本文主要以介绍原理为主,至于具体怎么操作,要涉及到相关产品,请自查产品手册:
BACK-TO-BACK(背靠背)防火墙构架比单防火墙构架要安全的多,图例如下:
公网
|
硬件防火墙(NAT模式)-DMZ-服务器组
|
ISA2004软件防火墙(ROUTE模式)
|
三层交换机
| | |
VLAN1 VLAN2 VLAN3 ......
| | |
PC组 PC组 PC组 ......
技术点1:
在此方案中,硬防如果运行于NAT模式,一般相应的ISA防火墙要运行于ROUTE模式,此时,DMZ的服务器组可以使用私有IP地址。
反之,硬防如果运行于ROUTE或透明模式,则相应的ISA防火墙要运行于NAT模式,此时,DMZ的服务器组必须使用公有IP地址。
对于硬防和ISA软防均运行于NAT的情况,理论上也可以实现,不过我没做过测试。
技术点2:
ISA的过滤功能,在ISA处于NAT模式下,所有过滤手段有效,包括非标准端口(如http设置为8080时);在ISA处于ROUTE模式下,所有过滤手段仅对标准端口有效,例如对http通讯,只能过滤标准的80端口,对于8080则无法起到过滤效果(注意,是没有效果)。
技术点3:
回指路由的设置:回指路由要设置到ISA上。
技术点4:
VPN相关:
技术点5:
ISA内网口地址,属于三层交换上的一个VLAN。
技术点6:
数据流策略如下所示
硬防策略:
公网->DMZ 允许(供外网访问服务器)
DMZ->公网 拒绝
内网->公网 允许(允许员工上网,这里的内网实际是指ISA的外网口网段)
公网->内网 拒绝
ISA软防策略:
内网->DMZ 允许(供内网用户访问服务器)
DMZ->内网 拒绝
内网-外网 允许(这里的外网指的也是ISA的外网口)
内网-外网 拒绝
技术点7:
堡垒主机:很多对安全性要求更高的企业,会在硬防后面增加堡垒主机,该主机作为一台代理服务器运行,此方案没有测试过,但是看到很多日本的大公司使用了这种方案,一般都是先SSH到堡垒主机上,再通过堡垒主机访问其内网的其它服务器。
阅读(1955) | 评论(0) | 转发(0) |
