選用單防火牆DMZ還是雙防火牆DMZ

來源:互聯網
上載者:User

  你已經接受了這種想法,就是使用隔離區(DMZ)為你的機器提供更多的安全和強大的保護功能,而不是簡單地在你的整個網路前面使用一個傳統的防火牆。這對你會有好處,但是,仍存在一個問題:你會採用簡單的路由並在你的單一的防火牆外面設定一個隔離區嗎?或者採用兩個防火牆並且在兩個防火牆之間設定一個隔離區,這樣增加額外的開支提供最大的保護值得嗎?

  你可以使用傳統的隔離區合理地保護你們面向公眾開放的伺服器,同時,這些伺服器將保護你的敏感的內部網路不受惡意的外部使用者入侵。在這種情況下,防火牆將監視全部入網的通訊,以確定這種通訊是應該轉到隔離區網路還是應該傳送到受保護的內部網路。傳統的隔離區檢查從內部網路發往外部網路的全部通訊,以確定是否讓這種通訊通過:1.是否允許要求網路和郵件服務的內部資料包從受保護的內部網路發送到隔離區網路;2.作為來自內部請求的應答,允許通訊從隔離區進入受保護的內部網路;3.是否允許這些通訊進入互連網。你應該知道這種結構是一種雙宿網關結構,因為這種防火牆有兩個介面,一個通向隔離區,另一個通向內部網路。

  進一步講,這種雙防火牆隔離區結構(有時候稱做子網防火牆)增加了另一層防禦並且把內部網路與龐大而邪惡的外部世界隔離開來。通過在它們前面再設定一個防火牆以及在你的內部網路前面再增加一個防火牆,你還將為面向公眾的主機提供進一步的保護。使用這種機構,受保護的網路和互連網之間的通訊必須要經過這兩個防火牆。這些防火牆將為你對外開放的伺服器提供最初的第一線防禦,防止惡意通訊的入侵。

  因此,你必須下定決心。下面這些通訊問題有助於你做出決策:

  ·從效能的角度說,你能夠承受讓外部通訊經過兩道防火牆而不是一道防火牆而帶來的效能損失嗎?

  ·你能夠監視通過這個網路的兩個線路的通訊嗎?

  ·你應該從哪裡監視那個通訊?

  ·你需要一直擁有從被攻破狀態立即恢複到正常狀態的能力嗎?這種能力包括在一個防火牆系統關閉的時候保持另一個防火牆運行和通訊暢通。

  ·你有必備數量的網路連接埠嗎?

  ·你的預算允許你使用兩個防火牆嗎?或者這種開支是被禁止的嗎?

  這裡的底線是:傳統的隔離區結構向你提供公用服務的機器提供了一層額外保護,但是,這需要增加額外的操作和維護工作。雙防火牆隔離區的選擇是最安全的,但是,它也是一把雙刃劍,應用和啟動並執行成本都非常昂貴。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。