技巧分享浅析三种流行防火墙配置方案容易

发改委驳斥中国煤炭只够用四十年说法_()中心 防火墙配置几乎是每个互联应用企业都要面临的问题，如何配置一个高效的防火墙是一个企业安全管理员关注的问题。那么本篇文章就通过浅析三种典型的主流防火墙配置方案，使得络安全管理人员在配制自身企业防火墙是能有个更好的思路。

防火墙配置方案1、双宿主机关(DualHomedGateway)

这种配置是用一台装有两个络适配器的双宿主机做防火墙。双宿主机用两个络适配器分别连接两个络，又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器)，可以转发应用程序，提供服务等。双宿主机关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何上用户均可以随便访问有保护的内部络

防火墙配置方案2、屏蔽主机关(ScreenedHostGateway)

屏蔽主机关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部络，同时一个堡垒主机安装在内部络上。堡垒主机只有一个卡，与内部络连接(如图2)。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet.

防火墙配置方案3、屏蔽子(ScreenedSubnet)

这种方法是在Intranet和Internet之间建立一个被隔离的子，用两个包过滤路由器将这一子分别与Intranet和Internet分开。

两个包过滤路由器放在子的两端，在子内构成一个缓冲地带，两个路由器一个控制Intranet数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子，但禁止它们穿过屏蔽子通信。可根据需要在屏蔽子中安装堡垒主机，为内部络和外部络的互相访问提供代理服务，但是来自两络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子内，这样无论是外部用户，还是内部用户都可访问。

这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。