企业防火墙构建的误区和实施策略

核心提示： 实施良好的防火墙网络设计防火墙安全的另外一个关键组件是物理网络的拓扑，如下图1：上图展示的是并不太先进的Pix525，企业防火墙构建的误区和实施策略(4)，笔者用它只是为了说明原理，它支持2千兆比特的以太网端口和6个100M比特的快速以太网端口，PIX 525中的两个内置的快速以太网端口用

实施良好的防火墙网络设计

防火墙安全的另外一个关键组件是物理网络的拓扑。如下图1：

上图展示的是并不太先进的Pix525，笔者用它只是为了说明原理。它支持2千兆比特的以太网端口和6个100M比特的快速以太网端口。这是实现物理上分离不同子网的极好方法，假如每一个端口都插入一个物理上不同的以太网交换机的话，它可满足企业的需要。然而，在数据中心中为每一个子网部署超过六个物理交换机都是不切合实际的。企业经常通过将一台独立的物理交换机分割为多个桥接组来使用虚拟局域网（VLAN），这便可以为任何现有的或未来的子网提供额外的端口。因为我们可以轻松地将一个千兆比特的端口连接到一个第三层的核心交换机、DMZ、外延网、临时的子网及企业需要的任何其它VLAN。不妨看一下第二个千兆比特的以太网卡和4个快速以太网接口卡。这里需要强化第二层交换机的安全，用以应对vlan跳跃攻击等问题，本文暂不讨论这个问题。即使对于汇聚的千兆以太网端口来说，用户也应当使用两个内建的快速以太网端口用于公共的互联网访问和状态失效转移的同步。

再看下图2：

上图展示了在一次状态失效转移配置中两个防火墙的使用。网络连接只能到达逻辑防火墙，其目的是为了避免非法的连接器，不过事实上每一个子网都有一个物理连接到达每一个防火墙。这些连接可以是物理上分离的电缆或单独的汇聚电缆，它通过独立的千兆比特连接到达用户的支持VLAN的交换机。PIX 525中的两个内置的快速以太网端口用于公共的互联网连接和状态失效转移的同步，而剩余的内部子网可以共享千兆以太网端口。这种配置要比使用独立的快速以太网端口的配置快得多。

防火墙的内部可以连接下面的子网：

核心3层交换机