學習邊界防火墻的應用

http://m.yibo1263.com　2008/6/12 8:46:08 　來源:本站　編輯:葉子

　　在這種應用環(huán)境中，在網(wǎng)絡拓撲結構上企事業(yè)單位可以有兩種選擇，這主要是根據(jù)單位原有網(wǎng)絡設備情況而定。

　　如果企業(yè)原來已有邊界路由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結構中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務器設施。網(wǎng)絡拓撲結構如圖1所示。

　　如果企業(yè)原來沒有邊界路由器，此時也可不再添加邊界路由器，僅由防火墻來保護內部網(wǎng)絡。此時DMZ區(qū)域和需要保護的內部網(wǎng)絡分別連接防火墻的不同LAN網(wǎng)絡接口，因此需要對這兩部分網(wǎng)絡設置不同的安全策略。這種拓撲結構雖然只有一道安全防線，但對于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購防火墻時就要注意，防火墻一定要有兩個以上的LAN網(wǎng)絡接口。它與我們前面所介紹的“多宿主機”結構是一樣的。這種應用環(huán)境的網(wǎng)絡拓撲結構如圖2所示。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558628963.jpg"