当为一个企业开发边界保护策略时，最常见的问题是“我应该把防火墙设置在哪里，以发挥其最大效用？”在本节中，我们会探讨一下三个基本的选择，并分析每种情况下的最佳模式。

　　我们开始之前，请注意本节中我们只处理防火墙的设置问题。无论谁想要建立一个边界保护策略，都应该计划采用一个深度防御方法，可以利用包括防火墙、带有封包过滤功能的边界路由器以及入侵探测系统等的多种安全设备。

　　第一种选择：防御主机

　　第一种最基本的选择是使用防御主机。在这种设置中（下图1所示），防火墙设置在因特网和受保护网络之间。它可以过滤所有进入或离开网络的流量。

 
　　图1：防御主机

　　防御主机拓扑结构适合于相对简单的网络（比如，那些不提供任何公共因特网服务的网络。）要切记的关键因素是它仅提供一个单一的边界。一旦有人设法渗透到边界之中，那么他们就已经可以不受任何限制地（至少从边界保护的角度来说）进入到受保护的网络之中。如果你仅仅使用防火墙来保护整主要用来上网的企业网络，这种设置是可行的。但是，如果你的主机是Web站点或e-mail服务器，这种配置就不够用了。

　　第二种选择：屏蔽子网

　　第二种选择是使用一种屏蔽子网，比防御主机方法而言，可以提供更多的优点。这种方法使用带有三个网卡的单一防火墙（通常是指三宿主机防火墙）。这种拓扑结构的一个例子如图2 所示。

 
　　图2：屏蔽子网

　　屏蔽子网提供了这样一种解决方案：企业可以为因特网用户安全地提供服务。任何负责公共服务的服务器都被设置在隔离区(DMZ)，隔离区是被防火墙分割开因特网和所信任的网络。因此，如果恶意用户设法攻破防火墙，他或她也无法进入企业内部的互联网（前提是正确配置防火墙）。

　　第三种选择：双重防火墙

　　最安全（也是最贵的）选择是在采用两个防火墙的屏蔽子网，。这种情况下，隔离区（DMZ）设置在两个防火墙之间，如图3所示。

 
　　图3：双重防火墙

　　使用双重防火墙，公司还可以通过DMZ为因特网用户提供服务，但是需要增加一层保护。安全架构师从两个不同的经销商的防火墙技术，然后用来实施这一计划，这种情况相当常见。当恶意个人发现某个软件有可以利用的漏洞时，这种做法就增强了安全性。

　　高端防火墙在这些方面也有一些变化。基本的防火墙模式通常有三界面界限，高端防火墙则可以有许多物理和虚拟界面。比如，Secure Computing 公司的Sidewinder G2防火墙可以有20个物理界面。通过使用VLAN，标记物理界面，就可以增加额外的虚拟界面。这对你来说意味着什么？有了大量的界面，你就可以在网络中采用不同的安全区。比如，你可能会有下面的界面配置：

• 安全区1：因特网
• 安全区2：受限工作站
• 安全区3：普通工作站
• 安全区4：公共隔离区
• 安全区5：内部隔离区
• 安全区6：中心服务器

　　这种构架中，你可以使用任何一种上述三种拓扑结构，并有了极大地灵活性。

　　这是关于防火墙构架的简单入门知识。现在你已经掌握了基本概念，那么你就能够在不同情况下，帮助选择合适的防火墙拓扑结构。