1. 针对小型,大型,特大型企业设计相应的防火墙体系结构,图和文字说明。
中小型用户,建议使用混合型防火墙。
混合型防火墙采用一种组合结构,它主要由内部防火墙、外部防火墙、堡垒主机和基站主机服务器四部分组成,组成如下图所示。
内、外防火墙在内部网和外部网之间构成一个安全子网,称为屏蔽子网,基站主机、堡垒主机、邮件服务器、打印服务器、Web服务器、数据库服务器等公用服务器布置在屏蔽子网中。外部防火墙介于Internet与屏蔽子网之间,内部防火墙介于内部网与屏蔽子网之间。
屏蔽子网堡垒主机基站主机外部网内部网外部防火墙内部防火墙公用服务器
2. 大型企业防火墙,建议用屏蔽子网防火墙,图如下。
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。
两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。
对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
DMZ外部路由器堡垒主机内部路由器Web服务器E-mail服务器Dns服务器外部通信pc内部网络 3. 超大型企业,建议用双宿主机防火墙。
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。
双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。
双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络
Internet防火墙双宿主机内部网络
