防火墙的应用的模式谈.doc

防火墙的应用的模式谈 　　在中国通过ISP实现国际互联网接入的企业和个人用户在2006年底已过亿，由于ISP的接入方式非常多样化，那么防火墙介于国际互联网和内网之间、内网与内网之间的应用模式又将如何？ 　　 　　由于大多数用户疏于安全防范，近几年每遇病毒发作时都有大量的用户受到影响，现在病毒的侵害已不是仅限于对本机的攻击，还包括利用网络协议和系统的漏洞对其他网络上的主机进行攻击，往往是一台PC受到感染，局域网中的其他PC甚至是Internet上的PC都会受到严重的影响，去年冲击波蠕虫的肆虐就是一个例子。 　　 　　图1 　　 　　由于网络上存在着大量的安全隐患，所以防火墙作为安全产品的中流砥柱得到了广大企业用户甚至是个人用户的青睐，也是首选的安全产品。但是对于成长型企业用户，如何根据网络结构以及企业需求来合理的部署防火墙是实现安全网络的第一步。 　　防火墙实际上是将网络分为了两个或多个区域，对于大多数成长型企业而言实际上两、三个区域就可以实现用户的安全需求了。 　　从大多数用户对防火墙的理解而言，防火墙应用的模式就应该介于国际互联网和内网之间，但很多人都忽略了防火墙的另外一种应用模式，即内网与内网之间的防护。为了更好地说明这两种应用模式，我们将从用户的需求角度上对这两种应用模式进行描述。 　　 　　防火墙介于国际互联网与内网 　　 　　如图1所示，成长型企业A需要通过ISP提供的接入服务接入国际互联网。宽带接入方式一般可分为以下几种: 　　ADSL 接入+ PPPoE 拨号 　　以太网接入+PPPoE拨号 　　VDSL或以太网接入+动态地址分配 　　Cable Modem + 动态地址分配 　　ISP的接入方式是多样化的，比如专线接入就包含了DDN、光纤等多种接入方式，但这些较昂贵的接入方式一般而言是不为成长型企业所采用的。可以说目前在国内最常用成长型企业接入方式就是ADSL 接入+ PPPoE 拨号和以太网接入+PPPoE拨号这两种方式。 　　虽然接入方式是多样化的但对于企业在国际互联网出口处部署防火墙时首先要考虑的问题还是ISP分配的地址问题。 　　 　　图2 　　 　　另外，接入互联网之后以下几个需求也是成长型企业较为关心的:如何实现多个用户共享一个合法地址的上网的需求;如何实现内部服务器在互联网上的发布服务;如何实现出差用户通过互联网对企业内网的访问;如何实现内网用户对外网VPN网关的访问。 　　 　　单个动态地址 　　国内大多数个人用户，在宽带接入时多数获得的是单个动态的合法地址，ISP分配动态地址可以使得较少的地址为较多的接入用户提供服务，因为IPV4的地址资源面对今天互联网的高速发展已经接近枯竭，在IPV6还没有普及到接入层面之前，人们仍然需要合理有效地利用IPV4的地址。 　　目前对于面向成长型企业的防火墙而言，除了可以解决企业内网在互联网上的安全问题，在有些厂商如Netgear公司的VPN防火墙及宽带路由器产品上这些问题也都已得到了完善的解决。解决方法如下: 　　通过PAT（即基于端口的地址转换）技术,使得多个用户共享一个地址实现互联网的访问，目前几乎所有的宽带接入设备以及防火墙都具有该功能。 　　通过端口转发技术和动态域名技术配合使用，加之防火墙的策略配置可以实现外网通过域名对内部服务器所提供的应用进行访问。 　　通过设置对内网服务器私网地址和外网口所得到的合法地址做一对一的地址映射，来实现外网对DMZ服务器的访问。 　　通过防火墙内置的IPSec VPN网关配合动态域名技术，可以实现出差用户、分支公司、合作伙伴对公司内网服务器的安全访问。 　　最后可以看到动态域名技术与防火墙紧密地结合，可以经济有效地解决互联网上用户对企业信息发布服务器的访问以及IPSec VPN隧道的互联。 　　 　　图3 　　 　　单个固定合法地址 　　一般具有以下两点需求的用户会希望通过宽带接入方式，获得单个静态的合法地址:希望申请标识机构性质域名的用户，如: 、等等;希望通过在企业内部维护对外发布信息的一台Web服务器。 　　如果有以上需求的用户，则首先须从ISP那里获得一个固定的合法的地址。 　　对于这些具有单个的固定合法地址的用户，可以通过以下方式解决宽带接入后的需求: 　　通过PAT（即基于端口的地址转换）技术,使得多个用户共享一个地址实现互联网的访问，目前几乎所有的宽带接入设备以及防火墙都具有该功能。 　　通过端口转发技术，加之防火墙的策略配置可以实现外网通过域名对内部服务器所提供的应用进行访问。 　　通过设置对内网服务器私网地址和外网口所得到的合法地址做一对一的地址映射，来实现外网对DMZ服务器的访问。 　　通过防火墙内置的IPSec