防火墙的几种部署模式和方法

防火墙的部署模式

路由模式

当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。

如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

防火墙的几种部署模式和方法_第1张图片

采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。

透明模式

如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。

采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下:

防火墙的几种部署模式和方法_第2张图片

如上图所示,防火墙的Trust 区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。

混合模式

如果防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址。

防火墙混合模式的典型组网方式如下:

防火墙的几种部署模式和方法_第3张图片

如上图所示,主/备 防火墙的Trust 区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,主/备防火墙之间通过HUB 或LAN Switch 实现互相连接,并运行VRRP 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。

防火墙的部署方法

包过滤路由器

防火墙的几种部署模式和方法_第4张图片

包过滤防火墙功能的路由器

  • 内网与外网的唯一连接点
  • 路由+ACL

优势

  • 成本低

  • 易于使用

缺点

  • 路由器被攻破,内网完全暴露

  • 内部信息对外公开,可攻击开放的服务和主机

双宿主堡垒机

防火墙的几种部署模式和方法_第5张图片

使用应用代理网关作为双宿主堡垒主机

  • 一个网卡使用公网ip地址连接外部网络

  • 一个网卡使用私有ip地址连接内部网络

  • 由应用的代理服务器为特定的网络应用提供代理

优点

  • 对外屏蔽内网信息、用户级身份认证和行为审计

缺点

  • 内网对外访问过于严格
  • 一旦堡垒主机被攻破,内网完全暴露

屏蔽主机

防火墙的几种部署模式和方法_第6张图片

结合包过滤防火墙和应用层代理

  • 两层安全防护
  • 包过滤防火墙:网络层的访问控制
  • 应用层代理堡垒主机:进行应用安全控制

优点

  • 双重安全可靠设计

缺点

  • 对外开放服务器成弱点

屏蔽子网

防火墙的几种部署模式和方法_第7张图片

屏蔽子网:DMZ区

  • 应用代理及对外服务器
  • 三层安全防护:外网防火墙,应用层代理,内网防火墙

防火墙部署结构

  • 可信网络与不可信网络之间
  • 不同安全级别的网络之间
  • 两个需要隔离的区域之间

防火墙的部署方式

单防火墙部署方式(有DMZ )

防火墙的几种部署模式和方法_第8张图片

单防火墙部署方式(无DMZ )

防火墙的几种部署模式和方法_第9张图片

双防火墙部署方式

防火墙的几种部署模式和方法_第10张图片

你可能感兴趣的:(杂记)