许多网络管理员已经考虑到了实行双重防火墙。这是一个昂贵的选择,并且提出这个想法的管理员可能会遇到这样的反应,如“$5,000的防火墙?我们不是已经有一个了吗?”但同样也有几个很好的理由让你在你的公司部署多重防火墙。让我们看看下面的几种情况。
容错和负载均衡
许多公司选择实行并行方式的双重防火墙,如下图所示。当路由器配置正确,他会提供容错和负载平衡的额外优势。这两个防火墙应配置为“故障安全”模式,即在发生故障时,他们应该自动拦截所有流量。当以这种方式配置,防火墙会提供容错功能,当其中一个出现故障,另一个便可以承载网络中的流量并保持故障对用户的透明性。
这种策略的第二个好处是,负载平衡,一个性能优势。路由器可能被配置为两个防火墙之间的流量分流,无论是基于优先或者是基于公平分享的模式。在多个这种配置的防火墙之间分配流量会有助于避免困扰许多网络的瓶颈问题。
增强边缘保护
同样也可以在串联电路中部署两个防火墙,如下图所示。当以这种方式配置时,所有进入或离开网络的流量都必须通过这两个防火墙。这种设置有时会部署在高度安全的环境中,以防止防火墙特有的脆弱性。在这种情况下,这两个防火墙可以是来自不同的供应商,甚至也可以运行在不同的操作系统中。
受保护的子网
我们讨论的最后一种情况如下图所示。在这种情况下,次要防火墙被用于保护比整体网络有更高安全要求的内部子网。例如,使用此种情景可能会提供会计部门额外的保护,为一些他们希望保护免受其他内部用户使用的敏感的财务数据。
总之,多重防火墙的部署提供了各种各样的好处,涵盖更好的性能以及增强的安全性。如果你的安全环境需要这种类型的安全保护并且你的预算足够多的话,这确实是一个值得考虑的选择。
|