网络安全设备实践

 

我们探讨下网络安全设备的实践,极其在实际工作应该咋样布置设备的位置,这样部署的好处极其不足。

1 .基本的过滤路由器实践

 

 

缺点:

1.服务区位于内网,一旦服务器被攻破,将不经过路由器的过滤直接攻击内网

2.访问列表的控制极其咋样让外部用户访问

3.需要开放大量端口

双路由DMZ设计

特点:

1. 公共服务区与内网分开,一旦公共服务区攻破,还需要经过第二台路由器才能访问内网

2. 第二台有更加详细的ACL

状态防火墙的DMZ设计

我们可以利用状态防火墙来代替路由器

1. 有些防火墙不支持高级路由协议和多播

2. 我们在入口执行RFC 1918 2827 过滤

三接口防火墙的DMZ设计

 

这是我们现在通常采取的经典设计

1. 所有的流量都要经过防火墙过滤

2.一定要限制公共服务区对内网的访问,否则公共服务区仍然在内网结构上,有句老话:相信互联网也不要相信自己的公共服务区

多防火墙设计

 

1.信任服务区接受半信任的请求,半信任接受非信任的请求,非信任的接受互联网的请求

2.建议采用多家防火墙厂商的产品,防止产品漏洞

不同acl分类

 

本文出自 “cisco network” 博客,转载请与作者联系!

你可能感兴趣的:(网络,防火墙,安全,休闲,设备)