【51CTO.com 独家特稿】防火墙在实际的部署应用过程当中，经常部署在网关的位置，也就是经常部署在网内和网外的一个"中间分隔点"上，而就是在这样一个部署的环境中，也还存在着多种方式，且存在着许多"陷阱"，本文将对几种方式进行分析。

方案一：错误的防火墙部署方式

传统的防火墙部署方式可能所有人都认为非常简单，将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源（比如说FTP服务器和Web服务器）的话，那么这将是一个非常危险的部署方式，如图1所示。理由其实非常简单，一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话，那么内部网络的客户端及其资源将没有任何安全可言。因为在这种情况下，木马和病毒已经在内网中存在，而客户端和共享资源服务器在同一个网段，这无异于内网的安全隐患，防火墙对此无能为力，从而也失去了部署的意义了。

图1  错误的防火墙部署方式#p#

方案二：使用DMZ

目前一个比较流行和正确的做法就是采用DMZ的防火墙部署方式，如图2所示。也就是在防火墙上多加一块网卡，把提供对外服务的服务器和内网的客户端严格地隔离开来，这样，即算有安全风险和漏洞在DMZ中出现，由此对内部网络造成的危害也可以得到很好的控制，从而避免了方案一的缺点。

图2  使用DMZ的防火墙部署方式#p#

方案三：使用DMZ+二路防火墙

为了加强方案二中防火墙的安全强度，目前有些企业将图2的架构优化成图3的架构，也就是使用DMZ+二路防火墙。另外，在此结构中选用防火墙，应尽量采用两家不同公司的产品，这样才有利于发挥这种架构的优势。

图3  使用DMZ+二路防火墙的部署方式

方案四：通透式防火墙

在前面的几种方案中，防火墙本身就是一个路由器，在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整，则相应的路由需要进行变更，维护和操作起来有一定的难度和工作量。

通透式防火墙则可以比较好的解决上述问题（如图4所示）。该类防火墙是一个桥接设备，并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层（也就是数据链路层），所以不会有任何路由的问题。并且，防火墙本身也不需要指定IP地址，因此，这种防火墙的部署能力和隐密能力都相当强，从而可以很好地应对黑客对防火墙自身的攻击，因为黑客很难获得可以访问的IP地址。

图4  通透式防火墙部署方式

【51CTO.com独家特稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】

【编辑推荐】

1. “下一代防火墙”的未来发展趋势
2. 防火墙之父：安全就是关注细节
3. WEB应用防火墙 打造企业应用安全不设防
4. 测试表明多款常用防火墙存在黑客漏洞