防火墙架构设置的四种类型

防火墙架构设置的四种类型

一般通过ISA Server所设置的防火墙架构分为Edge Firewall（边缘防火墙）、3-Leg Perimeter Firewall（3向外围防火墙）、Back-to-Back Perimeter Firewall（背对背外围防火墙）与单一网络适配器（网卡）四种等。1、Edge Firewall（边缘防火墙）Edge Firewal

一般通过ISA Server所设置的防火墙架构分为Edge Firewall（边缘防火墙）、3-Leg Perimeter Firewall（3向外围防火墙）、Back-to-Back Perimeter Firewall（背对背外围防火墙）与单一网络适配器（网卡）四种等。

1、Edge Firewall（边缘防火墙）

Edge Firewall的架构，其中的ISA Server防火墙计算机有两个网络接口（例如两片网卡），一个网络接口连接内部网络，一个连接英特网，也就是说防火墙介于内部网络与英特网之间。这种架构能够保护内部网络的安全，避免外来入侵者访问内部网络资源。也可以开放让内部用户来访问外部资源。这是最容易假设的防火墙架构。

2、3-Leg Perimeter Firewall（3向外围防火墙）

为3-Leg Perimeter Firewall（3向外围防火墙）的架构，图中的防火墙有三个网络接口（例如三张网卡），第1个接口连接内部网络、第2个连接因特网、第3个连接边界网络（Perimeter network）。边界网络又称DMZ（Demilitarized Zone，非军事区）或是屏蔽子网络（screened subnet），一般我们习惯用DMZ这个名称。

可以开放内部用户访问外部资源，但内部网络资源则受到防火墙的保护，不让外部用户访问。可以将要开放给外部用户访问的资源放到DMZ区域内，例如web服务器。

3、单一网络适配器（网卡）

计算机内只有一张网卡也可以安装ISA Server 2006，不过它只具备网页缓存、网站发布、OWA服务器发布等功能，其他高级功能并不支持，例如VPN、一般服务器发布、防火墙客户端、无法被设置为Edge Firewall等。

一般是在公司内部已经有一台Edge Firewall的情况之下，才会使用这种架构，例如图1-5中的ISA Server缓存服务器。这台ISA Server计算机只安装一张网卡，此处它是扮演缓存服务器的角色。图中的客户端可通过两种方式来访问因特网的网页对象：

单一网络适配器架构

Ø通过只有单一网卡的ISA Server缓存服务器

例如图中上方两台客户端通过ISA Server缓存服务器来访问因特网的网页对象，当ISA Server缓存服务器受到客户端访问网页的请求时，会转向扮演Edge Firewall角色的ISA Server防火墙来索取该网页对象。

Ø直接通过ISA Server防火墙

两台客户端直接通过ISA Server防火墙来索取所需的网页对象。

4、向外围防火墙架构

Back-to-Back Perimeter Firewall（背对背外围防火墙）

为Back-to-Back Perimeter Firewall（背对背外围防火墙）的架构，其中前端防火墙连接因特网与DMZ，而后端防火墙连接DMZ与内部网络。

背对背外围防火墙架构

我们可以将要开放给外部用户访问的资源放到DMZ区域内，例如电子邮件服务器或网站，并经过前端防火墙做适当的过滤、保护；而内部网络不但会受到前端防火墙的保护，更受到第2层后端防火墙的保护，因此更为安全。当然我们可能也需要在前端防火墙与后端防火墙开放让内部用户可以访问因特网的资源。Back-to-Back DMZ防火墙是最安全的架构。