科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道全方位讲解硬件防火墙的选择(7)

全方位讲解硬件防火墙的选择(7)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。

作者:51CTO.COM 2008年4月14日

关键字: 防火墙 硬件 东软 思科 天融信

  • 评论
  • 分享微博
  • 分享邮件

  图6

  子网表示一段连续的IP地址。可以作为策略的源或目的,还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。

  

  

  图7

  为了配置访问策略,先定义特殊的节点与子网:

  FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  V_SERVER:代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。

  inside:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。

  outside:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。

  

  (3)配置访问策略

  在DMZ区域中增加三条访问策略:

  A、访问目的=FTP_SERVER,目的端口=TCP 21。源=inside,访问权限=读、写。源=outside,访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。

  B、访问目的=HTTP_SERVER,目的端口=TCP 80。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

  C、访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside+outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

  (4)通信策略

  由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。增加一条通信策略,目的=outside,源=inside,方式= NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在Internet中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章