防火墻和交換機(jī)還是比較常用的，兩者合作會(huì)出現(xiàn)什么效果呢？在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。隨著網(wǎng)絡(luò)技術(shù)和因特網(wǎng)技術(shù)的成熟和高速發(fā)展，越來(lái)越多的企事業(yè)單位開始組建網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)辦公自動(dòng)化和共享因特網(wǎng)的信息。但是， 安全問(wèn)題也突現(xiàn)出來(lái)，iMaxNetworks(記憶網(wǎng)絡(luò)公司)根據(jù)電子政務(wù)網(wǎng)絡(luò)的特點(diǎn)提出了以交換機(jī)、防火墻和交換機(jī)相結(jié)合實(shí)現(xiàn)內(nèi)外網(wǎng)隔離的解決方案。

方案一：防火墻和交換機(jī)實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離

網(wǎng)絡(luò)系統(tǒng)由內(nèi)部局域網(wǎng)和外部因特網(wǎng)兩個(gè)相對(duì)獨(dú)立又相互關(guān)聯(lián)的部分組成，均采用星形拓?fù)浣Y(jié)構(gòu)和100M交換式快速以太網(wǎng)技術(shù)。內(nèi)部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來(lái)自Internet的入侵者無(wú)法通過(guò)計(jì)算機(jī)從外部網(wǎng)進(jìn)入內(nèi)部網(wǎng)，從而最有效地保障了內(nèi)部網(wǎng)重要數(shù)據(jù)的安全，內(nèi)部局域網(wǎng)和外部因特網(wǎng)實(shí)現(xiàn)物理隔離。

imaxnetworks終端提供了經(jīng)濟(jì)安全的內(nèi)外網(wǎng)物理隔離功能，它通過(guò)物理開關(guān)進(jìn)行內(nèi)外網(wǎng)的切換，在物理上信息終端只與其中一個(gè)網(wǎng)絡(luò)連通，所以黑客即使侵入其中一個(gè)網(wǎng)絡(luò)也無(wú)法越過(guò)物理屏障侵入另一個(gè)網(wǎng)絡(luò)。建立內(nèi)外網(wǎng)隔離方案需要在內(nèi)網(wǎng)和外網(wǎng)各安裝至少一臺(tái)終端服務(wù)器。

方案二：防火墻和交換機(jī)結(jié)合，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離

VLAN隔離內(nèi)外網(wǎng)：電子政務(wù)網(wǎng)絡(luò)中存在多種業(yè)務(wù)，要實(shí)現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時(shí)又要保證各個(gè)網(wǎng)絡(luò)的安全，除了在應(yīng)用層上通過(guò)加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的防火墻和交換機(jī)上采用VLAN技術(shù)進(jìn)行，將不同業(yè)務(wù)網(wǎng)的設(shè)備放置在不同的VLAN中進(jìn)行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問(wèn)。在實(shí)現(xiàn)VLAN的技術(shù)中，以基于以太網(wǎng)交換機(jī)端口的VLAN(IEEE 802.1Q)最為成熟和安全。防火墻訪問(wèn)控制保證。

網(wǎng)絡(luò)核心安全：為了網(wǎng)絡(luò)構(gòu)建簡(jiǎn)單，避免采用太多的設(shè)備使管理復(fù)雜化，從而降低網(wǎng)絡(luò)的安全性，可以放置一個(gè)高速防火墻，如圖所示，通過(guò)這個(gè)這個(gè)防火墻，對(duì)所有出入中心的數(shù)據(jù)包進(jìn)行安全控制及過(guò)濾，保證訪問(wèn)核心的安全。另外，為保證業(yè)務(wù)主機(jī)及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務(wù)網(wǎng)間的無(wú)控制互訪，應(yīng)在進(jìn)行VLAN劃分的防火墻和交換機(jī)內(nèi)設(shè)置ACL。數(shù)據(jù)加密傳輸：對(duì)于通過(guò)公網(wǎng)(寬帶城域網(wǎng))進(jìn)行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對(duì)關(guān)鍵業(yè)務(wù)做加密時(shí)，可以考慮采用更強(qiáng)的加密算法。

設(shè)置DMZ區(qū)進(jìn)行外部訪問(wèn)：通常對(duì)于外部網(wǎng)絡(luò)的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對(duì)所有的外部接入，缺省認(rèn)為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過(guò)認(rèn)證和允許的才能進(jìn)入網(wǎng)絡(luò)內(nèi)部。與網(wǎng)絡(luò)中心及其它內(nèi)部局域網(wǎng)之間的互連采用?；饏^(qū)(DMZ)，設(shè)置集中認(rèn)證點(diǎn)對(duì)接入用戶進(jìn)行安全認(rèn)證，認(rèn)證及相關(guān)服務(wù)器位于停火區(qū)，業(yè)務(wù)通過(guò)代理服務(wù)器進(jìn)行交換，不允許外部網(wǎng)絡(luò)直接訪問(wèn)內(nèi)部系統(tǒng)。