普通企业环境   
这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务器专网(DMZ区)。内部网络一般采用私有的IP地址,DMZ的服务器可以采用公网地址,也可以采用私有地址,但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是:外部网络不允许访问内部网络,内部网络用户可以根据不同的权限访问Internet资源;内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。

  具体的环境如下图:
ADSL接入的部署

ADSL接入是一种经济实惠的Internet接入方式,领信防火墙提供了对ADSL接入,也就是PPPOE拨号的支持。用防火墙代替原有的拨号客户端来连接ADSL Modem,实现自动拨号的功能,可以配置防火墙自动做一条动态的地址转换,实现内部的多个用户通过一条ADSL实现对互联网的访问。这样防火墙配置的一般策略为只允许内部网络访问外部网络的指定服务。具体的环境如下图:
网络多出口部署

 我们经常会碰到企业的局域网有多个出口,比如Internet出口,总部出口等。领信防火墙支持将DMZ接口做为一个外网接口,支持多出口的接入。例如我们可以将防火墙的外网口接Internet接入服务器,将DMZ口接入总部接入的服务器,利用路由的选择来分流去往两个区域的流量,可以将缺省的网关指向Internet处的路由器,添加相应的去往总部网络方向的路由策略。然后针对不同的网络之间的数据通讯,采用相应的安全策略。另外的一种多出口的接入方式也可以两个防火墙的方式,分别对于与相应的链路,这种方式也可以利用路由的选择来实现。具体的环境如下图:
 
单台防火墙实现多出口的接入:
 
 
两台防火墙实现多出口的接入:
 
 
高可靠性配置的部署

 高可靠性网络的部署是为了避免因为网络的故障和设备的停工造成的损失。领信防火墙支持全面的高可靠性解决方案,包括防火墙之间的冗余配置和整体链路的冗余配置。配置防火墙冗余总共需要三套IP地址,其中每个防火墙有一套自己真实的地址(内部地址,外部地址和DMZ区地址),另外两个防火墙还共享一套虚拟的地址,而真正起作用的正是这套真实的地址,内部用户的网关以及外部的一些相关的路由设置都需要指向这个虚拟的地址。领信防火墙的心跳传输也非常灵活,可以采用单独的网口进行心跳,也可以采用某一条网络连接。具体的环境如下图:
 
防火墙本身的冗余配置:
 
 
整体链路的冗余配置:
 
 
分布式网络环境的部署

 分布式的环境一般分为一个中心节点和多个分支节点,领信防火墙支持对这种结构的整体的配置。一般来说,中心节点采用性能高的LinkTrust® CyberWall-204防火墙,可以采用双机热备份的模式,保证网络的可靠性;对于较大的有专线接入的分支节点,可以采用LinkTrustTM CyberWall-100SE防火墙,一方面保证该分支网络的边界安全,另外也可以通过×××功能实现与总部的信息通讯的安全;对于没有专线的分支节点,可以采用领信防火墙自带的对子网拨号的×××功能,也能够实现与总部之间的安全通讯。
本文出自 51CTO.COM技术博客

http://luton.blog.51cto.com/215614/42715