使用DMZ设计网络的方法有很多种。最基本的方法中的两种是使用单个防火墙(也称为三足模型)和使用双防火墙(也称为背对背)。根据网络需求,可以扩展这些体系结构以创建非常复杂的体系结构。
单防火墙
使用单个防火墙的DMZ的典型三足网络模型图。
具有至少3个网络接口的单个防火墙可用于创建包含DMZ的网络体系结构。外部网络由ISP到第一网络接口上的防火墙组成,内部网络由第二网络接口组成,而DMZ由第三网络接口组成。防火墙成为网络的单点故障,并且必须能够处理去往DMZ和内部网络的所有流量。区域通常用颜色标记-例如,紫色代表LAN,绿色代表DMZ,红色代表Internet(无线区域通常使用另一种颜色)。
双防火墙
使用双防火墙的使用DMZ的典型网络图。
最安全的方法是使用两个防火墙来创建DMZ。必须将第一个防火墙(也称为“前端”或“外围” 防火墙)配置为仅允许发往DMZ的流量。第二个防火墙(也称为“后端”或“内部”防火墙)仅允许从内部网络到DMZ的流量。
这种设置被认为更安全,因为两个设备需要妥协。如果两个防火墙是由两个不同的供应商提供的,则将提供更多的保护,因为这使两个设备遭受相同的安全漏洞的可能性较小。例如,发现一个供应商的系统中存在一个安全漏洞,而在另一个供应商的系统中则不太可能发生。这种架构的缺点之一是,无论是购买还是管理,其成本都更高。使用来自不同供应商的不同防火墙的做法有时被描述为“纵深防御”
安全策略的组成部分。
网友评论