企業(yè)防火墻:商業(yè)網(wǎng)絡(luò)中的放置指南
      
                                    
                                
      
                                
      
                                    
      防火墻是任何業(yè)務(wù)網(wǎng)絡(luò)的重要組成部分。它們充當(dāng)網(wǎng)絡(luò)和任何外部流量之間的過濾器,充當(dāng)?shù)钟獠客{的第一道防線。然而,企業(yè)防火墻配置比使用標(biāo)準(zhǔn)消費(fèi)級(jí)防火墻要復(fù)雜一些。與作為軟件與主機(jī)操作系統(tǒng)一起運(yùn)行的個(gè)人防火墻不同,企業(yè)防火墻在網(wǎng)絡(luò)中某處的專用機(jī)器上運(yùn)行。這意味著在網(wǎng)絡(luò)拓?fù)渲蟹胖脴I(yè)務(wù)防火墻更為重要。
      

      企業(yè)防火墻:商業(yè)網(wǎng)絡(luò)中的放置指南-南華中天
      

      企業(yè)防火墻可以為業(yè)務(wù)網(wǎng)絡(luò)做什么?
      

      企業(yè)防火墻可能采用具有防火墻功能的路由器或連接到網(wǎng)絡(luò)的專用防火墻設(shè)備的形式。在最基本的情況下,企業(yè)防火墻可以防止不受信任的流量進(jìn)入網(wǎng)絡(luò)上的機(jī)器。
      

      例如,如果一家公司在自己的網(wǎng)絡(luò)上托管其網(wǎng)站,那么防火墻將允許進(jìn)出公司網(wǎng)站服務(wù)器的外部流量,但會(huì)阻止進(jìn)出具有敏感數(shù)據(jù)的內(nèi)部計(jì)算機(jī)的未經(jīng)授權(quán)的流量。此功能可以幫助防止黑客竊取公司數(shù)據(jù),并可以阻止在公司網(wǎng)絡(luò)中復(fù)制的惡意軟件的傳播。
      

      防火墻還可以幫助防止拒絕服務(wù) (DoS) 攻擊。對(duì)于具有“狀態(tài)檢查”功能的防火墻尤其如此,這些功能允許他們實(shí)時(shí)分析流量——他們將能夠看到流量的趨勢和模式,并相應(yīng)地調(diào)整設(shè)置。通過減輕 DoS 攻擊的影響,即使在重大網(wǎng)絡(luò)攻擊期間,防火墻也可以幫助確保業(yè)務(wù)連續(xù)性。
      

      通過正確的設(shè)置,企業(yè)可以創(chuàng)建所謂的非軍事區(qū) (DMZ),或公司網(wǎng)絡(luò)內(nèi)包含面向公眾的服務(wù)的區(qū)域。DMZ 可能包含郵件、FTP 和 VoIP 服務(wù)器以及公司網(wǎng)站。
      

      許多大型企業(yè)網(wǎng)絡(luò)在其網(wǎng)絡(luò)中實(shí)施了多個(gè)防火墻,從而創(chuàng)建了各種訪問“區(qū)域”,例如多個(gè)非軍事區(qū)和不同訪問級(jí)別的區(qū)域。這種分區(qū)可以幫助保持業(yè)務(wù)網(wǎng)絡(luò)的活力并隔離正在傳播的惡意軟件。
      

      企業(yè)防火墻:商業(yè)網(wǎng)絡(luò)中的放置指南-南華中天
      

      這如何轉(zhuǎn)化為網(wǎng)絡(luò)拓?fù)洌?/strong>
      

      所有外部流量都必須通過防火墻才能到達(dá)網(wǎng)絡(luò)。從邏輯上講,這意味著防火墻應(yīng)該放置在互聯(lián)網(wǎng)和網(wǎng)絡(luò)之間。最基本的配置之一是連接到廣域網(wǎng) (WAN) 的路由器,然后是連接到路由器的防火墻,在將所有流量分發(fā)到整個(gè)網(wǎng)絡(luò)之前過濾所有流量。為提高安全性,您可以選擇在將路由器發(fā)送到防火墻之前運(yùn)行路由器的板載防火墻功能,但可能會(huì)導(dǎo)致性能下降。
      

      使用這種設(shè)置創(chuàng)建一個(gè)非軍事區(qū)并不難。防火墻將連接到 WAN、DMZ 和公司網(wǎng)絡(luò)。使用防火墻的安全策略,內(nèi)部網(wǎng)絡(luò)的流量將與 DMZ 的流量隔離。這種配置的問題是只有一個(gè)設(shè)備處理流量過濾——如果它因任何原因受到損害,那么內(nèi)部網(wǎng)絡(luò)也可能受到損害。
      

      更安全的方法是使用具有兩個(gè)防火墻的配置。在這種情況下,第一個(gè)防火墻是最外層的設(shè)備,被稱為“外圍防火墻”。它正常連接到 WAN 并將流量發(fā)送到 DMZ 網(wǎng)絡(luò)。然后,第二個(gè)路由器,即內(nèi)部防火墻,接收通過 DMZ 的內(nèi)部流量并將其過濾到內(nèi)部網(wǎng)絡(luò)中。如果使用來自不同供應(yīng)商的防火墻,后一種方法會(huì)更加安全。這樣,一個(gè)設(shè)備中的安全漏洞就不能被兩個(gè)設(shè)備利用。
      

      業(yè)務(wù)防火墻的類型
      

      有不同類型的防火墻,每種防火墻在網(wǎng)絡(luò)中都有自己的用途。
      

      網(wǎng)絡(luò)級(jí)網(wǎng)關(guān)
      

      這些簡單的防火墻檢查每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)頭,檢查它們的來源和目的地。它們具有出色的性能并消耗很少的資源,但繞過起來微不足道,并且可能被 DoS 攻擊淹沒。類似的防火墻(稱為電路級(jí)網(wǎng)關(guān))檢查 TCP 握手的合法性,而不是每個(gè)數(shù)據(jù)包的標(biāo)頭。它們也相當(dāng)簡單且易于規(guī)避,但運(yùn)行效率也很高。
      

      企業(yè)防火墻:商業(yè)網(wǎng)絡(luò)中的放置指南-南華中天
      

      應(yīng)用級(jí)網(wǎng)關(guān)
      

      這些是更復(fù)雜的防火墻,可以分析數(shù)據(jù)包的內(nèi)容,而不僅僅是包頭。通過分析數(shù)據(jù)包使用的協(xié)議,他們可以更有效地過濾數(shù)據(jù)包并控制來自不同類型流量的訪問。
      

      狀態(tài)檢查
      

      狀態(tài)檢查網(wǎng)關(guān)可以分析多個(gè)級(jí)別的流量,甚至可以使用隨著時(shí)間的推移收集的洞察力來做出過濾決策。它們非常先進(jìn),可以防止比其他防火墻類型更廣泛的威脅,但它們也是資源密集型的。