FreeBSD构建防火墙(3)

然而，在FreeBSD上构建防火墙系统是通过系统提供的各种组件进行组合得到的，采取多种组件进行组合，就能构建更复杂的系统。可以根据不同需要，同时利用包过滤、网络地址转换及各种不同应用层代理等多种形式，设置不同复杂程度的防火墙系统，这就是FreeBSD系统的优势。但在这些情况下，由于FreeBSD提供的这些组件并不是单一软件，而是相互独立的多个软件，因此要设置一个完整的防火墙系统，还需要使用者进行复杂的设置。或者还需要管理员使用一些简单的脚本程序以辅助分析系统日志，发送警报，甚至对网络状态进行实时监控，通过迅速改变防火墙设置来保护内部网络系统。
　　通过分析防火墙的日志记录，甚至监控通过防火墙的数据流模式，就可以寻找发生过或正在进行的系统入侵行为（通常可能是服务阻塞、暴力攻击甚至更复杂的特定攻击模式），进而反馈回防火墙系统，以重新调整设置，增强系统安全性。

• 防火墙的拓扑结构

　　当构建防火墙系统时，首先就要考虑网络的拓扑结构，这将对防火墙的设置产生影响。简单的网络可能只需要一台防火墙设备，而复杂的网络会需要更多的网络设备，包括多个防火墙系统。以下给出了最常使用的几种使用防火墙的网络拓扑，基本上这些拓扑将适合大多数的情况，可以使用这些拓扑来作为建立自己内部网络的参考。


　　最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络。这种形式简单易行，适合大部分只需要访问Internet，而不需要对外发布信息的网络。一旦要向外发布信息，那么所提供的服务就会降低网络的安全性，造成相应的安全问题。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/66172/showart_545567.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有