内部防火墙的含义

内部防火墙

但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受其它站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。
因为网络中每一个用户所需要的服务和信息经常是不一样的,它们对安全保障的要求也不一样,所以我们可以将网络组织结构的一部分与其余站点隔离(比如,财务部分要与其它部分分开)。
1.试验网络
在大多数情况下,应该在内部防火墙中设置这样的包过滤:允许内部网的其它站点主动地连接试验网络,而对试验网络,只允许建立与被认为是安全内部网的其它站点的连接。
在有些情况下,我们也可能要防止内部网其它站点的某些类型的信息流干扰试验网络,因此要设置允许所有的外向连接(对试验网络而言)而控制内向连接的包过滤。
如果有几个试验网络,最好的方法是设置一个参数网络,并给每个试验网络配置一台路由器并连接到参数网络。而主要的包过滤工作在连接参数网络与内部主网的路由器上完成。
2.低保密网络
试验网络比较危险,但它对整个内部网的安全构成的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有一些非安全因素。比如,校园网中那些包含学生公寓网点的部分就被认为是不安全的,单位企业网中的那些演示网部分、客户培训网部分和开放实验室网部分都被认为是安全性比较差的。但这些网又比纯粹的外部网与内部网其它部分的交互要多得多。这些网络称为低保密网。
3.高保密网络
内部网的某些站点可能需要很高的安全保障。比如校园网中的教务网、招生信息网,商业网中的财务网、新品开发网都应具有相当高的保密度。
当高保密网的信息流通过内部网的其它部分时,可以用对信息进行加密的方法对它们加以保护。也可将高保密网与内部网的其它部分完全隔离。比如,有一个新品开发网,这个网的用户只有在注册到某台机器上时方可使用该网络,这样就可用防火墙(一般是一台带有包过滤的路由器)将这个网与内部网完全分离。这个防火墙对待内部网的其它用户就像对待外部网一样。一般情况下,这类高保密网需要的外部服务并不太多,因此在防火墙内不一定要有堡垒主机,而只有在防火墙保护极为机密的内部子网上,才用参数网络。
4.联合防火墙
若干企业集团为了合作开发项目而需在一定的时间内共享某些机器、数据和其它资源。在建立内部防火墙时,应根据以下原则来限定哪些资源需共享;哪些信息需保护;又如何来实现保护:
(l)为何要与其它企业网络相连。这将决定内部防火墙允许哪些服务通过、阻断哪些服务。
(2)是否希望与对方在不使用因特网的前提下互传电子邮件和文件。
(3)是否试图为两个不同企业项目开发组的成员创立一个共同的软件平台。如有此要求则需要两个防火墙来隔离该软件平台与各企业的本地网。
(4)支持哪类信息互传,又需要加何种安全保护。
5.共享参数网络
共享参数网络结构是解决联合网安全问题的一个好办法。每个参与联合体的网在参数网络上都有各自能控制的路由器。在有些结构中,参数网络上没有堡垒主机,而这些路由器是参数网络上仅有的设备。
6.内部防火墙的堡垒主机选择
如果联合网的各合作单位间有足够的信任度,那在防火墙中可仅使用包过滤,以便其它单位的用户与本单位的内部网服务可直接建立连接(如DNS、SMTP)。相反,如果各单位间缺乏足够的信任度,他们可建立各自的参数网络,建立他们可单独控制的堡垒主机。这样从一个内部网流出的信息流须经过两台堡垒主机方可抵达另一内部网。
 

«1»