企业防火墙安全防护配置七大问题

核心提示： 问题三：一些单位以前是通过传统路由器进行上网，现在考虑安全性的问题，企业防火墙安全防护配置七大问题(3)，才购买的硬件防火墙，在这种情况下，如果出口路由器的档次比防火墙还低，一般建议将原有路由器进行替换，应该如何部署防火墙？在网络设计中，一般有三种接入方式

问题三：

一些单位以前是通过传统路由器进行上网，现在考虑安全性的问题，才购买的硬件防火墙，在这种情况下，应该如何部署防火墙？

在网络设计中，一般有三种接入方式，下面对这三种防火墙的位置进行一下比较：

1） 放在路由器之前，路由器与接入光纤的光电转换之间，防火墙工作在透明方式。

这种方式下，路由器的配置不变，通过设置规则，防火墙可以有效保护内部开放的服务器和路由器本身，但由于防火墙在路由器外，此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT，因此，防火墙不能对内部的用户做差异化的配置，而只能将内部所有用户视作一个整体进行业务的封锁和保护，因此在使用上有一定的局限。

2） 放在路由器之后，路由器与交换机之间，防火墙工作在透明方式。

同第一种方式相比，这种方式仍不需要修改路由器和内部PC的配置，且由于是防在内网，因此可以在规则配置时做差异化的配置，如领导的PC可以任何时间访问任何资源，而普通员工上班时间只能访问网页和收发mail，而下班时间才将MSN，QQ，视频等业务放开。目前使用这种方式的网络比较普遍。但这种方式在网络改造时最容易忽略案例二所讲到的，没有把内部开放服务的集中和放在DMZ区进行隔离。

3） 防火墙替换出口路由器，作为出口网关，工作在路由方式。

同以上两种方式相比，此时防火墙承担了更大的功能，不仅可以实现方式二的所有功能，而且网络拓扑也变得简单，今后网络出现故障也容易查询，特别是随着防火墙产品性能的提高和功能的更加丰富，这种方式已越来越成为主流。

在方案的选择中，如果出口路由器的档次比防火墙还低，一般建议将原有路由器进行替换，以提高网络的整体性能。