防火牆在實際的部署應用過程當中,經常部署在閘道器的位置,也就是經常部署在網內和網外的乙個"中間分隔點"上,而就是在這樣乙個部署的環境中,也還存在著多種方式,且存在著許多"陷阱",本文將對幾種方式進行分析。
請閱讀全文:
防火牆在實際的部署應用過程當中,經常部署在閘道器的位置,也就是經常部署在網內和網外的乙個"中間分隔點"上,而就是在這樣乙個部署的環境中,也還存在著多種方式,且存在著許多"陷阱",本文將對幾種方式進行分析。
方案一:錯誤的防火牆部署方式
傳統的防火牆部署方式可能所有人都認為非常簡單,將防火牆部署於外部網路和內部網路之間。這個思路如果在內部網路中存在共享資源(比如說ftp伺服器和web伺服器)的話,那麼這將是乙個非常危險的部署方式,如圖1所示。理由其實非常簡單,一旦這些共享伺服器為******和安裝******病毒的話,那麼內部網路的客戶端及其資源將沒有任何安全可言。因為在這種情況下,***和病毒已經在內網中存在,而客戶端和共享資源伺服器在同乙個網段,這無異於內網的安全隱患,防火牆對此無能為力,從而也失去了部署的意義了。
圖1 錯誤的防火牆部署方式
方案二:使用dmz
目前乙個比較流行和正確的做法就是採用dmz的防火牆部署方式,如圖2所示。也就是在防火牆上多加一塊網絡卡,把提供對外服務的伺服器和內網的客戶端嚴格地隔離開來,這樣,即算有安全風險和漏洞在dmz中出現,由此對內部網路造成的危害也可以得到很好的控制,從而避免了方案一的缺點。
圖2 使用dmz的防火牆部署方式
方案三:使用dmz+二路防火牆
為了加強方案二中防火牆的安全強度,目前有些企業將圖2的架構優化成圖3的架構,也就是使用dmz+二路防火牆。另外,在此結構中選用防火牆,應盡量採用兩家不同公司的產品,這樣才有利於發揮這種架構的優勢。
圖3 使用dmz+二路防火牆的部署方式
方案四:通透式防火牆
在前面的幾種方案中,防火牆本身就是乙個路由器,在使用的過程中使用者必須慎重地考慮到路由的問題。如果網路環境非常複雜或者是需要進行調整,則相應的路由需要進行變更,維護和操作起來有一定的難度和工作量。
通透式防火牆則可以比較好的解決上述問題(如圖4所示)。該類防火牆是乙個橋接裝置,並且在橋接裝置上賦予了過濾的能力。由於橋接裝置工作在osi模型的第二層(也就是資料鏈路層),所以不會有任何路由的問題。並且,防火牆本身也不需要指定ip位址,因此,這種防火牆的部署能力和隱密能力都相當強,從而可以很好地應對***對防火牆自身的***,因為***很難獲得可以訪問的ip位址。
圖4 通透式防火牆部署方式
怎樣正確地測試和維護防火牆
本文中專家eric cole介紹了如何通過適當的維護和測試來解決防火牆效能低下和故障問題。大多數企業認為防火牆是一種成熟的技術,且通常安全專家也不會過多考慮防火牆。在審計或評估防火牆時,企業通常只是簡單地勾選表明防火牆在保護網路的選項就完事。然而,最近筆者注意到一種趨勢 防火牆並沒有提供它能提供的全...
怎樣正確地測試和維護防火牆
本文中專家eric cole介紹了如何通過適當的維護和測試來解決防火牆效能低下和故障問題。大多數企業認為防火牆是一種成熟的技術,且通常安全專家也不會過多考慮防火牆。在審計或評估防火牆時,企業通常只是簡單地勾選表明防火牆在保護網路的選項就完事。然而,最近筆者注意到一種趨勢 防火牆並沒有提供它能提供的全...
Linux之防火牆部署
環境 vmware 系統 red hat 7 重啟防火牆 systemctl restart firewalld 開啟防火牆 systemctl start firewalld 例如開發8080埠 firewall cmd zone public add port 8080 tcp permanen...