您现在的位置: 
在我们讨论这个话题的时候,我们将使用安全区的概念进一步确定我们的需求。为了介绍方便,请把一个安全区当作是一个所有的系统都连接到防火墙的一个接口的区域,可以是直接连接也可以通过除了防火墙之外的网络设备连接。
堡垒主机
首先,让我们看一个最简单的例子:堡垒主机。在这种情况下,所有进入或者离开网络的通讯都要经过这个防火墙。这个防火墙只有两个接口:一个直接连接到互联网的公共接口,一个连接到内部网的专用接口。这将给我们留下两个安全区,从而使放置设备很容易。我们只需把所有需要保护的系统都放在专用区域!
在堡垒主机的例子中,我们推测你不打算向互联网提供任何公共服务。如果你确实需要提供公共服务(如DNS、SMTP或者HTTP),你应该认真考虑使用一种替代的结构。如果没有那种可能性,你将面临一个困难的抉择:你应该把你的公共服务器放在公共区域还是放在专用区域?如果你把它们放在公共区域,它们就不能得到防火墙的保护并且更容易受到攻击。另一方面,如果把它们放在专用区域就会出现这种可能性:如果公共服务器成为攻击的受害者,其它更敏感的系统就可能被攻破。在做出这个抉择的时候,你要认真权衡风险和好处。
图1:堡垒主机
严格审查的子网
在严格审查的子网的情况下,最常用的防火墙结构也是最简单的。我们增加了一个额外的区域--严格审查的子网(或者称DMZ)。这个子网包含提供公共服务的全部主机。在这种情况下,公共区域直接连接到互联网,并且不包含机构控制的任何主机。专用区域包含互联网用户没有商业访问的系统,如用户工作站、内部文件服务器和其它非公共的应用。DMZ包含所有打算向互联网提供服务的系统。这个区域包含你的公共Web服务器、SMTP服务器、DNS服务器和其它类似的系统。你的IMAP/POP服务器可以放在这个区域,也可以不放在这个区域,根据你的安全政策而定。
图2:严格审查的子网
多连接防火墙
最后一种情况是具有三个以上接口多连接防火墙。这种情况提出了最有趣的挑战。在这种情况下,你有三个以上的区域。因此,你将有更多的细分的子系统。你需要根据你的机构的具体安全目标划分这些子系统。你需要划分的一个子系统是把工作站放在不同的区域为敏感的系统提供隔离功能。例如,你可以把属于财务部门的全部系统方在一个区域,属于公司官员的工作站放在另一个区域,其它的工作站放在第三个区域。你也许还希望细分向互联网提供服务的系统。例如,向大众提供服务的系统(如公司网站)应该放在比仅仅向经过身份识别的用户提供服务的系统(如网络邮件服务器)更多的区域。
图3:多连接防火墙
最后,选择要由你来决定。现在,你阅读了这个应用指南,你的大脑中应该有许多想法。坐下来把这些想法写到纸上,与你的同事讨论这些选择并且制定一个适合你的机构的系统放置策略。
