1.3 防火墙概述
CCNP安全防火墙642-618认证考试指南
关键作为一名网络安全工程师,其首要职责便是保障网络内具有价值的网络资源的安全性。就企业而言,数据资料通常是具有保密性的。这些数据资料直接关系到企业的利益,所以必须防止未授权人员随意地对其进行窥探和篡改。另外,网络中的工作站同样需要受到保护,使其免受外部攻击以维持它们正常稳定的工作状态。
为了更好地保护网络资源,我们通常将网络划分为可信任(trusted)和不可信任(untrusted)两个区域。网络内可信任的区域也被称为安全域(security domain)。在安全域内的所有系统应与外部域相互隔离,以免受到威胁。例如,一家小型公司打算在连接到公共Internet的同时对网络进行保护。此时公司内部网络应作为安全域,在安全域内的所有系统将受到保护。不同网络区域之间的边界称为安全边界,如图1-1所示。
某些情况下,安全域内仅仅放置一台防火墙可能还不够。假使公司A除了需要保护自身网络免受公共Internet上威胁的攻击,同时还需要对其数据中心进行更加严密的保护。就算公司A相信其内部员工,但也不能冒险将数据中心完全暴露在网络环境中。因此,为了保障数据中心的正常运行,公司A决定为数据中心建立第二个安全域,如图1-3所示。
当防火墙部署在安全域边界时,它将对网络进行隔离。这种隔离可以是物理隔离或者逻辑隔离。
物理隔离要求每一个被隔离的网络必须连接到防火墙上各自独立的物理接口上,这可能需要额外的硬件或花费更高的成本。如图1-5所示,防火墙对网络进行了物理隔离且防火墙的两个物理接口分别连接到了两台不同的交换机上。除非对防火墙实施连接断开、线缆改接等物理攻击方式,否则物理隔离将为网络提供最高程度的保护。
防火墙可以使用两个物理接口分别承载两个VLAN的流量,也可以利用一条物理链路作为Trunk链路来同时承载两个VLAN流量。采用逻辑隔离的方式能够有效地降低成本,使得网络结构变得灵活和复杂。但逻辑隔离会因逻辑网络的错误配置及逻辑网络失效等原因,导致流量绕过防火墙或流量跨越防火墙且能够直接在不同的逻辑隔离域之间传输。因此,和物理隔离相比,逻辑隔离方式的安全性稍差。
1译者注:这里原文为安全域。