防火墙的安全策略

下面说说防火墙的安全策略，先来说说这个硬件防火墙，硬件防火墙至少有2个网络接口，分别连接内外网，此外硬件防火墙一般都支持网络接口的扩展，可以支持对DMZ网络的安全防护，此外防火墙除了连接内外网的网络接口之外还负责将第三个网络接口所连接的网络作为DMZ区域，用来连接web服务器和mail服务器等，用来提升对外服务。根据上一节我们来讲的，一个拥有DMZ的防火墙可以设置如下的安全策略

1.   内网可以访问外网，可以通过部署在DMZ的代理服务器实现也可以允许用户直接从内网访问外网，对于内网中的私有IP地址，应当配置NAT服务

2.   内网可以访问DMZ，方便用户管理DMZ中的数据

3.   外网不能访问内网

4.   外网可以访问DMZ，因为DMZ本身就是为了给外界提供服务的

5.   DMZ不能访问内网，如果违背这个策略的话，那么攻击者入侵DMZ之后就可以进一步入侵到内网

6.   DMZ可以访问外网，这个需要看具体是怎么配置的，如果DMZ中设置了邮件服务器的话或者设置了代理服务器的话，就需要访问外网，如果仅仅在DMZ里面配置了web服务器那么就不需要让他访问外网

首发于我的个人网站： 点击打开链接