两台防火墙来完成,一台工作在路由模式,另一台工作在透明模式。但是这样会使用户成倍地增加防火墙的投入费用,同时增加管理成本。
在防火墙基本功能和安全性满足要求的时候,我们还要考虑对于复杂网络的适应性。国内有相当多数的网络没有考虑安全性的问题,网络先运行,一段时间之后,才考虑增加安全设备。所以存在很多这样的现象:先建网络,后增加防火墙。这势必给防火墙提出了一个要求—让防火墙去适应各种各样的网络环境。举一个例子,在用户已经运行的网络中,对外开放的服务器采用C/S结构,将与之通信的外网IP地址做到应用程序中,这个时候,我们要求防火墙支持透明模式。进一步的一个例子,这台服务器处于DMZ(非军事化)区域,同时,单位局域网用户又有上网需求,同时隐藏IP。这时,内网和外网采用路由模式,而DMZ区服务器和外网采用透明模式。整个防火墙工作是既有路由,又有透明的混合工作模式。这本来需要两个防火墙完成的工作,由一台防火墙很好地满足了需求。
另一方面,对于一个大的网络,防火墙能否通过简单的配置,实现复杂网络的安全需求。对于用户、IP、服务都可以定义相应的组,简化安页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
