你已经接受了这种想法,就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能,而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处,但是,仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区,这样增加额外的开支提供最大的保护值得吗?
你可以使用传统的隔离区合理地保护你们面向公众开放的服务器,同时,这些服务器将保护你的敏感的内部网络不受恶意的外部用户入侵。在这种情况下,防火墙将监视全部入网的通信,以确定这种通信是应该转到隔离区网络还是应该传送到受保护的内部网络。传统的隔离区检查从内部网络发往外部网络的全部通信,以确定是否让这种通信通过:1.是否允许要求网络和邮件服务的内部数据包从受保护的内部网络发送到隔离区网络;2.作为来自内部请求的应答,允许通信从隔离区进入受保护的内部网络;3.是否允许这些通信进入互联网。你应该知道这种结构是一种双宿网关结构,因为这种防火墙有两个接口,一个通向隔离区,另一个通向内部网络。
进一步讲,这种双防火墙隔离区结构(有时候称做子网防火墙)增加了另一层防御并且把内部网络与庞大而邪恶的外部世界隔离开来。通过在它们前面再设置一个防火墙以及在你的内部网络前面再增加一个防火墙,你还将为面向公众的主机提供进一步的保护。使用这种机构,受保护的网络和互联网之间的通信必须要经过这两个防火墙。这些防火墙将为你对外开放的服务器提供最初的第一线防御,防止恶意通信的入侵。
因此,你必须下定决心。下面这些通信问题有助于你做出决策:
?从性能的角度说,你能够承受让外部通信经过两道防火墙而不是一道防火墙而带来的性能损失吗?
?你能够监视通过这个网络的两个线路的通信吗?
?你应该从哪里监视那个通信?
?你需要一直拥有从被攻破状态立即恢复到正常状态的能力吗?这种能力包括在一个防火墙系统关闭的时候保持另一个防火墙运行和通信畅通。
?你有必备数量的网络端口吗?
?你的预算允许你使用两个防火墙吗?或者这种开支是被禁止的吗?
这里的底线是:传统的隔离区结构向你提供公共服务的机器提供了一层额外保护,但是,这需要增加额外的操作和维护工作。双防火墙隔离区的选择是最安全的,但是,它也是一把双刃剑,应用和运行的成本都非常昂贵。