有很多方法可以构建您的网络,以使用防火墙保护您的系统。
如果您通过路由器有专用互联网连接,您可以将路由器直接插入您的防火墙系统。或者,您可以通过集线器为防火墙外部的完全访问服务器提供连接。
您可能正在使用拨号服务,例如 ISDN 线路。在这种情况下,您可以使用第三张网卡来提供经过滤的 DMZ。这使您可以完全控制您的互联网服务,并且仍然将它们与您的常规网络分开。
__________
_/\__/\_ | | _______________
| | | Firewall | (LAN) | |
/ Internet \----| System |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| |_______________|
\/ \/ \/ |
(DMZ)
(HUB)
如果在您和互联网之间有路由器或 кабельный модем(cable modem)。如果您拥有路由器,您可以在路由器中设置一些硬性过滤规则。如果此路由器由您的 ISP 拥有,那么您可能没有所需的控制权。您可以要求您的 ISP 添加过滤器。
_________ __________
_/\__/\_ | Router | | | _______________
| | | or | (DMZ) | Firewall | (LAN) | |
/ Internet \----|Cable Mdm|--(HUB)--| System |--(HUB)--| Workstation/s |
\_ _ _ _/ |_________| | |__________| |_______________|
\/ \/ \/ |
(Outside)
(Server)
如果您需要监控网络用户的去向,并且您的网络规模较小,您可以将代理服务器集成到您的防火墙中。ISP 有时会这样做,以创建其用户的兴趣列表,然后转售给营销机构。
__________
_/\__/\_ | Proxy / | _______________
| | | Firewall | (LAN) | |
/ Internet \----| System |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| |_______________|
\/ \/ \/
您也可以将代理服务器放在您的局域网上。在这种情况下,防火墙应该有规则,只允许代理服务器为了它提供的服务而连接到互联网。这样,用户只能通过代理访问互联网。
__________
_/\__/\_ | | _______________
| | | Firewall | (LAN) | |
/ Internet \----| System |--(HUB)--| Workstation/s |
\_ _ _ _/ |__________| | |_______________|
\/ \/ \/ | ______________
| | |
+----| Proxy Server |
|______________|
如果您要运行像 YAHOO 或许 SlashDot 这样的服务,您可能需要通过使用冗余路由器和防火墙来构建您的系统。(请查看 High Availability HowTo。)
通过使用轮询 DNS 技术,从一个 URL 和多个 ISP 提供对多个 Web 服务器的访问,并结合使用高可用性技术的路由器和防火墙,您可以创建一个 100% 正常运行时间的服务。
_/\__/\_ _/\__/\_
| | | |
/ ISP #1 \______ (WAN)_____/ Partners \
\_ _ _ _/ | (HUB) \_ _ _ _/
\/ \/ \/ | ___|____ \/ \/ \/
__|___ |_______ |
_/\__/\_ |_____ | |Firewall|| ______
| | | || (DMZ) | System || (LAN) | |
/ ISP #2 \--|Router||--(HUB)--| (VPN) ||--(HUB)--| WS/s |
\_ _ _ _/ |______| | |________| | |______|
\/ \/ \/ | | | ______
| (Outside) (Shared) | | |
------ | (Server) (Server) +----|Proxy |
| WS/s | | |______|
| VPN |-+
|______|
很容易让您的网络失控。保持对每个连接的控制。只需要一个使用调制解调器的用户就可能危及您的局域网。