分类: BSD
2008-04-17 09:11:59
通过分析防火墙的日志记录,甚至监控通过防火墙的数据流模式,就可以寻找发生过或正在进行的系统入侵行为(通常可能是服务阻塞、暴力攻击甚至更复杂的特定攻击模式),进而反馈回防火墙系统,以重新调整设置,增强系统安全性。
当构建防火墙系统时,首先就要考虑网络的拓扑结构,这将对防火墙的设置产生影响。简单的网络可能只需要一台防火墙设备,而复杂的网络会需要更多的网络设备,包括多个防火墙系统。以下给出了最常使用的几种使用防火墙的网络拓扑,基本上这些拓扑将适合大多数的情况,可以使用这些拓扑来作为建立自己内部网络的参考。
最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络。这种形式简单易行,适合大部分只需要访问Internet,而不需要对外发布信息的网络。一旦要向外发布信息,那么所提供的服务就会降低网络的安全性,造成相应的安全问题。
