選用單防火牆DMZ還是雙防火牆DMZ(轉)

選用單防火牆DMZ還是雙防火牆DMZ(轉)[@more@]

　　你已經接受了這種想法，就是使用隔離區(DMZ)為你的機器提供更多的安全和強大的保護功能，而不是簡單地在你的整個網路前面使用一個傳統的防火牆。這對你會有好處，但是，仍存在一個問題:你會採用簡單的路由並在你的單一的防火牆外面設定一個隔離區嗎?或者採用兩個防火牆並且在兩個防火牆之間設定一個隔離區，這樣增加額外的開支提供最大的保護值得嗎?

　　你可以使用傳統的隔離區合理地保護你們面向公眾開放的伺服器，同時，這些伺服器將保護你的敏感的內部網路不受惡意的外部使用者入侵。在這種情況下，防火牆將監視全部入網的通訊，以確定這種通訊是應該轉到隔離區網路還是應該傳送到受保護的內部網路。傳統的隔離區檢查從內部網路發往外部網路的全部通訊，以確定是否讓這種通訊透過:1.是否允許要求網路和郵件服務的內部資料包從受保護的內部網路傳送到隔離區網路;2.作為來自內部請求的應答，允許通訊從隔離區進入受保護的內部網路;3.是否允許這些通訊進入網際網路。你應該知道這種結構是一種雙宿閘道器結構，因為這種防火牆有兩個介面，一個通向隔離區，另一個通向內部網路。

　　進一步講，這種雙防火牆隔離區結構(有時候稱做子網防火牆)增加了另一層防禦並且把內部網路與龐大而邪惡的外部世界隔離開來。透過在它們前面再設定一個防火牆以及在你的內部網路前面再增加一個防火牆，你還將為面向公眾的主機提供進一步的保護。使用這種機構，受保護的網路和網際網路之間的通訊必須要經過這兩個防火牆。這些防火牆將為你對外開放的伺服器提供最初的第一線防禦，防止惡意通訊的入侵。

　　因此，你必須下定決心。下面這些通訊問題有助於你做出決策:

　　·從效能的角度說，你能夠承受讓外部通訊經過兩道防火牆而不是一道防火牆而帶來的效能損失嗎?

　　·你能夠監視透過這個網路的兩個線路的通訊嗎?

　　·你應該從哪裡監視那個通訊?

　　·你需要一直擁有從被攻破狀態立即恢復到正常狀態的能力嗎?這種能力包括在一個防火牆系統關閉的時候保持另一個防火牆執行和通訊暢通。

　　·你有必備數量的網路埠嗎?

　　·你的預算允許你使用兩個防火牆嗎?或者這種開支是被禁止的嗎?

　　這裡的底線是:傳統的隔離區結構向你提供公共服務的機器提供了一層額外保護，但是，這需要增加額外的操作和維護工作。雙防火牆隔離區的選擇是最安全的，但是，它也是一把雙刃劍，應用和執行的成本都非常昂貴。