Hoe u een firewall implementeert
Oct 20, 2019
1.Bridge-modus
Bridge-modus kan ook transparante modus worden genoemd. Het eenvoudigste netwerk bestaat uit een client en een server, en de client en server bevinden zich in hetzelfde netwerksegment. Om veiligheidsredenen wordt er een firewallapparaat toegevoegd tussen de client en de server om het verkeer dat er doorheen gaat te controleren. Een normaal clientverzoek wordt via de firewall naar de server verzonden en de server stuurt het antwoord terug naar de client. De gebruiker zal het bestaan van het tussenapparaat niet voelen. De firewall die in bridge-modus werkt, heeft geen IP-adres. Wanneer het netwerk wordt uitgebreid, is het niet nodig om het netwerkadres opnieuw- te plannen, maar dit gaat ten koste van routerings- en VPN-functies.
2.Gateway-modus
De gatewaymodus is van toepassing wanneer de interne en externe netwerken zich niet op hetzelfde netwerksegment bevinden. De firewall stelt het gateway-adres in om de functie van de router te implementeren en routering en doorsturing uit te voeren voor verschillende netwerksegmenten. De gatewaymodus biedt een hogere beveiliging dan de bridgemodus. Het implementeert beveiligingsisolatie tijdens het uitvoeren van toegangscontrole en heeft een zekere mate van privacy.
3.NAT-modus
NAT-adresvertalingstechnologie (Network Address Translation) gebruikt de firewall om het IP-adres van het interne netwerk te vertalen, en gebruikt het IP-adres van de firewall om het bronadres van het interne netwerk te vervangen om gegevens naar het externe netwerk te verzenden; wanneer het responsdataverkeer van het externe netwerk terugkeert naar de firewall. De firewall vervangt vervolgens het bestemmingsadres door het bronadres van het interne netwerk. De NAT-modus kan realiseren dat het externe netwerk het IP-adres van het interne netwerk niet direct kan zien, wat de beveiliging van het interne netwerk verder verbetert. Tegelijkertijd kan het interne netwerk in het NAT-modusnetwerk privé-netwerkadressen gebruiken, wat het probleem van een beperkt aantal IP-adressen kan oplossen.
Als het externe netwerk toegang nodig heeft tot interne netwerkdiensten op basis van de NAT-modus, kunt u ook adres-/poorttoewijzingstechnologie (MAP) gebruiken om adres-/poorttoewijzing op de firewall te configureren. Wanneer externe netwerkgebruikers toegang moeten krijgen tot interne services, wijst de firewall het verzoek toe aan de interne server; wanneer de interne server de overeenkomstige gegevens retourneert, stuurt de firewall de gegevens door naar het externe netwerk. Door het gebruik van adres-/poorttoewijzingstechnologie hebben externe gebruikers toegang tot interne services, maar externe gebruikers kunnen het echte adres van de interne server niet zien, alleen het adres van de firewall, wat de veiligheid van de interne server verbetert.
4. Ontwerp met hoge betrouwbaarheid
Firewalls worden ingezet bij de in- en uitgang van het netwerk en vormen de deur naar netwerkcommunicatie. Dit vereist dat de inzet van de firewall een hoge betrouwbaarheid moet hebben. De levensduur van algemene IT-apparatuur is vastgesteld op 3 tot 5 jaar. Wanneer zich een apparatuurstoring op één punt voordoet, moet redundantietechnologie worden gebruikt om betrouwbaarheid te bereiken, en kunnen technologieën zoals Virtual Routing Redundancy Protocol (VRRP) worden gebruikt om primaire en back-upredundantie te bereiken. Momenteel ondersteunt reguliere netwerkapparatuur ontwerpen met hoge betrouwbaarheid.