學習邊界防火墻的應用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　典型的防火墻策略是主防火墻采用NAT模式，而內部防火墻采用透明模式工作，以減少內部網絡結構的復雜程度，提高網絡連接性能。除遠程訪問和VPN訪問外，來自互聯(lián)網的網絡訪問只能限制在外部DMZ區(qū)對外開放的資源上，不可進入內部DMZ區(qū)，更不可能進入受保護的內部網絡之中。

　　VPN(虛擬企業(yè)專網)是目前最新的網絡技術之一，它的主要優(yōu)點通過公網，利用隧道技術進行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大企業(yè)用戶的認可和選擇。目前存在幾個典型的VPN隧道協(xié)議，包括IPsec、PPTP、L2TP等。通過VPN技術可以實現(xiàn)對用戶內部網絡的擴展，同時為用戶帶來網絡使用成本上的巨大節(jié)省。

　　在防火墻網絡中對VPN服務器進行配置的方法有兩種：

　　(1)、傳統(tǒng)邊界防火墻方式

　　這一方式中，VPN服務器位于邊界防火墻之后，防火墻必須打開內外網絡之間相應的VPN通信服務端口，這可能帶來安全隱患，這也是傳統(tǒng)邊界防火墻不能很好地VPN通信的原因。因為VPN通信中數(shù)據包內容是加密過的，所以邊界防火墻無法檢測內外網絡之間的通信內容，也就無法從中獲取過濾信息，這樣防火墻很難有效地實現(xiàn)對網絡的訪問控制、審計和病毒檢測。因為VPN服務器與傳統(tǒng)邊界2、 VPN通信配置防火墻的上述矛盾，所以遠程攻擊者對很可能將VPN服務器作為攻擊內部網絡的跳板，給內部網絡帶來非常大的不安全因素。為了提高網絡的安全性，最好再加上如圖9中配置的第二道防火墻：內部防火墻，把VPN服務器放置在外部DMZ區(qū)中。

　　(2)、使用VPN專用防火墻

　　針對傳統(tǒng)邊界防火墻與VPN通信的上述矛盾，網絡設備開發(fā)商就特定為VPN通信開發(fā)VPN防火墻。集成VPN技術的防火墻，就可以正確識別VPN通信中的數(shù)據包，并且加密的數(shù)據包也只在外部VPN客戶端與防火墻之間，有交地避免了前種方案中數(shù)據包無法識別的弊端。但不是所有廠商的防火墻都支持內置的VPN服務增值功能。此方案的典型配置如圖10所示。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558982302.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558982302.jpg"

本新聞共7頁,當前在第6頁 1 2 3 4 5 6 7

【收藏】【打印】【進入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费