网络安全防护技术之防火墙部署

2)防火墙部署

实际工作中，不仅仅要关注防火墙产品技术和防火墙产品，更重要的是要考虑如何根据安全要求和实际环境部署和使用防火墙。不同的组合方式体现了系统不同的安全要求，也决定了系统将采取不同的安全策略和实施方法。

单防火墙（无DMZ）部署：非军事区（Dernilitarizecl Zone，DIⅥZ）是一种网络区域，就是在不可信的外部网络和可信任的内部网络之间建立一个面向外部网络的物理或逻辑子网。 单防火墙系统（无DMZ）是最基本的防火墙系统，通过防火墙产品将网络分为外音|j和内部网络，不仅可防止外部主机发起到内部受保护资源的连接，防止外部网络对内部网络的威胁， 也可过滤和限制从内部主机通往外部资源的流量。单防火墙系统（无DMZ）适用于家庭网络、小型办公网络和远程办公网络这些环境主要需求为内部受控地访问外部网络资源，并且很少或没有需要外部来访问的资源。

单防火墙( DMZ)部署：防火墙提供一个或多个虚拟非军事区(DMZ)，用于部署允许外部网络访问的公开服务系统，如WEB系统、邮件系统等。DMZ的数量依赖于使用的防火墙产品所能支持和扩展的DMZ端口的数量，可以根据不同的安全要求将各种不同类型的公共服务放在不同的DMZ中，并根据需要对外部网络、内部网络、DMZ网络之间的流量进行控制。

双防火墙部署：双防火墙体系结构为穿过防火墙的不同安全区域之间的流量提供了更细粒度的控制能力。在这种系统及结构中，使用两台防火墙分别作为外部防火墙和内部防火墙，在两台防火墙之间形成了一个非军事区网段，同前面支持DMZ的单防火墙系统结构相似，外部流量允许进入DMZ网段，内部流量允许进入DMZ网络并通过DMZ网段流出至外部网络，但外部网络的流量不允许直接进入内部网络。双防火墙体系结构的缺点是它的实施复杂性和费用较高。