當前位置 : 首頁>軟件學院>網(wǎng)絡技術(shù)>網(wǎng)絡軟件>正文

學習邊界防火墻的應用

http://m.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　這里介紹的防火墻是傳統(tǒng)邊界防火墻，不包括后面將要介紹的個人防火墻和分布式防火墻。首先介紹的是防火墻的幾種典型應用拓撲結(jié)構(gòu)。

　　一、防火墻的主要應用拓撲結(jié)構(gòu)

　　邊界防火墻雖然是傳統(tǒng)的，但是它的應用最廣，技術(shù)最為成熟。目前大多數(shù)企業(yè)網(wǎng)絡中所應用的都是邊界防火墻。所以了解邊界防火墻的應用對于掌握整個防火墻技術(shù)非常重要。

　　傳統(tǒng)邊界防火墻主要有以下四種典型的應用環(huán)境，它們分別是：

　　●控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡的訪問　

　　●控制來自第三方局域網(wǎng)對內(nèi)部網(wǎng)絡的訪問

　　●控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡之間的訪問

　　●控制對服務器中心的網(wǎng)絡訪問　

　　下面分別予以介紹。

　　1、控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡的訪問

　　這是一種應用最廣，也是最重要的防火墻應用環(huán)境。在這種應用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡不遭受互聯(lián)網(wǎng)用戶(主要是指非法的黑客)的攻擊。目前絕大多數(shù)企業(yè)、特別是中小型企業(yè)，采用防火墻的目的就是這個。

　　在這種應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域：

　　內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的企業(yè)內(nèi)部網(wǎng)絡設(shè)備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。

　　外部網(wǎng)絡：這是防火墻要防護的對象，包括外部互聯(lián)網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。

　　DMZ(非軍事區(qū))：它是從企業(yè)內(nèi)部網(wǎng)絡中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡中用于公眾服務的外部服務器，如Web服務器、郵件服務器、FTP服務器、外部DNS服務器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務。

　　在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域廟宇不同的安全策略。雖然內(nèi)部網(wǎng)絡和DMZ區(qū)都屬于企業(yè)內(nèi)部網(wǎng)絡的一部分，但它們的安全級別(策略)是不同的。對于要保護的大部分內(nèi)部網(wǎng)絡，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由企業(yè)內(nèi)部網(wǎng)絡劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應用提供相關(guān)的服務，所以在一定程度上，沒有內(nèi)部網(wǎng)絡限制那么嚴格，如Web服務器通常是允許任何人進行正常的訪問。或許有人問，這樣的話，這些服務器不是很容易初攻擊，按原理來說是這樣的，但是由于在這些服務器上所安裝的服務非常少，所允許的權(quán)限非常低，真正有服務器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡主機上，所以黑客攻擊這些服務器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡訪問權(quán)限。

　　另外，建議通過NAT(網(wǎng)絡地址轉(zhuǎn)換)技術(shù)將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這樣有兩個好處：一則可以對外屏蔽內(nèi)部網(wǎng)絡構(gòu)和IP地址，保護內(nèi)部網(wǎng)絡的安全；同時因為是公網(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用，節(jié)省了企業(yè)投資成本。

本新聞共7頁,當前在第1頁 1 2 3 4 5 6 7

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费