在防火墙拓扑结构中配置系统

在前面的文章中，我们探讨了选择防火墙拓扑结构的基础知识。我们讲到了防御主机，屏蔽子网和更安全的多防火墙结合之间的区别。一旦你决定了最适合你的IT架构的拓扑结构，就需要决定在选中的拓扑结构中系统的位置。

在我们讨论的这个话题时，我们将会使用安全区的概念，详细说明我们的要求。处于我们的目的，要考虑安全区，将所有系统和防火墙的单个界面连接起来，直接连接或者通过非防火墙的网络设备。

防御主机

首先，我们看一个最简单的例子：防御主据。在这种情况下，所有进入或离开网络的流量都通过防火墙，而且只有两个界面：直接和因特网连接的公共界面以及和企业内网连接的私密界面。这使我们要考虑两个安全区，安置系统就很简单了。我们只要简单地把所有我们想要保护地系统放到私密区。

在防御主机的拓扑结构中，我们假定，你不打算对因特网提供任何公共服务。如果确实需要提供公共服务（比如DNS，SMTP和HTTP），就应该严肃地考虑使用替补的拓扑结构。如果不可能，就要面对一个艰难的选择：应该把公共服务器放在公共区还是私密区？ 如果放在公共区，他们就不能获得来自防火墙的任何保护，就更容易受到攻击。另外一方面，如果放在私密区，在公共服务器受到攻击的情况下，就会增加其他更多的敏感系统被攻击的可能性。在作决定时，需要认真平衡风险和优点。

图1：防御主机

屏蔽子网

屏蔽子网是应用最广泛的防火墙拓扑结构，它在某种程度上也很直接。我们增加一个附加区，也就是屏蔽子网（或者DMZ），它包含所有提供公共服务的主机。在这种情况下，公共区就直接和因特网连接，并且没有受企业控制的主机。私密区的包含因特网用户没有商业性访问的系统，例如，用户工作站，内部文件服务器和其他非公共设备。DMZ包含所有可能向因特网提供服务的系统。这个区包含公共的应用服务器，SMTP服务器，DNS服务器和其他类似的服务器。你的IMAP/POP服务器可能在这个区，也可能不在，这取决于你的安全策略。

图2 ：屏蔽子网

多宿防火墙

最后一种情况，有多于3个界面的多重防火墙，它是最有意思的挑战。在这种情况下，有不止3个区，所以就有了大量更加细分的系统。必须使这些细分的系统在企业中基于详细的安全目标。要做的分区之一是把工作站放入不同的区域，便于隔离敏感系统。例如，你可能把所有的属于会计的系统放在一个区中，而把行政工作站放在另一个区中，其他的工作站放在第三个区中。你可能还想区分为因特网提供服务的系统。例如，向一般公众提供服务（比如公司网站）的系统可能和只向注册用户（比如Web邮件服务器）提供服务的系统放在不同的区域。

图3：多宿防火墙

最后，决定还要你来做。既然你已经读了这篇文章了，脑子里就应该有很多想法了吧。坐下来，写到纸上，和同事讨论一下这些选择，再开发适合你的企业的系统布置策略。