在防火墙拓扑结构中配置系统
2008-09-04 12:12:12 来源:WEB开发网在前面的文章中,我们探讨了选择防火墙拓扑结构的基础知识。我们讲到了防御主机,屏蔽子网和更安全的多防火墙结合之间的区别。一旦你决定了最适合你的IT架构的拓扑结构,就需要决定在选中的拓扑结构中系统的位置。
在我们讨论的这个话题时,我们将会使用安全区的概念,详细说明我们的要求。处于我们的目的,要考虑安全区,将所有系统和防火墙的单个界面连接起来,直接连接或者通过非防火墙的网络设备。
防御主机
首先,我们看一个最简单的例子:防御主据。在这种情况下,所有进入或离开网络的流量都通过防火墙,而且只有两个界面:直接和因特网连接的公共界面以及和企业内网连接的私密界面。这使我们要考虑两个安全区,安置系统就很简单了。我们只要简单地把所有我们想要保护地系统放到私密区。
在防御主机的拓扑结构中,我们假定,你不打算对因特网提供任何公共服务。如果确实需要提供公共服务(比如DNS,SMTP和HTTP),就应该严肃地考虑使用替补的拓扑结构。如果不可能,就要面对一个艰难的选择:应该把公共服务器放在公共区还是私密区? 如果放在公共区,他们就不能获得来自防火墙的任何保护,就更容易受到攻击。另外一方面,如果放在私密区,在公共服务器受到攻击的情况下,就会增加其他更多的敏感系统被攻击的可能性。在作决定时,需要认真平衡风险和优点。
图1:防御主机
屏蔽子网
屏蔽子网是应用最广泛的防火墙拓扑结构,它在某种程度上也很直接。我们增加一个附加区,也就是屏蔽子网(或者DMZ),它包含所有提供公共服务的主机。在这种情况下,公共区就直接和因特网连接,并且没有受企业控制的主机。私密区的包含因特网用户没有商业性访问的系统,例如,用户工作站,内部文件服务器和其他非公共设备。DMZ包含所有可能向因特网提供服务的系统。这个区包含公共的应用服务器,SMTP服务器,DNS服务器和其他类似的服务器。你的IMAP/POP服务器可能在这个区,也可能不在,这取决于你的安全策略。
图2 :屏蔽子网
多宿防火墙
最后一种情况,有多于3个界面的多重防火墙,它是最有意思的挑战。在这种情况下,有不止3个区,所以就有了大量更加细分的系统。必须使这些细分的系统在企业中基于详细的安全目标。要做的分区之一是把工作站放入不同的区域,便于隔离敏感系统。例如,你可能把所有的属于会计的系统放在一个区中,而把行政工作站放在另一个区中,其他的工作站放在第三个区中。你可能还想区分为因特网提供服务的系统。例如,向一般公众提供服务(比如公司网站)的系统可能和只向注册用户(比如Web邮件服务器)提供服务的系统放在不同的区域。
图3:多宿防火墙
最后,决定还要你来做。既然你已经读了这篇文章了,脑子里就应该有很多想法了吧。坐下来,写到纸上,和同事讨论一下这些选择,再开发适合你的企业的系统布置策略。
更多精彩
赞助商链接