防火墻和交換機還是比較常用的，于是我研究了一下防火墻和交換機如何實現(xiàn)內外網(wǎng)隔離 ，在這里拿出來和大家分享一下，希望對大家有用。隨著網(wǎng)絡技術和因特網(wǎng)技術的成熟和高速發(fā)展，越來越多的企事業(yè)單位開始組建網(wǎng)絡來實現(xiàn)辦公自動化和共享因特網(wǎng)的信息。但是， 安全問題也突現(xiàn)出來，iMaxNetworks(記憶網(wǎng)絡公司)根據(jù)電子政務網(wǎng)絡的特點提出了以交換機、防火墻和交換機相結合實現(xiàn)內外網(wǎng)隔離的解決方案。

方案一：交換機實現(xiàn)內外網(wǎng)的物理隔離

網(wǎng)絡系統(tǒng)由內部局域網(wǎng)和外部因特網(wǎng)兩個相對獨立又相互關聯(lián)的部分組成，均采用星形拓撲結構和100M交換式快速以太網(wǎng)技術。內部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機從外部網(wǎng)進入內部網(wǎng)，從而最有效地保障了內部網(wǎng)重要數(shù)據(jù)的安全，內部局域網(wǎng)和外部因特網(wǎng)實現(xiàn)物理隔離。

imaxnetworks終端提供了經(jīng)濟安全的內外網(wǎng)物理隔離功能，它通過物理開關進行內外網(wǎng)的切換，在物理上信息終端只與其中一個網(wǎng)絡連通，所以黑客即使侵入其中一個網(wǎng)絡也無法越過物理屏障侵入另一個網(wǎng)絡。建立內外網(wǎng)隔離方案需要在內網(wǎng)和外網(wǎng)各安裝至少一臺終端服務器。

方案二：防火墻和交換機結合，實現(xiàn)內外網(wǎng)隔離

VLAN隔離內外網(wǎng)：電子政務網(wǎng)絡中存在多種業(yè)務，要實現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時又要保證各個網(wǎng)絡的安全，除了在應用層上通過加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的交換機上采用VLAN技術進行，將不同業(yè)務網(wǎng)的設備放置在不同的VLAN中進行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問。在實現(xiàn)VLAN的技術中，以基于以太網(wǎng)交換機端口的VLAN(IEEE 802.1Q)最為成熟和安全，防火墻訪問控制保證。

網(wǎng)絡核心安全：為了網(wǎng)絡構建簡單，避免采用太多的設備使管理復雜化，從而降低網(wǎng)絡的安全性，可以放置一個高速防火墻，通過這個這個防火墻和交換機，對所有出入中心的數(shù)據(jù)包進行安全控制及過濾，保證訪問核心的安全。另外，為保證業(yè)務主機及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務網(wǎng)間的無控制互訪，應在進行VLAN劃分的三層交換機內設置ACL。數(shù)據(jù)加密傳輸：對于通過公網(wǎng)(寬帶城域網(wǎng))進行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對關鍵業(yè)務做加密時，可以考慮采用更強的加密算法。

設置DMZ區(qū)進行外部訪問：通常對于外部網(wǎng)絡的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，缺省認為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過認證和允許的才能進入網(wǎng)絡內部。與網(wǎng)絡中心及其它內部局域網(wǎng)之間的互連采用?；饏^(qū)(DMZ)，設置集中認證點對接入用戶進行安全認證，認證及相關服務器位于?；饏^(qū)，業(yè)務通過代理服務器進行交換，不允許外部網(wǎng)絡直接訪問內部系統(tǒng)。