防火墙接口：内部的、外部的和DMZ


防火墙最基本的形式是面对两个网络接口：内部的和外部的网络。这些标签对应着访问网络的信任程度，其中外界网络接口连接的是不可信赖的网络(常常是因特网)，内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。可以回顾前面提到的部署防火墙来保护薪水部门系统的例子。
    随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性。比如客户把Web服务器放在什么地方。如果放在防火墙的外面，如图2．3所示，Web服务器完全暴露，只有筛选路由器(Screening Router)得到最小限度的保护，这样容易受到攻击。本例中必须依赖于主机系统的安全性。

图2_3 Web服务器位于防火墙外面    另外一个两接口防火墙可能的设想是将Web服务器放在防火墙里面，作为内部网络的一部分，如图2．4所示。这时防火墙的配置为：允许Web信息传输通过端口80，或者是安全套接字层(Secure Sockets Layer，SSL)的端口443，到达Web服务器的IP地址。这种设置可以预防任何黑客对内部网络的直接攻击，但是如果某个黑客能够通过端口80危害到Web服务器的安全并获得远程超级用户权限时会发生什么事情呢?这时这个黑客可以从Web服务器上自由地，不受任何限制地攻击内部网络的任何地方。
    解决这些问题的办法，正如大多数商业系统采用的，是支持多重接口的防火墙。这种解决方法允许建立可信任的中间区域，既不在内部也不在外部，这就涉及到DMZ(该词来源于军事用语“demilitarized zone——非武装区”)。DMZ网络和内部网络一样受到防火墙的保护，但又和内部网分割开来，这样的话，通过DMZ对内部网络的访问就得到了过滤，如图2．5所示的DMZ方案。

图2．4 Web服务器位于防火墙里面
图2．5 DMZ网络    有时使用另外一种设计，使用两个防火墙，一个外部防火墙和一个内部防火墙，中间是DMZ，如图2．6所示。在这种设计中，有时采用两种不同品牌的防火墙，这样一个防火墙中的安全漏洞可以在另一个防火墙中得到弥补。但是，事实表明几乎所有防火墙的漏洞都是来自于错误的配置，而不是防火墙代码本身。因而，这种设计只能增加成本和管理手续，而不能提供更多的安全性。
    一些站点甚至配置了多重DMZ，每个DMZ具有不同的商业目的和相应的信任级别。比如，某个DMZ部分可能只包括公共访问服务器，另一个DMZ部分只部署商业伙伴或客户访问的服务器。这种解决方法实现了多层次控制粒度，简化了管理。
    在比较复杂的电子商务环境下，Web服务器有时需要从局域网后台数据库服务器上获取客户的数据。这时，防火墙就得配置为允许外部网络通过HTTP(Hypertext Transfer Protoc01)连接到Web服务器，并指定从Web服务器到内部数据库服务器的合适IP地址和端口的必要连接。