我们探讨下网络安全设备的实践,极其在实际工作应该咋样布置设备的位置,这样部署的好处极其不足。
1 .基本的过滤路由器实践
缺点:
1.服务区位于内网,一旦服务器被攻破,将不经过路由器的过滤直接攻击内网
2.访问列表的控制极其咋样让外部用户访问
3.需要开放大量端口
双路由DMZ设计
特点:
1. 公共服务区与内网分开,一旦公共服务区攻破,还需要经过第二台路由器才能访问内网
2. 第二台有更加详细的ACL
状态防火墙的DMZ设计
我们可以利用状态防火墙来代替路由器
1. 有些防火墙不支持高级路由协议和多播
2. 我们在入口执行RFC 1918 2827 过滤
三接口防火墙的DMZ设计
这是我们现在通常采取的经典设计
1. 所有的流量都要经过防火墙过滤
2.一定要限制公共服务区对内网的访问,否则公共服务区仍然在内网结构上,有句老话:相信互联网也不要相信自己的公共服务区
多防火墙设计
1.信任服务区接受半信任的请求,半信任接受非信任的请求,非信任的接受互联网的请求
2.建议采用多家防火墙厂商的产品,防止产品漏洞
不同acl分类
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/541189,如需转载请自行联系原作者
