在这种应用环境中,在网络拔掉结构上企事业单位可以有两种选择,这主要是根据企业原有网络设备情况而定。
如果企业原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。
 |
图一
如果企业原来没有边界路由器,此时也可不再添加边界路由器,仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口,因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线,但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意,防火墙一定要有两个以上的LAN网络接口。这种应用环境的网络拓扑结构如图2所示。
|
图2
总结:边界防火墙虽然是传统的,但是它的应用最广,技术最为成熟,相对来说功能也比较强大、可满足绝大多数企业用户需求,成本也较低。目前大多数企业网络中所应用的都是边界防火墙,所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。
