防火牆介面:內部的、外部的和dmz
防火牆最基本的形式是面對兩個網路介面:內部的和外部的網路。這些標籤對應著訪問網路的信任程度,其中外界網路介面連線的是不可信賴的網路(常常是網際網路),內部網路介面連線的是得到信任的網路。在內部網部署時,連線到外部的介面可能需要和公司的主要部分連線,這時可能比外部網路的信任度高,但又稍微低於內部網路的信任度。可以回顧前面提到的部署防火牆來保護薪水部門系統的例子。
隨著公司網際網路商業需求的複雜化,只有兩個介面的防火牆明顯具有侷限性。比如客戶把web伺服器放在什麼地方。如果放在防火牆的外面,如圖2.3所示,web伺服器完全暴露,只有篩選路由器(screening router)得到最小限度的保護,這樣容易受到攻擊。本例中必須依賴於主機系統的安全性。
圖2_3 web伺服器位於防火牆外面
另外乙個兩介面防火牆可能的設想是將web伺服器放在防火牆裡面,作為內部網路的一部分,如圖2.4所示。這時防火牆的配置為:允許web資訊傳輸通過埠80,或者是安全套接字層(secure sockets layer,ssl)的埠443,到達web伺服器的ip位址。這種設定可以預防任何黑客對內部網路的直接攻擊,但是如果某個黑客能夠通過埠80危害到web伺服器的安全並獲得遠端超級使用者許可權時會發生什麼事情呢?這時這個黑客可以從web伺服器上自由地,不受任何限制地攻擊內部網路的任何地方。
解決這些問題的辦法,正如大多數商業系統採用的,是支援多重介面的防火牆。這種解決方法允許建立可信任的中間區域,既不在內部也不在外部,這就涉及到dmz(該詞**於軍事用語「demilitarized zone——非武裝區」)。dmz網路和內部網路一樣受到防火牆的保護,但又和內部網分割開來,這樣的話,通過dmz對內部網路的訪問就得到了過濾,如圖2.5所示的dmz方案。
圖2.4 web伺服器位於防火牆裡面
圖2.5 dmz網路
有時使用另外一種設計,使用兩個防火牆,乙個外部防火牆和乙個內部防火牆,中間是dmz,如圖2.6所示。在這種設計中,有時採用兩種不同品牌的防火牆,這樣乙個防火牆中的安全漏洞可以在另乙個防火牆中得到彌補。但是,事實表明幾乎所有防火牆的漏洞都是來自於錯誤的配置,而不是防火牆**本身。因而,這種設計只能增加成本和管理手續,而不能提供更多的安全性。
一些站點甚至配置了多重dmz,每個dmz具有不同的商業目的和相應的信任級別。比如,某個dmz部分可能只包括公共訪問伺服器,另乙個dmz部分只部署商業夥伴或客戶訪問的伺服器。這種解決方法實現了多層次控制粒度,簡化了管理。
在比較複雜的電子商務環境下,web伺服器有時需要從區域網後台資料庫伺服器上獲取客戶的資料。這時,防火牆就得配置為允許外部網路通過http(hypertext transfer protoc01)連線到web伺服器,並指定從web伺服器到內部資料庫伺服器的合適ip位址和埠的必要連線。
內外網的交流安全 DMZ,網閘,防火牆
彙總與修改自以下參考資料 防火牆 52767?fr aladdin 七層協議 dmz隔離區 demilitarized zone 內通常放置一些不含機密資訊的公用伺服器,比如 web 伺服器 e mail 伺服器 ftp 伺服器等 1.內網可以訪問外網 防火牆進行源位址轉換,即指定對外的ip位址使得...
web防火牆和waf防火牆的區別和選擇
首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西.真的,看我解釋.web應用防火牆,屬於硬體級別防火牆.對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,...
web防火牆和waf防火牆的區別和選擇
首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西 web應用防火牆,屬於硬體級別防火牆 對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,強依賴的安全產品...