交换机．路由器．防火墙-技术提升【6.8】

16.2 防火墙的应用环境与连接

在每一种网络环境下防火墙的安装位置和连接方式可能都不相同。传统的做法就是将防火墙安装在内部机构网络与外部网络之间，至于内部网络之间可能还需要设置安全隔离措施，也同样可以安装防火墙。

16.2.1    防火墙连接策略

在设有网络防火墙的网络中，信息只能够按照防火墙图标箭头指向的一方传输，而反方向传来的数据则会被防火墙拦截，为防火墙的不信任区域。例如，在如图 16-20 所示的网络结构中，网络 D 对所有网络都是不信任的，即其他网络发送过来的所有文件都要经过拦截；网络 A 对网络 D 和网络 C 是信任的，而对网络 B 是不信任的；网络 C 信任网络 D 而不信任网络 A；网络 B 信任连接到它的所有网络。

如今许多用户接入 Internet 的方式都是局域网共享接入，因此相对而言防火墙的不信任区域就是广域网，利用路由器来实现内部网络和广域网的互连，路由器所在的位置也应当是防火墙的位置，许多路由器产品也集成了防火墙的功能。

当防火墙拥有两个端口时，其中一个端口用来连接路由器，另一个端口用来连接内部网络，如图 16-21 所示。

当防火墙只提供一个连接端口时，一般采用如图 16-22 所示的连接方式，即将防火墙直接连接至工作组交换机上即可。

16.2.2    内部网络与 Internet 之间的连接

这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不受非法用户的攻击。目前绝大多数企业网络安装防火墙的主要目的就在于此。在这种应用环境中，一般情况下防火墙网络可划分为表 16-5 中的 3 个不同级别的安全区域，如图 16-23 所示。

在这 3 个区域中，用户需要对不同的安全区域设置不同的安全策略。虽然内部网络和 DMZ都属于企业内部网络的一部分，但它们的安全级别（策略）是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自因特网用户的访问；而由企业内部网络划分出去的 DMZ，因需为因特网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如 Web服务器通常是允许任何人进行正常的访问。那么，这些服务器是不是很容易被攻击呢？由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正的服务器数据保证在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。

建议通过 NAT（网络地址转换）技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网 IP 地址。这样有两个好处：一则可以对外屏蔽内部网络构和 IP 地址，保护内部网络的安全；同时因为是公网 IP 地址共享，所以可以大大节省公网 IP 地址的使用，节省了企业投资成本。

16.2.3    连接局域网和广域网

局域网和广域网