在防火墙拓扑结构中配置系统

日期: 2008-04-17 作者:Mike Chapple翻译:Tina Guo 来源:TechTarget中国 英文

在前面的文章中,我们探讨了选择防火墙拓扑结构的基础知识。我们讲到了防御主机,屏蔽子网和更安全的多防火墙结合之间的区别。一旦你决定了最适合你的IT架构的拓扑结构,就需要决定在选中的拓扑结构中系统的位置。   在我们讨论的这个话题时,我们将会使用安全区的概念,详细说明我们的要求。

处于我们的目的,要考虑安全区,将所有系统和防火墙的单个界面连接起来,直接连接或者通过非防火墙的网络设备。   防御主机   首先,我们看一个最简单的例子:防御主据。在这种情况下,所有进入或离开网络的流量都通过防火墙,而且只有两个界面:直接和因特网连接的公共界面以及和企业内网连接的私密界面。这使我们要考虑两个安全区,安置系统……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在前面的文章中,我们探讨了选择防火墙拓扑结构的基础知识。我们讲到了防御主机,屏蔽子网和更安全的多防火墙结合之间的区别。一旦你决定了最适合你的IT架构的拓扑结构,就需要决定在选中的拓扑结构中系统的位置。

  在我们讨论的这个话题时,我们将会使用安全区的概念,详细说明我们的要求。处于我们的目的,要考虑安全区,将所有系统和防火墙的单个界面连接起来,直接连接或者通过非防火墙的网络设备。

  防御主机

  首先,我们看一个最简单的例子:防御主据。在这种情况下,所有进入或离开网络的流量都通过防火墙,而且只有两个界面:直接和因特网连接的公共界面以及和企业内网连接的私密界面。这使我们要考虑两个安全区,安置系统就很简单了。我们只要简单地把所有我们想要保护地系统放到私密区。

  在防御主机的拓扑结构中,我们假定,你不打算对因特网提供任何公共服务。如果确实需要提供公共服务(比如DNS,SMTP和HTTP),就应该严肃地考虑使用替补的拓扑结构。如果不可能,就要面对一个艰难的选择:应该把公共服务器放在公共区还是私密区? 如果放在公共区,他们就不能获得来自防火墙的任何保护,就更容易受到攻击。另外一方面,如果放在私密区,在公共服务器受到攻击的情况下,就会增加其他更多的敏感系统被攻击的可能性。在作决定时,需要认真平衡风险和优点。

防御主机

图1:防御主机

  屏蔽子网

  屏蔽子网是应用最广泛的防火墙拓扑结构,它在某种程度上也很直接。我们增加一个附加区,也就是屏蔽子网(或者DMZ),它包含所有提供公共服务的主机。在这种情况下,公共区就直接和因特网连接,并且没有受企业控制的主机。私密区的包含因特网用户没有商业性访问的系统,例如,用户工作站,内部文件服务器和其他非公共设备。DMZ包含所有可能向因特网提供服务的系统。这个区包含公共的应用服务器,SMTP服务器,DNS服务器和其他类似的服务器。你的IMAP/POP服务器可能在这个区,也可能不在,这取决于你的安全策略。

屏蔽子网

 

图2 :屏蔽子网

  多宿防火墙

  最后一种情况,有多于3个界面的多重防火墙,它是最有意思的挑战。在这种情况下,有不止3个区,所以就有了大量更加细分的系统。必须使这些细分的系统在企业中基于详细的安全目标。要做的分区之一是把工作站放入不同的区域,便于隔离敏感系统。例如,你可能把所有的属于会计的系统放在一个区中,而把行政工作站放在另一个区中,其他的工作站放在第三个区中。你可能还想区分为因特网提供服务的系统。例如,向一般公众提供服务(比如公司网站)的系统可能和只向注册用户(比如Web邮件服务器)提供服务的系统放在不同的区域。

多宿防火墙

  

图3:多宿防火墙

  最后,决定还要你来做。既然你已经读了这篇文章了,脑子里就应该有很多想法了吧。坐下来,写到纸上,和同事讨论一下这些选择,再开发适合你的企业的系统布置策略。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

翻译

Tina Guo
Tina Guo

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……