換機(jī)的VLAN(虛擬局域網(wǎng))功能，先為每一臺(tái)連接在三層交換機(jī)上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個(gè)單獨(dú)的VLAN子網(wǎng)，然后通過(guò)對(duì)高性能防火墻對(duì)VLAN子網(wǎng)的配置，就相當(dāng)于將一個(gè)高性能防火墻劃分為多個(gè)虛擬防火墻，其最終效果如圖6一樣。這種方案雖然配置較為復(fù)雜，但是這也只是首次配置，一旦配置好了，其后的使用和管理就相當(dāng)方便了，就像用交換機(jī)管理多個(gè)VLAN子網(wǎng)一樣來(lái)管理每個(gè)用戶服務(wù)器，而且這種方案在現(xiàn)實(shí)中比較經(jīng)濟(jì)可行。　

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558843543.jpg"

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558843543.jpg"

本新聞共7頁(yè),當(dāng)前在第4頁(yè) 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费