當為一個企業開發邊界保護策略時,最常見的問題是“我應該把防火牆設置在哪裡,以發揮其最大效用?”在本節中,我們會探討一下三個基本的選擇,並分析每種情況下的最佳模式。 .
我們開始之前,請注意本節中我們只處理防火牆的設置問題。無論誰想要建立一個邊界保護策略,都應該計劃采用一個深度防御方法,可以利用包括防火牆、帶有封包過濾功能的邊界路由器以及入侵探測系統等的多種安全設備。 .
第一種選擇:防御主機
.
第一種最基本的選擇是使用防御主機。在這種設置中,防火牆設置在因特網和受保護網絡之間。它可以過濾所有進入或離開網絡的流量。 .
.
防御主機拓撲結構適合於相對簡單的網絡(比如,那些不提供任何公共因特網服務的網絡。)要切記的關鍵因素是它僅提供一個單一的邊界。一旦有人設法滲透到邊界之中,那麼他們就已經可以不受任何限制地(至少從邊界保護的角度來說)進入到受保護的網絡之中。如果你僅僅使用防火牆來保護整主要用來上網的企業網絡,這種設置是可行的。但是,如果你的主機是Web站點或e-mail服務器,這種配置就不夠用了。 .
第二種選擇:屏蔽子網 .
第二種選擇是使用一種屏蔽子網,比防御主機方法而言,可以提供更多的優點。這種方法使用帶有三個網卡的單一防火牆(通常是指三宿主機防火牆)。
.
.
.屏蔽子網提供了這樣一種解決方案:企業可以為因特網用戶安全地提供服務。任何負責公共服務的服務器都被設置在隔離區(DMZ),隔離區是被防火牆分割開因特網和所信任的網絡。因此,如果惡意用戶設法攻破防火牆,他或她也無法進入企業內部的互聯網(前提是正確配置防火牆)。
.
第三種選擇:雙重防火牆 .
最安全(也是最貴的)選擇是在采用兩個防火牆的屏蔽子網,。這種情況下,隔離區(DMZ)設置在兩個防火牆之間。
.
.
.
使用雙重防火牆,公司還可以通過DMZ為因特網用戶提供服務,但是需要增加一層保護。安全架構師從兩個不同的經銷商的防火牆技術,然後用來實施這一計劃,這種情況相當常見。當惡意個人發現某個軟件有可以利用的漏洞時,這種做法就增強了安全性。
.
高端防火牆在這些方面也有一些變化。基本的防火牆模式通常有三界面界限,高端防火牆則可以有許多物理和虛擬界面。比如,,Secure Computing 公司的Sidewinder G2防火牆可以有20個物理界面。通過使用VLAN,標記物理界面,就可以增加額外的虛擬界面。這對你來說意味著什麼?有了大量的界面,你就可以在網絡中采用不同的安全區。比如,你可能會有下面的界面配置: .
安全區1:因特網 .
安全區2:受限工作站 .
安全區3:普通工作站 .
安全區4:公共隔離區 .
安全區5:內部隔離區
.
安全區6:中心服務器
.
這種構架中,你可以使用任何一種上述三種拓撲結構,並有了極大地靈活性。 .
這是關於防火牆構架的簡單入門知識。現在你已經掌握了基本概念,那麼你就能夠在不同情況下,幫助選擇合適的防火牆拓撲結構。
.
.