| 对FIREWALL的一些问题的讨论 |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2006-12-4 16:01:03  |
下面是对FIREWALL的一些问题的讨论:
(一)DMZ(非军事区)
通常的说法是FIREWALL与ROUTER之间的区域。
ROUTER DMZ FIREWALL
\ \
__\_______ ___\_________
____| |_______________| |_________________ SECURE NETWORK
|__________| |_____________|
有一种新的架构,FIREWALL用三块网卡。
ROUTER FIREWALL
\ \
__\_______ ___\_________
____| |_______________| |_________________ SECURE NETWORK
|__________| |_____________|
|
______|______
| |
| DMZ |
|_____________|
我个人认为,第二种DMZ才象真正的DMZ。但是这种配置较复杂,FIREWALL的效率也低。
(二)NAT(网络地址转换)
为什么要用NAT?
一般来说,FIREWALL内部的安全网络的IP为RFC定义的三段保留IP,但是这种IP是不能直接路由出去的。所以我们会在FIREWALL中用NAT把保留IP转换成注册IP。
NAT存在的主要问题是FTP的问题。FTP的一些命令会把源IP地址作为参数发给SERVER,但是这个IP地址是作为数据封装在IP包内的,NAT不会转换,这就会造成错误。解决办法是用PASV命令。我所接触的FIREWALL的NAT号称能够识别FTP命令,转换这种IP地址。
我想知道的是:有没有别的解决方案?
(三)MAIL SERVER的位置
在一些有SMTP代理的FIREWALL,建议把MAIL SERVER放在FIREWALL安全网络一侧;但是在MS
PROXY这种环境下好象只能把EXCHANGE放在MS PROXY外部,因为微软建议不要在EXCHANGE SERVER上装MS
PROXY CLIENT。那这又如何来控制EXCHANGE的安全呢?
(四)WEB SERVER的位置
WEB SERVER是最容易受到攻击的服务器,它的位置是个难题:放在安全网段必须在FIREWALL上开80端口,如果WEB SERVER被黑掉,会成为黑客攻击内部安全网络的基地;如果WEB SERVER放在外部网络,又得不到保护。我认为,可以放在第二种DMZ中,既能过滤端口,又能保证内部网络的安全性,但是配置复杂。我一直坚持尽量把服务器放在FIREWALL内部,就是想给服务器加上一层屏障,过滤一些不必要的端口。像一台NT+IIS架成的WEB SERVER,默认情况有21、70、80、139等端口,如果我只想使用它的WEB SERVER,可以把21、70端口关闭,但是139端口我不知怎么关闭,而139端口是一个很危险的端口,我们应当关闭它,可以在NT上安装一些过滤软件,把139过滤掉。
|
| 文章录入:bolang 责任编辑:bolang |
|
上一篇文章: Firewall的原理
下一篇文章: 没有了 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
