當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)邊界防火墻的應(yīng)用

http://www.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　典型的防火墻策略是主防火墻采用NAT模式，而內(nèi)部防火墻采用透明模式工作，以減少內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜程度，提高網(wǎng)絡(luò)連接性能。除遠(yuǎn)程訪問和VPN訪問外，來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問只能限制在外部DMZ區(qū)對外開放的資源上，不可進(jìn)入內(nèi)部DMZ區(qū)，更不可能進(jìn)入受保護(hù)的內(nèi)部網(wǎng)絡(luò)之中。

　　VPN(虛擬企業(yè)專網(wǎng))是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點(diǎn)通過公網(wǎng)，利用隧道技術(shù)進(jìn)行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術(shù)的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大企業(yè)用戶的認(rèn)可和選擇。目前存在幾個(gè)典型的VPN隧道協(xié)議，包括IPsec、PPTP、L2TP等。通過VPN技術(shù)可以實(shí)現(xiàn)對用戶內(nèi)部網(wǎng)絡(luò)的擴(kuò)展，同時(shí)為用戶帶來網(wǎng)絡(luò)使用成本上的巨大節(jié)省。

　　在防火墻網(wǎng)絡(luò)中對VPN服務(wù)器進(jìn)行配置的方法有兩種：

　　(1)、傳統(tǒng)邊界防火墻方式

　　這一方式中，VPN服務(wù)器位于邊界防火墻之后，防火墻必須打開內(nèi)外網(wǎng)絡(luò)之間相應(yīng)的VPN通信服務(wù)端口，這可能帶來安全隱患，這也是傳統(tǒng)邊界防火墻不能很好地VPN通信的原因。因?yàn)閂PN通信中數(shù)據(jù)包內(nèi)容是加密過的，所以邊界防火墻無法檢測內(nèi)外網(wǎng)絡(luò)之間的通信內(nèi)容，也就無法從中獲取過濾信息，這樣防火墻很難有效地實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問控制、審計(jì)和病毒檢測。因?yàn)閂PN服務(wù)器與傳統(tǒng)邊界2、 VPN通信配置防火墻的上述矛盾，所以遠(yuǎn)程攻擊者對很可能將VPN服務(wù)器作為攻擊內(nèi)部網(wǎng)絡(luò)的跳板，給內(nèi)部網(wǎng)絡(luò)帶來非常大的不安全因素。為了提高網(wǎng)絡(luò)的安全性，最好再加上如圖9中配置的第二道防火墻：內(nèi)部防火墻，把VPN服務(wù)器放置在外部DMZ區(qū)中。

　　(2)、使用VPN專用防火墻

　　針對傳統(tǒng)邊界防火墻與VPN通信的上述矛盾，網(wǎng)絡(luò)設(shè)備開發(fā)商就特定為VPN通信開發(fā)VPN防火墻。集成VPN技術(shù)的防火墻，就可以正確識別VPN通信中的數(shù)據(jù)包，并且加密的數(shù)據(jù)包也只在外部VPN客戶端與防火墻之間，有交地避免了前種方案中數(shù)據(jù)包無法識別的弊端。但不是所有廠商的防火墻都支持內(nèi)置的VPN服務(wù)增值功能。此方案的典型配置如圖10所示。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558982302.jpg"

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558982302.jpg"

本新聞共7頁,當(dāng)前在第6頁 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费