防火墙能够将网络分成两个或多个区域。对于成长型企业而言,利用防火墙对企业网进行分割可以满足不同部门的安全需求。一般情况下,防火墙位于互联网和内网之间,除此之外,防火墙还可以部署在内网与内网之间。
位于互联网与内网之间
ISP的接入方式是多样化的,仅专线接入就包含DDN、光纤等多种方式,这些昂贵的接入方式很少被成长型企业所采用。目前成长型企业常用的接入方式包括ADSL 接入+ PPPoE 拨号以及以太网接入+PPPoE拨号两种。在互联网出口处部署防火墙,需要考虑分配地址问题,地址分配问题可以归纳为以下几类:单个动态合法地址满足企业内部员工上网、单个固定合法地址满足企业内部员工上网、多个固定合法地址满足企业内部员工上网。此外,接入互联网之后,企业还需要解决以下问题:如何实现多个员工共享一个合法地址上网、如何实现内部服务器在互联网上发布信息、如何实现出差员工通过互联网访问企业内网、如何实现内网员工访问外网VPN网关。
单个动态地址: ISP分配动态地址可以利用较少的地址为较多的接入用户提供服务,在IPv6还没有普及到接入层之前,人们需要合理利用IPv4。防火墙能够解决企业上网的安全问题,解决方法如下:通过PAT(即基于端口的地址转换)技术,使多个用户共享一个地址访问互联网;通过端口转发技术和动态域名技术,加上防火墙的策略配置,可以实现外网通过域名访问内部服务器应用;通过对内网服务器私网地址和外网口合法地址进行一对一的地址映射,实现外网对DMZ服务器的访问;通过防火墙内置的IPSec VPN网关配合动态域名技术,实现出差员工、分支机构、合作伙伴对公司内网服务器的安全访问。总之,动态域名技术与防火墙技术的结合可以经济有效地实现用户对企业信息发布服务器的访问以及IPSec VPN隧道的互联。
单个固定合法地址:希望申请标识机构域名的用户和希望在企业内部维护Web服务器的用户通常利用宽带接入方式,获得单个静态的合法地址。这些用户首先需要从ISP那里获得一个固定的合法地址。对于这些具有单个固定合法地址的用户,可以通过以下方式解决宽带接入后的需求:通过PAT(即基于端口的地址转换)技术,实现多个员工共享一个地址访问互联网;端口转发技术加上防火墙的策略配置可以实现外网访问内部服务器;通过对内网服务器私网地址和外网口合法地址进行一对一的地址映射,实现外网对DMZ服务器的访问; 通过防火墙内置的IPSec VPN网关,可以实现出差员工、分支机构、合作伙伴对公司内网服务器的安全访问。采用单个固定合法地址进行接入,可以申请获得一个标识机构域名,申请域名和固定合法地址需要额外收费。
多个固定合法地址:对于中型企业,通过以太网专线接入可能会需要较小的一段合法地址(比如29位掩码的一段地址),这些地址在防火墙上的应用主要体现在两方面:一个地址用作PAT以及防火墙端口地址,另一个地址用于需要多个服务器来共同在互联网上发布服务的应用,如电子商务等。这些具有合法地址的服务器一般都被置于防火墙的DMZ(非军事区)。较大的企业有时会为整个公司申请一大段合法地址段,这在国外的大企业中是很常见的,但是对于国内成长型企业而言,一般不会这样申请地址,因为费用将会很高。
位于内网之间
绝大多数攻击来自企业内部,这也是为何将防火墙放置在企业内部的原因。位于内网之间的防火墙被称为二级防火墙。目前多数企业网络内部的数据交换都通过以太网交换机来实现,为了隔离广播域以及方便管理,多数企业都对交换机进行了VLAN的划分,VLAN之间进行访问需要通过配置三层交换进行。虽然三层交换机可以通过ACL来实现不同VLAN之间的访问控制,但无法像防火墙那样通过动态包过滤机制来实现对访问策略的控制。为了更好地保护重要部门的信息,用户需要通过架设二级防火墙来隔离该部门与其他内网网段之间的流量,并进行合理控制。