企业防火墙安全防护配置七大问题
2007-07-23 12:46:23 来源:WEB开发网核心提示: 问题三:一些单位以前是通过传统路由器进行上网,现在考虑安全性的问题,企业防火墙安全防护配置七大问题(3),才购买的硬件防火墙,在这种情况下,如果出口路由器的档次比防火墙还低,一般建议将原有路由器进行替换,应该如何部署防火墙?在网络设计中,一般有三种接入方式
问题三:
一些单位以前是通过传统路由器进行上网,现在考虑安全性的问题,才购买的硬件防火墙,在这种情况下,应该如何部署防火墙?
在网络设计中,一般有三种接入方式,下面对这三种防火墙的位置进行一下比较:
1) 放在路由器之前,路由器与接入光纤的光电转换之间,防火墙工作在透明方式。
这种方式下,路由器的配置不变,通过设置规则,防火墙可以有效保护内部开放的服务器和路由器本身,但由于防火墙在路由器外,此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT,因此,防火墙不能对内部的用户做差异化的配置,而只能将内部所有用户视作一个整体进行业务的封锁和保护,因此在使用上有一定的局限。
2) 放在路由器之后,路由器与交换机之间,防火墙工作在透明方式。
同第一种方式相比,这种方式仍不需要修改路由器和内部PC的配置,且由于是防在内网,因此可以在规则配置时做差异化的配置,如领导的PC可以任何时间访问任何资源,而普通员工上班时间只能访问网页和收发mail,而下班时间才将MSN,QQ,视频等业务放开。目前使用这种方式的网络比较普遍。但这种方式在网络改造时最容易忽略案例二所讲到的,没有把内部开放服务的集中和放在DMZ区进行隔离。
3) 防火墙替换出口路由器,作为出口网关,工作在路由方式。
同以上两种方式相比,此时防火墙承担了更大的功能,不仅可以实现方式二的所有功能,而且网络拓扑也变得简单,今后网络出现故障也容易查询,特别是随着防火墙产品性能的提高和功能的更加丰富,这种方式已越来越成为主流。
在方案的选择中,如果出口路由器的档次比防火墙还低,一般建议将原有路由器进行替换,以提高网络的整体性能。
更多精彩
赞助商链接