防火墻配置幾乎是每個互聯(lián)網(wǎng)應(yīng)用企業(yè)都要面臨的問題，如何配置一個高效的防火墻是一個企業(yè)安全管理員關(guān)注的問題。那么本篇文章就通過淺析三種典型的主流防火墻配置方案，使得網(wǎng)絡(luò)安全管理人員在配制自身企業(yè)防火墻是能有個更好的思路。

防火墻配置方案1、雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）

這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)

防火墻配置方案2、屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）

屏蔽主機(jī)網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖2）。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet.

防火墻配置方案3、屏蔽子網(wǎng)（ScreenedSubnet）

這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。

兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”，兩個路由器一個控制Intranet數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。

這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價高。

當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等?？傊阑饓χ皇且环N整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略。

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起