Chinaunix首页 | 论坛 | 博客
  • 博客访问: 332658
  • 博文数量: 114
  • 博客积分: 1415
  • 博客等级: 上尉
  • 技术积分: 1110
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-23 17:34
文章分类

全部博文(114)

文章存档

2011年(2)

2010年(22)

2009年(56)

2008年(34)

我的朋友

分类: WINDOWS

2009-02-12 14:52:04

本文主要以介绍原理为主,至于具体怎么操作,要涉及到相关产品,请自查产品手册:
 
BACK-TO-BACK(背靠背)防火墙构架比单防火墙构架要安全的多,图例如下:
 
公网
|
硬件防火墙(NAT模式)-DMZ-服务器组
|
ISA2004软件防火墙(ROUTE模式)
|
三层交换机
|       |       |
VLAN1   VLAN2   VLAN3 ......
|       |       |
PC组    PC组     PC组 ......
 
 
技术点1:
在此方案中,硬防如果运行于NAT模式,一般相应的ISA防火墙要运行于ROUTE模式,此时,DMZ的服务器组可以使用私有IP地址。
反之,硬防如果运行于ROUTE或透明模式,则相应的ISA防火墙要运行于NAT模式,此时,DMZ的服务器组必须使用公有IP地址。
对于硬防和ISA软防均运行于NAT的情况,理论上也可以实现,不过我没做过测试。
 
技术点2:
ISA的过滤功能,在ISA处于NAT模式下,所有过滤手段有效,包括非标准端口(如http设置为8080时);在ISA处于ROUTE模式下,所有过滤手段仅对标准端口有效,例如对http通讯,只能过滤标准的80端口,对于8080则无法起到过滤效果(注意,是没有效果)。
 
技术点3:
回指路由的设置:回指路由要设置到ISA上。
 
技术点4:
VPN相关:
 
技术点5:
ISA内网口地址,属于三层交换上的一个VLAN。
 
技术点6:
数据流策略如下所示
 
硬防策略:
公网->DMZ  允许(供外网访问服务器)
DMZ->公网  拒绝
内网->公网  允许(允许员工上网,这里的内网实际是指ISA的外网口网段)
公网->内网  拒绝
 
ISA软防策略:
内网->DMZ  允许(供内网用户访问服务器)
DMZ->内网  拒绝
内网-外网 允许(这里的外网指的也是ISA的外网口)
内网-外网 拒绝
 
技术点7:
堡垒主机:很多对安全性要求更高的企业,会在硬防后面增加堡垒主机,该主机作为一台代理服务器运行,此方案没有测试过,但是看到很多日本的大公司使用了这种方案,一般都是先SSH到堡垒主机上,再通过堡垒主机访问其内网的其它服务器。
阅读(2004) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~