选用单防火墙DMZ还是双防火墙DMZ

文章作者 100test 发表时间 2007:03:14 13:21:14
来源 100Test.Com百考试题网

　　你已经接受了这种想法，就是使用隔离区(DMZ)为你的机器提供更多的安全和强大的保护功能，而不是简单地在你的整个网络前面使用一个传统的防火墙。这对你会有好处，但是，仍存在一个问题:你会采用简单的路由并在你的单一的防火墙外面设置一个隔离区吗?或者采用两个防火墙并且在两个防火墙之间设置一个隔离区，这样增加额外的开支提供最大的保护值得吗?
　　
　　你可以使用传统的隔离区合理地保护你们面向公众开放的服务器，同时，这些服务器将保护你的敏感的内部网络不受恶意的外部用户入侵。在这种情况下，防火墙将监视全部入网的通信，以确定这种通信是应该转到隔离区网络还是应该传送到受保护的内部网络。传统的隔离区检查从内部网络发往外部网络的全部通信，以确定是否让这种通信通过:1.是否允许要求网络和邮件服务的内部数据包从受保护的内部网络发送到隔离区网络.2.作为来自内部请求的应答，允许通信从隔离区进入受保护的内部网络.3.是否允许这些通信进入互联网。你应该知道这种结构是一种双宿网关结构，因为这种防火墙有两个接口，一个通向隔离区，另一个通向内部网络。
　　
　　进一步讲，这种双防火墙隔离区结构(有时候称做子网防火墙)增加了另一层防御并且把内部网络与庞大而邪恶的外部世界隔离开来。通过在它们前面再设置一个防火墙以及在你的内部网络前面再增加一个防火墙，你还将为面向公众的主机提供进一步的保护。使用这种机构，受保护的网络和互联网之间的通信必须要经过这两个防火墙。这些防火墙将为你对外开放的服务器提供最初的第一线防御，防止恶意通信的入侵。
　　
　　因此，你必须下定决心。下面这些通信问题有助于你做出决策:
　　
　　?从性能的角度说，你能够承受让外部通信经过两道防火墙而不是一道防火墙而带来的性能损失吗?