https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

防火牆架設規劃方式剖析~採購單位應具備之基礎概念

2001 / 09 / 25
防火牆架設規劃方式剖析~採購單位應具備之基礎概念

多防火牆架構
就某些高科技產業或是國防單位而言,在安全是唯一的考量,又沒有預算上限的狀況之下,採用多防火牆架構是一個不錯的方案。事實上,多防火牆架構也只是前面雙防火牆架構三個類型的應用與延伸,但是卻有更高的安全性、穩定性。基本上如果不考慮網路流量的因素,使用雙防火牆DMZ加上雙機熱備援會是不錯的方式。如果必須要考慮網路速度,則可以使用雙防火牆DMZ加上負載平衡架構。




單防火牆架構
就防火牆的價錢以及使用方式來看,一般中小企業大多只會採購一台防火牆,所以規劃的方式也十分的有限。在這種情況之下必須考慮的條件有二:
1. 公司使用人數多寡
2. 是否架設伺服器提供對外網路服務
(一) 單防火牆基本型


若公司使用電腦人數不多,或是連線的電腦在五十台之內,同時沒有架設伺服器提供對外服務,且對網路安全程度需求不高者,可以考慮SOHO等級的防火牆產品。此類產品價格低廉,又可以提供使用者基本的安全保障。這種架構適用於個人工作室或是小公司。


(二) 單防火牆DMZ型


在使用人數較多或需要較高的網路安全保障時,則可以採購等級較高的防火牆。這一類型的防火牆大多配置有DMZ(Demilitarized Zone),提供對外連線伺服器之用,將公司內部的區域網路與伺服器的路徑分開,提高內部電腦之安全。這一類型的架構可以滿足中小企業或是高中以下學校之校園網路的需求。

雙防火牆架構
防火牆不只可以單獨一台使用,也可以多台一起使用,以提高安全性、穩定度、網路連線速度等,針對不同的需求也會有不同的防火牆架設方式,採購單位可視公司實際的需求選用不同的方案。


(一) 雙機熱備援



顧名思義,雙機熱備援就是同時有兩台防火牆在線上運作,但是實際處理網路通訊者只有其中一台,當這一台防火牆出現故障時,另一台防火牆可以即時的接手所有的工作,以提供不間斷的網路服務與安全保護,讓用戶免於在防火牆故障時,遭遇網路停擺或是被迫暴露在沒有保護的危機之中。


(二) 負載平衡架構



針對網路流量較大的用戶,可以同時使用兩台防火牆處理網路流量,各自分攤一半的工作,這個架構也具備類似雙機熱備援的優點,但是當其中一台防火牆失去功能時,另一台防火牆就必須要處理比平常多出一倍的工作量,網路速度也將會被拖累。不過現在市場上支援GIGA BYTE 網路的防火牆產品也越來越多,在可以直接勝任大量資料流的產品進入市場後,會用到負載平衡架構的機會將減少許多。


(三)雙防火牆DMZ架構


這類雙防火牆架構通常會選用不同廠牌的防火牆,來互相填補可能有的系統漏洞,提高駭客入侵的難度。這類防火牆架構同樣有類似雙機熱備援的優點,由於是搭配不同廠牌的防火牆,所以安全性是比單純的雙機熱備援要高出一些,但是就網路流量處理的角度來看,他的表現是跟單防火牆架構是一樣的。