让防火墙适应企业需求的变化

混合型的防火墙解决方案
随着你的网络越变越大、越来越复杂，网络安全已经不再是只用一个防火墙来保护整个网络的主机服务器了。在这个时候，你可能会有在外地的分支机构需要远程连接到总部的局域网，而你可能还会希望能够控制都有哪些人在局域网内的其它地方在访问某些部门或者分公司（比如说财务部或者人力资源部）的子网络。

这就要求你采用一种完全不同的防火墙配置策略和识别技术，因为现在，你所需要保护的不再是一台网络服务器了，同时还包括有许多局域网内部的子网络服务器。举个现实生活中的贴身事例：你现在不仅要将大门上锁（外部网络主机），同时还要将建筑物内所有独立的办公室的门都要上锁。同样，你可以在部门或者分支机构的主机服务器上安装防火墙，以便建立内部保护。

如果你公司有一些服务器是供那些在公司局域网内没有账户的网外用户直接通过互联网来访问的，那么在这种情况下，你就需要用到多种防火墙了。最好的解决方案就是通过将那些可直接通过互联网访问的服务器放在两个防火墙之间来构建一个“DMZ”（也叫做“屏蔽子网”或者“周边网络”）。一个防火墙建立在互联网的接口上，而其它的则设立在内部局域网的“入口”处。那么，位于这两个防火墙之间的计算机和设备就处在一个DMZ中。这意味着，即使有黑客能够成功的突破到DMZ中的某台计算机上，他还是无法进入到整个局域网中。

最后，你还会发现，使用多种防火墙还会给你带来更多的好处，那就是它在保证性能的同时还能够为你提供更有效率的保护。传统的数据包过滤防火墙速度虽然很快，但是它们却无法顾及到在应用层上实施的攻击。应用层过滤（ALF，Application Layer Filtering）防火墙能够提供更加全面的过滤，它不仅会校验包头（Packet Header），还会对信息包的内容进行全面的检查。不过，这同时也会让你付出性能降低的代价。基于以上的这些原因，因此我们建议你最好是在互联网入口的地方设置传统的数据包过滤防火墙，因为那里网络流量最大，而在它之后则可以设置多重应用层过滤防火墙，以便进行更多枯燥冗长的内容检验。

利用原有防火墙来支持成长
如果你的规划是合理的，那么伴随着你公司的成长，你还一直能够利用那些在你网络建设初期时所购买的防火墙。当你购买了一个性能更为强大（当然价格也更为昂贵）、能够处理所有对外数据流量的防火墙的时候，这些曾经位于网络接口最前沿的、低价格、低容量的硬件设备就可以逐渐被“后移”到内部，用来当作某个部门的防火墙。而软件防火墙则可以被安装到一台低端服务器上，日后可以对它的硬件配置进行升级，以满足更高的容量要求，或者当有一个新的快速的数据包过滤防火墙被设置在网络的前端，管理所有数据流量的进出的时候，你还可以将其作为DMZ中某个子局域网的服务器主机，来实现对应用层的数据过滤。即使该软件防火墙因为自身的版本老旧而“退休”了，或者被安装到其它的计算机上了，原来的计算机还可以继续“回收利用”，在网络中当作文件服务器，或者用作其它的用途。

从一开始就用成长性的观念来构建你的防火墙结构，将能够确保你在防火墙软硬件上所作的投资能够获得最大的回报。

(责任编辑:张竺)

查看本文的国际来源