【51CTO.com 獨(dú)家特稿】防火墻在實(shí)際的部署應(yīng)用過(guò)程當(dāng)中，經(jīng)常部署在網(wǎng)關(guān)的位置，也就是經(jīng)常部署在網(wǎng)內(nèi)和網(wǎng)外的一個(gè)"中間分隔點(diǎn)"上，而就是在這樣一個(gè)部署的環(huán)境中，也還存在著多種方式，且存在著許多"陷阱"，本文將對(duì)幾種方式進(jìn)行分析。

方案一：錯(cuò)誤的防火墻部署方式

傳統(tǒng)的防火墻部署方式可能所有人都認(rèn)為非常簡(jiǎn)單，將防火墻部署于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間。這個(gè)思路如果在內(nèi)部網(wǎng)絡(luò)中存在共享資源（比如說(shuō)FTP服務(wù)器和Web服務(wù)器）的話，那么這將是一個(gè)非常危險(xiǎn)的部署方式，如圖1所示。理由其實(shí)非常簡(jiǎn)單，一旦這些共享服務(wù)器為黑客攻擊和安裝木馬滲透病毒的話，那么內(nèi)部網(wǎng)絡(luò)的客戶端及其資源將沒(méi)有任何安全可言。因?yàn)樵谶@種情況下，木馬和病毒已經(jīng)在內(nèi)網(wǎng)中存在，而客戶端和共享資源服務(wù)器在同一個(gè)網(wǎng)段，這無(wú)異于內(nèi)網(wǎng)的安全隱患，防火墻對(duì)此無(wú)能為力，從而也失去了部署的意義了。

圖1  錯(cuò)誤的防火墻部署方式#p#

方案二：使用DMZ

目前一個(gè)比較流行和正確的做法就是采用DMZ的防火墻部署方式，如圖2所示。也就是在防火墻上多加一塊網(wǎng)卡，把提供對(duì)外服務(wù)的服務(wù)器和內(nèi)網(wǎng)的客戶端嚴(yán)格地隔離開來(lái)，這樣，即算有安全風(fēng)險(xiǎn)和漏洞在DMZ中出現(xiàn)，由此對(duì)內(nèi)部網(wǎng)絡(luò)造成的危害也可以得到很好的控制，從而避免了方案一的缺點(diǎn)。

圖2  使用DMZ的防火墻部署方式#p#

方案三：使用DMZ+二路防火墻

為了加強(qiáng)方案二中防火墻的安全強(qiáng)度，目前有些企業(yè)將圖2的架構(gòu)優(yōu)化成圖3的架構(gòu)，也就是使用DMZ+二路防火墻。另外，在此結(jié)構(gòu)中選用防火墻，應(yīng)盡量采用兩家不同公司的產(chǎn)品，這樣才有利于發(fā)揮這種架構(gòu)的優(yōu)勢(shì)。

圖3  使用DMZ+二路防火墻的部署方式

方案四：通透式防火墻

在前面的幾種方案中，防火墻本身就是一個(gè)路由器，在使用的過(guò)程中用戶必須慎重地考慮到路由的問(wèn)題。如果網(wǎng)絡(luò)環(huán)境非常復(fù)雜或者是需要進(jìn)行調(diào)整，則相應(yīng)的路由需要進(jìn)行變更，維護(hù)和操作起來(lái)有一定的難度和工作量。

通透式防火墻則可以比較好的解決上述問(wèn)題（如圖4所示）。該類防火墻是一個(gè)橋接設(shè)備，并且在橋接設(shè)備上賦予了過(guò)濾的能力。由于橋接設(shè)備工作在OSI模型的第二層（也就是數(shù)據(jù)鏈路層），所以不會(huì)有任何路由的問(wèn)題。并且，防火墻本身也不需要指定IP地址，因此，這種防火墻的部署能力和隱密能力都相當(dāng)強(qiáng)，從而可以很好地應(yīng)對(duì)黑客對(duì)防火墻自身的攻擊，因?yàn)楹诳秃茈y獲得可以訪問(wèn)的IP地址。

圖4  通透式防火墻部署方式

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. “下一代防火墻”的未來(lái)發(fā)展趨勢(shì)
2. 防火墻之父：安全就是關(guān)注細(xì)節(jié)
3. WEB應(yīng)用防火墻 打造企業(yè)應(yīng)用安全不設(shè)防
4. 測(cè)試表明多款常用防火墻存在黑客漏洞