普通企业环境
这是最为普通的企业环境防火墙部署案例。利用防火墙将网络分为三个安全区域,企业内部网络,外部网络和服务器专网(DMZ区)。
内部网络一般采用私有的IP地址,DMZ的服务器可以采用公网地址,也可以采用私有地址,但是需要在防火墙上做相应的地址转换来保证外部用户对服务器的正常访问。一般常用的安全策略是:外部网络不允许访问内部网络,内部网络用户可以根据不同的权限访问Internet资源;内部用户和外部用户只允许访问DMZ区指定服务器的指定服务。
ADSL接入部署
ADSL接入是一种经济实惠的Internet接入方式,NetRock防火墙提供了对ADSL接入,也就是PPPOE拨号的支持。
用防火墙代替原有的拨号客户端来连接ADSL
Modem,实现自动拨号的功能,可以配置防火墙自动做一条动态的地址转换,实现内部的多个用户通过一条ADSL实现对互联网的访问。这样防火墙配置的一般策略为只允许内部网络访问外部网络的指定服务。
多出口部署
在企业局域网有多个出口的情况下,比如Internet出口,总部出口等。NetRock防火墙支持将DMZ接口做为一个外网接口,支持多出口的接入。
我们可以将防火墙的外网口接Internet接入服务器,将DMZ口接入总部接入的服务器,利用路由的选择来分流去往两个区域的流量,可以将缺省的网关指向Internet处的路由器,添加相应的去往总部网络方向的路由策略。然后针对不同的网络之间的数据通讯,采用相应的安全策略。另外的一种多出口的接入方式也可以两个防火墙的方式,分别对于与相应的链路,这种方式也可以利用路由的选择来实现。
分布式部署
分布式的环境一般分为一个中心节点和多个分支节点,NetRock防火墙支持对这种结构的整体的配置。
中心节点采用性能高的NetRock-500或者NetRock-1000防火墙,可以采用双机热备份的模式,保证网络的可靠性;对于分支节点,可以采用NetRock-50防火墙,一方面保证该分支网络的边界安全,另外也可以通过VPN功能实现与总部的信息通讯的安全;对于没有专线的分支节点,可以采用NetRock-50防火墙自带的对子网拨号的VPN功能,实现与总部之间的安全通讯。 |
|
