网络安全设备实践

 

我们探讨下网络安全设备的实践，极其在实际工作应该咋样布置设备的位置，这样部署的好处极其不足。

1 .基本的过滤路由器实践

 

 

缺点：

1.服务区位于内网，一旦服务器被攻破，将不经过路由器的过滤直接攻击内网

2.访问列表的控制极其咋样让外部用户访问

3.需要开放大量端口

双路由DMZ设计

特点：

1. 公共服务区与内网分开，一旦公共服务区攻破，还需要经过第二台路由器才能访问内网

2. 第二台有更加详细的ACL

状态防火墙的DMZ设计

我们可以利用状态防火墙来代替路由器

1. 有些防火墙不支持高级路由协议和多播

2. 我们在入口执行RFC 1918 2827 过滤

三接口防火墙的DMZ设计

 

这是我们现在通常采取的经典设计

1. 所有的流量都要经过防火墙过滤

2.一定要限制公共服务区对内网的访问，否则公共服务区仍然在内网结构上，有句老话：相信互联网也不要相信自己的公共服务区

多防火墙设计

 

1.信任服务区接受半信任的请求，半信任接受非信任的请求，非信任的接受互联网的请求

2.建议采用多家防火墙厂商的产品，防止产品漏洞

不同acl分类

 

本文出自 “cisco network” 博客，转载请与作者联系！