边界防火墙的应用.pdfVIP

在上一篇中咱们对防火墙的要紧技术及设计模式进行较详细的介绍，大伙儿已对防火墙从

技术深度有一个理性熟悉。本篇要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从

中咱们能够了解到防火墙的一些具体应用方式，为咱们配置自己企业防火墙的应用打下基

础。固然那个地址所说的防火墙仍是传统边界防火墙，不包括后面将要介绍的个人防火墙和

散布式防火墙。第一介绍的是防火墙的几种典型应用拓扑结构。

一、防火墙的要紧应用拓扑结构

边界防火墙尽管是传统的，可是它的应用最广，技术最为成熟。目前大多数企业网络中

所应用的都是边界防火墙。因此了解边界防火墙的应用关于把握整个防火墙技术超级重要。

传统边界防火墙要紧有以下四种典型的应用环境，它们别离是：

●操纵来自互联网对内部网络的访问

●操纵来自第三方局域网对内部网络的访问

●操纵局域网内部不同部门网络之间的访问

●操纵对效劳器中心的网络访问

下面别离予以介绍。

一、操纵来自互联网对内部网络的访问

这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙要紧爱

惜内部网络不蒙受互联网用户(主若是指非法的黑客)的解决。目前绝大多数企业、专门是中

小型企业，采纳防火墙的目的确实是那个。

在这种应用环境中，一样情形下防火墙网络可划分为三个不同级别的平安区域：

内部网络：这是防火墙要爱惜的对象，包括全数的企业内部网络设备及用户主机。那个

区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。

外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。那个区域为防火墙

的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。

DMZ(非军事区)：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络顶

用于公众效劳的外部效劳器，如Web效劳器、邮件效劳器、FTP效劳器、外部DNS效劳器等，

它们都是为互联网提供某种信息效劳。

在以上三个区域中，用户需要对不同的平安区域庙宇不同的平安策略。尽管内部网络和

DMZ区都属于企业内部网络的一部份，但它们的平安级别(策略)是不同的。关于要爱惜的大

部份内部网络，一样情形下禁止所有来自互联网用户的访问；而由企业内部网络划分出去的

DMZ区，因需为互联网应用提供相关的效劳，因此在必然程度上，没有内部网络限制那么严

格，如Web效劳器一般是许诺任何人进行正常的访问。或许有人问，如此的话，这些效劳器

不是很容易初解决，按原理来讲是如此的，可是由于在这些效劳器上所安装的效劳超级少，

所许诺的权限超级低，真正有效劳器数据是在受爱惜的内部网络主机上，因此黑客解决这些

效劳器没有任何意义，既不能获取什么有效的信息，也不能通过解决它而取得太高的网络访

问权限。

另外，建议通过NAT(网络地址转换)技术将受爱惜的内部网络的全数主机地址映射成防

火墙上设置的少数几个有效公网IP地址。如此有两个益处：一那么能够对外屏蔽内部网络

构和IP地址，爱惜内部网络的平安；同时因为是公网IP地址共享，因此能够大大节省公网

IP地址的利用，节省了企业投资本钱。

在这种应用环境中，在网络拓扑结构上企事业单位能够有两种选择，这主若是依照单位原

有网络设备情形而定。

若是企业原先已有边界路由器，那么此可充分利用原有设备，利用边界路由器的包过滤

功能，添加相应的防火墙配置，如此原先的路由器也就具有防火墙功能了。然后再利用防火

墙与需要爱惜的内部网络连接。关于DMZ区中的公用效劳器，那么可直接与边界路由器相连，

不用通过防火墙。它可只通过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就

一路组成了两道平安防线，而且在这二者之间能够设置一个DMZ区，用来放置那些许诺外部

用户访问的公用效劳器设施。网络拓扑结构如图1所示。

若是企业原先没有边界路由器，现在也可再也不添加边界路由器，仅由防火墙来爱惜内

部网络。现在DMZ区域和需要爱惜的内部网络别离连接防火墙的不同LAN网络接口，因此需

要对这两部份网络设置不同的平安策略。这种拓扑结构尽管只有一道平安防线，但关于大多

数中、小企业来讲是完全能够知足的。只是在选购防火墙时就要注意，防火墙必然要有两个

以上的LAN网络接口。它与咱们前面所介绍的“多宿主机”结构是一样的。这种应用环境的

网络拓扑结构如图2所示。

图1