【IT168 專稿】防火牆我們經常聽說,甚至見過、配置過,但是防火牆主要要於哪些應用環境中,各應用環境的網絡拓撲結構又如何,相信很多人,甚至是網絡管理員也很難有一個完全的答案。為此,筆者總結了長期的實際防火牆應用工作經驗,把防火牆的四種主要應用介紹給大家,希望對大家有所裨益。 .
首先在此要說明的是,因防火牆種類比較多,本文所介紹的僅是應用最為廣泛的傳統邊界防火牆的應用,不指個人防火牆,也不包括最終新的分布式防火牆。傳統邊界防火牆主要有以下四種典型的應用: .
下面分別予以介紹。 .
1. 控制來自互聯網對內部網絡的訪問 .
這是一種應用最廣,也是最重要的防火牆應用環境。在這種應用環境下,防火牆主要保護內部網絡不遭受互聯網用戶(主要是指非法的黑客)的攻擊。目前絕大多數企業、特別是中小型企業,采用防火牆的目的就是這個。 .
在這種應用環境中,一般情況下防火牆網絡可劃分為三個不同級別的安全區域: .
內部網絡:這是防火牆要保護的對象,包括全部的企業內部網絡設備及用戶主機。這個區域是防火牆的可信區域(這是由傳統邊界防火牆的設計理念決定的)。 .
外部網絡:這是防火牆要防護的對象,,包括外部互聯網主機和設備。這個區域為防火牆的非可信網絡區域(也是由傳統邊界防火牆的設計理念決定的)。 .
DMZ(非軍事區):它是從企業內部網絡中劃分的一個小區域,在其中就包括內部網絡中用於公眾服務的外部服務器,如Web服務器、郵件服務器、FTP服務器、外部DNS服務器等,它們都是為互聯網提供某種信息服務。
.
在以上三個區域中,用戶需要對不同的安全區域廟宇不同的安全策略。雖然內部網絡和DMZ區都屬於企業內部網絡的一部分,但它們的安全級別(策略)是不同的。對於要保護的大部分內部網絡,一般情況下禁止所有來自互聯網用戶的訪問;而由企業內部網絡劃分出去的DMZ區,因需為互聯網應用提供相關的服務,所以在一定程度上,沒有內部網絡限制那麼嚴格,如Web服務器通常是允許任何人進行正常的訪問。或許有人問,這樣的話,這些服務器不是很容易初攻擊,按原理來說是這樣的,但是由於在這些服務器上所安裝的服務非常少,所允許的權限非常低,真正有服務器數據是在受保護的內部網絡主機上,所以黑客攻擊這些服務器沒有任何意義,既不能獲取什麼有用的信息,也不能通過攻擊它而獲得過高的網絡訪問權限。
.
另外,建議通過NAT(網絡地址轉換)技術將受保護的內部網絡的全部主機地址映射成防火牆上設置的少數幾個有效公網IP地址。這樣有兩個好處:一則可以對外屏蔽內部網絡構和IP地址,保護內部網絡的安全;同時因為是公網IP地址共享,所以可以大大節省公網IP地址的使用,節省了企業投資成本。 .
在這種應用環境中,在網絡拔掉結構上企事業單位可以有兩種選擇,這主要是根據單位原有網絡設備情況而定。 .
如果企業原來已有邊界路由器,則此可充分利用原有設備,利用邊界路由器的包過濾功能,添加相應的防火牆配置,這樣原來的路由器也就具有防火牆功能了。然後再利用防火牆與需要保護的內部網絡連接。對於DMZ區中的公用服務器,則可直接與邊界路由器相連,不用經過防火牆。它可只經過路由器的簡單防護。在此拓撲結構中,邊界路由器與防火牆就一起組成了兩道安全防線,並且在這兩者之間可以設置一個DMZ區,用來放置那些允許外部用戶訪問的公用服務器設施。網絡拓撲結構如圖1所示。
.
.