构建防火墙-FreeBSD 技术文摘

    防火墙的拓扑结构

当构建防火墙系统时，首先就要考虑网络的拓扑结构，这将对防火墙的设置产生影响。简单的网络可能只需要一台防火墙设备，而复杂的网络会需要更多的网络设备，包括多个防火墙系统。以下给出了最常使用的几种使用防火墙的网络拓扑，基本上这些拓扑将适合大多数的情况，可以使用这些拓扑来作为建立自己内部网络的参考。

　　最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络。这种形式简单易行，适合大部分只需要访问Internet，而不需要对外发布信息的网络。一旦要向外发布信息，那么所提供的服务就会降低网络的安全性，造成相应的安全问题。

　　为了避免在向外提供服务的服务器被侵入之后，影响内部网络的安全性，就需要将对外提供服务的服务器和只访问外部网络的客户计算机分隔到不同的网络上。可以采用上面的方式，防火墙使用三个网络界面，分别用于外部网络、内部网络和提供服务的服务器。

　　使用单个防火墙的网络，网络安全被一台防火墙的安全所限制，更复杂的情况是同时使用多个防火墙系统。例如使用两个防火墙，第一层防火墙与第二层防火墙之间可以放置允许外部访问的服务器，这个区域被称为停火区，即使入侵者进入这个区域，还需要近一步攻击内部防火墙才能接触内部网络。

　　如果这两个防火墙使用不同的技术，如外部防火墙为网络地址转换方式，而内部防火墙为代理服务器方式，这样即使入侵者侵入一个防火墙，但另一个防火墙使用的是完全不同的技术，就给入侵者带来更大的阻碍，提高整个网络的安全性。

　　利用这些工具，网络可以设置的非常安全。事实上当前大部分安全问题仍然来源于人的因素，如管理不善造成的口令泄露等。这就使得正常的安全措施无法正常应用，而带来不可避免的安全问题。