资料下载

防火墙拓扑

由管理员撰写。发表于 防火墙

3.8888888888889 1 1 1 1 1 评分3.89(27投票)
压住他

介绍

在本节中,我们将讨论可以设置防火墙的不同方法。根据您的需要,您可以有一个非常简单的防火墙设置,它将为您的个人计算机或小型网络提供足够的保护,或者您可以选择一个更复杂的设置,从而提供更多的保护和安全性。

让我们从简单的解决方案开始,然后再转到更复杂的解决方案。请记住,我们不是在谈论防火墙,防火墙只是在与互联网连接和执行工作所用的同一台计算机上运行的软件,而是在谈论物理计算机,它是专用的防火墙。


简单的双宿主防火墙

双宿主防火墙是使用防火墙的最简单且可能是最常见的方式之一。互联网直接通过拨号调制解调器(例如我:))或通过其他类型的连接(例如ISDN线路或电缆调制解调器)进入防火墙。这种类型的配置中没有DMZ(有关详细信息,请参见DMZ页面)。

firewall_topologies-1

防火墙负责在内部网络和Internet之间传递通过其过滤规则的数据包,反之亦然。它可能会使用IP伪装,仅此而已。这称为双宿主主机。这两个“家庭”是指防火墙机器所属的两个网络-一个接口连接到外部家庭,另一个接口连接到内部家庭。

这种特殊的设置具有简单性的优点,如果您的互联网连接是通过调制解调器,而您只有一个IP地址,那么除非您像我们将要创建的那样创建一个更复杂的网络,否则您可能必须使用它。谈谈关于。


具有完全裸露DMZ的两腿网络

在这种更高级的配置中,如下图所示,连接到外部工作的路由器连接到集线器(或交换机)。

firewall_topologies-2

希望直接访问外部环境且未经过防火墙过滤的计算机连接到此集线器。防火墙的网络适配器之一也连接到该集线器。另一个网络适配器连接到内部集线器。需要由防火墙保护的计算机需要连接到该集线器。这些集线器中的任何一个都可以用交换机代替,以提高安全性和速度,并且将交换机用于内部集线器会更有效。

关于公开的DMZ配置,有很多好处。防火墙仅需要两个网卡。这简化了防火墙的配置。此外,如果您控制路由器,则可以使用第二组数据包筛选功能。使用这些,可以为DMZ提供一些与防火墙完全分开的有限保护。

另一方面,如果您不控制路由器,则DMZ完全暴露于Internet。加固足以在DMZ中生存而又不会受到定期破坏的机器可能很棘手。

公开的DMZ配置取决于两件事:1)外部路由器,和2)多个IP地址。

如果您通过PPP(调制解调器拨号)连接,或者您无法控制外部路由器,或者您想要伪装DMZ,或者您只有1个IP地址,则需要做其他事情。有两个直接解决方案,具体取决于您的特定问题。

firewall_topologies-2.2

一种解决方案是构建第二个路由器/防火墙。如果您通过PPP连接,这很有用。一台机器是外部路由器/防火墙(1号防火墙)。该机器负责创建PPP连接,并控制对我们DMZ区域的访问。另一个防火墙(第2号防火墙)是标准的双宿主主机,就像我们在页面开头所谈到的那样,它的工作是保护内部网络。这与您的PPP机器是本地外部路由器的双宿主防火墙的情况相同。

另一个解决方案是创建三足防火墙,这就是我们接下来要讨论的内容。


三足防火墙

这意味着您的DMZ防火墙框中需要额外的网络适配器。然后,将防火墙配置为在外部世界和DMZ之间路由数据包,而不是在外部世界和内部网络之间路由数据包。这是一个有用的配置,我已经看到许多客户使用它。

firewall_topologies-3

如果您坚持首先概述的简单拓扑结构(双宿主防火墙),则三足式设置还可以使您拥有DMZ。将“路由器”替换为“调制解调器”,您将看到它与简单拓扑(双宿主防火墙)的相似之处,但第三条腿卡在了侧面:)

如果您被迫伪装或选择进行IP伪装,则也可以伪装DMZ中的一台或多台计算机,同时使其功能与受保护的内部计算机分开。具有电缆调制解调器或静态PPP连接的人员可以使用此系统在DMZ以及单个IP地址之外的整个内部网络中运行各种服务器。对于小型企业或家庭办公室来说,这是一种非常经济的解决方案。

三足式防火墙的主要缺点是额外的复杂性。 DMZ和内部网络之间的访问和访问由一组大规则控制。如果您不小心,很容易弄错这些规则!

另一方面,如果您对Internet路由器没有任何控制权,则可以通过这种方式对进出DMZ的流量进行更多控制。如果可以的话,最好防止进入DMZ。

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置