@Niki
2年前 提问
1个回答

防火墙安全组合体系结构包括哪些方面

一颗小胡椒
2年前

防火墙安全组合体系结构包括以下方面:

  • 多堡垒主机:有两个堡垒主机的子网过滤体系结构理想情况下,堡垒主机应该只提供一种服务,因为如果提供的服务越多,由于系统上安装服务而导致安全隐患的可能性也就越大。这就意味着,如果你在网络边界上拥有一个防火墙程序、一台Web服务器、一台SMTP服务器、一台DNS服务器、一台FTP服务器和一台Telnet服务器,那么你就需要配置六台独立的堡垒主机。

  • 合并内部路由器与外部路由器:单个路由器的子网过滤体系结构使用一个路由器充当内部和外部路由器,在每个接口上设置入站和出站的过滤规则。体系结构其优点是节约了路由器的开支,但主要的缺点是黑客只要攻破该路由器就可以进入你的网络。

  • 合并堡垒主机与外部路由器:使用一个配有双网卡的主机,既做堡垒主机又充当外部路由器。在这种体系结构中,堡垒主机没有外部路由器的保护,直接暴露给了Internet,安全性不好。这种方案的唯一保护是堡垒主机自己提供的分组过滤功能。当你的网络只有一个到Internet的拨号PPP连接,并且堡垒主机上运行PPP数据包,你也可以选择这种设置方法。

  • 合并堡垒主机与内部路由器:使用一个配有双网卡的主机,即做堡垒主机又充当内部路由器。堡垒主机与内部网通信,以便转发从外部网获得的信息。

  • 使用多台外部路由器:如果你的网络既要连接到Internet还要并行地连接到分支机构或者合作伙伴的网络,就可以放置多台外部路由器,它们的工作方式与单台路由器相同。当有两台外部路由器时,黑客攻入任一个路由器的机会增加了一倍。

  • 使用多个周边网络:如果你的网络与分支机构和合作伙伴之间的网络有任务紧急的应用连接,需要并发处理,就可以使用多个DMZ,以确保高可靠性和高安全性。这种结构的优点是:提供了网络的冗余度,在数据传输中将不同的网络隔离开,增加了数据的保密性。其缺点是,存在多个路由器,它们都是进入内部网的通道,如果没有仔细监控和管理这些路由器,就会给入侵者提供更多的机会。