局域网外部防火墙和内部防火墙概念.docVIP

局域网外部防火墙和内部防火墙概念 我听说组建局域网的时候可以设置外部防火墙和内部防火墙。 外部防火墙和内部防火墙之间是“安全隔离（DMZ）区”，外部防火墙的外面是路由器（接INTERNET），内部防火墙的后面就是内部网络区了。 内部防火墙是接在哪的啊？ （一）内部防火墙是不是直接拉一条线直接接在外部防火墙上，外部防火墙的其它的各个端口接各个主机（为安全隔离（DMZ）区的成员）； （二）还是说在外部防火墙的端口上先接一个交换机，在交换机的几个端口上各接一部主机（这些主机为安全隔离（DMZ）区的成员）并就在这个交换机的其中一个端口上接一部防火墙（这部就是内部防火墙），然后内部防火墙的各个端口就可以接内部网络的各部主机了。 我这样的理解对不对啊？ 一、防火墙的概念 1. 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。 2. Rich Kosinski(Internet Security公司总裁）： 防火墙是一种访问控制技术，在某个机构的网络与不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。 3. William Cheswick与Steve Beilovin（1994）： 防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质： （1）只允许本地安全策略授权的通信信息通过； （2）双向通信信息必须通过防火墙； （3）防火墙本身不会影响信息的流通。 4. 防火墙是位于两个信任程度不同的网络之间（如企业内部网络与Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取与访问以达到保护系统安全的目的。 注意：防火墙主要用于保护安全网络免受不安全网络的侵害。 典型情况：安全网络为企业内部网络，不安全网络为因特网。 但防火墙不只用于因特网，也可用于Intranet各部门网络之间。（内部防火墙）。E.g.：财务部和市场部之间。 5. 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网与外部网之间的任何活动，保证了内部网络的安全。 在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机与配有软件的网络的组合。 防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。E.g.：加密与解密——VPN。 6. 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。 两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策） 多数防火墙都在两种之间采取折衷。 在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。 二、防火墙的作用 1. 网络安全的第一道防线（防盗门、战壕、交通警察、门卫） 2. 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。 3. 防火墙可以实行强制的网络安全策略，E.g.：禁止不安全的协议NFS，禁止finger 。 4. 对网络存取与访问进行监控审计。E.g.:网络使用与滥用的记录统计。 5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。 三、防火墙体系结构 1. 基本原理 （1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Internet的一部分，限制其和Internet其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。 （2）安全域：一个计算机子网中具有相同安全政策的计算机的集合。 （3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。 2. 防火墙分类 （1）IP级防火墙，又称报文过滤防火墙。 原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。 特点：网络性能好，透明、方便；不能针对特定用户与特定请求，粒度不够。 （2）应用级防火墙，又称代理防火墙。 原理：双穴主机隔离内外直接连接，为两端代理服务请求。 特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。 （3）链路级防火墙 原理：双穴主机提供通用