2)防火墻部署

實(shí)際工作中，不僅僅要關(guān)注防火墻產(chǎn)品技術(shù)和防火墻產(chǎn)品，更重要的是要考慮如何根據(jù)安全要求和實(shí)際環(huán)境部署和使用防火墻。不同的組合方式體現(xiàn)了系統(tǒng)不同的安全要求，也決定了系統(tǒng)將采取不同的安全策略和實(shí)施方法。

單防火墻（無(wú)DMZ）部署：非軍事區(qū)（Dernilitarizecl Zone，DIⅥZ）是一種網(wǎng)絡(luò)區(qū)域，就是在不可信的外部網(wǎng)絡(luò)和可信任的內(nèi)部網(wǎng)絡(luò)之間建立一個(gè)面向外部網(wǎng)絡(luò)的物理或邏輯子網(wǎng)。 單防火墻系統(tǒng)（無(wú)DMZ）是最基本的防火墻系統(tǒng)，通過(guò)防火墻產(chǎn)品將網(wǎng)絡(luò)分為外音|j和內(nèi)部網(wǎng)絡(luò)，不僅可防止外部主機(jī)發(fā)起到內(nèi)部受保護(hù)資源的連接，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅， 也可過(guò)濾和限制從內(nèi)部主機(jī)通往外部資源的流量。單防火墻系統(tǒng)（無(wú)DMZ）適用于家庭網(wǎng)絡(luò)、小型辦公網(wǎng)絡(luò)和遠(yuǎn)程辦公網(wǎng)絡(luò)這些環(huán)境主要需求為內(nèi)部受控地訪問(wèn)外部網(wǎng)絡(luò)資源，并且很少或沒(méi)有需要外部來(lái)訪問(wèn)的資源。

單防火墻( DMZ)部署：防火墻提供一個(gè)或多個(gè)虛擬非軍事區(qū)(DMZ)，用于部署允許外部網(wǎng)絡(luò)訪問(wèn)的公開(kāi)服務(wù)系統(tǒng)，如WEB系統(tǒng)、郵件系統(tǒng)等。DMZ的數(shù)量依賴于使用的防火墻產(chǎn)品所能支持和擴(kuò)展的DMZ端口的數(shù)量，可以根據(jù)不同的安全要求將各種不同類型的公共服務(wù)放在不同的DMZ中，并根據(jù)需要對(duì)外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、DMZ網(wǎng)絡(luò)之間的流量進(jìn)行控制。

雙防火墻部署：雙防火墻體系結(jié)構(gòu)為穿過(guò)防火墻的不同安全區(qū)域之間的流量提供了更細(xì)粒度的控制能力。在這種系統(tǒng)及結(jié)構(gòu)中，使用兩臺(tái)防火墻分別作為外部防火墻和內(nèi)部防火墻，在兩臺(tái)防火墻之間形成了一個(gè)非軍事區(qū)網(wǎng)段，同前面支持DMZ的單防火墻系統(tǒng)結(jié)構(gòu)相似，外部流量允許進(jìn)入DMZ網(wǎng)段，內(nèi)部流量允許進(jìn)入DMZ網(wǎng)絡(luò)并通過(guò)DMZ網(wǎng)段流出至外部網(wǎng)絡(luò)，但外部網(wǎng)絡(luò)的流量不允許直接進(jìn)入內(nèi)部網(wǎng)絡(luò)。雙防火墻體系結(jié)構(gòu)的缺點(diǎn)是它的實(shí)施復(fù)雜性和費(fèi)用較高。