我們探讨下網絡安全裝置的實踐,極其在實際工作應該咋樣布置裝置的位置,這樣部署的好處極其不足。
1 .基本的過濾路由器實踐
缺點:
1.服務區位于内網,一旦伺服器被攻破,将不經過路由器的過濾直接攻擊内網
2.通路清單的控制極其咋樣讓外部使用者通路
3.需要開放大量端口
雙路由DMZ設計
<a href="http://blog.51cto.com/attachment/201104/084446380.png" target="_blank"></a>
特點:
1. 公共服務區與内網分開,一旦公共服務區攻破,還需要經過第二台路由器才能通路内網
2. 第二台有更加詳細的ACL
狀态防火牆的DMZ設計
<a href="http://blog.51cto.com/attachment/201104/084811498.png" target="_blank"></a>
我們可以利用狀态防火牆來代替路由器
1. 有些防火牆不支援進階路由協定和多點傳播
2. 我們在入口執行RFC 1918 2827 過濾
三接口防火牆的DMZ設計
<a href="http://blog.51cto.com/attachment/201104/085158736.png" target="_blank"></a>
這是我們現在通常采取的經典設計
1. 所有的流量都要經過防火牆過濾
2.一定要限制公共服務區對内網的通路,否則公共服務區仍然在内網結構上,有句老話:相信網際網路也不要相信自己的公共服務區
多防火牆設計
<a href="http://blog.51cto.com/attachment/201104/085718814.png" target="_blank"></a>
1.信任服務區接受半信任的請求,半信任接受非信任的請求,非信任的接受網際網路的請求
2.建議采用多家防火牆廠商的産品,防止産品漏洞
不同acl分類
<a href="http://blog.51cto.com/attachment/201104/090152955.png" target="_blank"></a>
本文轉自q狼的誘惑 51CTO部落格,原文連結:http://blog.51cto.com/liangrui/541189,如需轉載請自行聯系原作者
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)