对FIREWALL的一些问题的讨论

下面是对FIREWALL的一些问题的讨论：

　　（一）DMZ（非军事区）

　　通常的说法是FIREWALL与ROUTER之间的区域。


ROUTER DMZ FIREWALL
\ \
__\_______ ___\_________
____| |_______________| |_________________ SECURE NETWORK
|__________| |_____________|


　　有一种新的架构，FIREWALL用三块网卡。

ROUTER FIREWALL
\ \
__\_______ ___\_________
____| |_______________| |_________________ SECURE NETWORK
|__________| |_____________|
|
______|______
| |
| DMZ |
|_____________|

　　我个人认为，第二种DMZ才象真正的DMZ。但是这种配置较复杂，FIREWALL的效率也低。
（二）NAT（网络地址转换）

　　为什么要用NAT？

　　一般来说，FIREWALL内部的安全网络的IP为RFC定义的三段保留IP，但是这种IP是不能直接路由出去的。所以我们会在FIREWALL中用NAT把保留IP转换成注册IP。

　　NAT存在的主要问题是FTP的问题。FTP的一些命令会把源IP地址作为参数发给SERVER，但是这个IP地址是作为数据封装在IP包内的，NAT不会转换，这就会造成错误。解决办法是用PASV命令。我所接触的FIREWALL的NAT号称能够识别FTP命令，转换这种IP地址。 网管论坛bbs_bitsCN_com
　　
　　我想知道的是：有没有别的解决方案？

　　（三）MAIL SERVER的位置

　　在一些有SMTP代理的FIREWALL，建议把MAIL SERVER放在FIREWALL安全网络一侧；但是在MS
PROXY这种环境下好象只能把EXCHANGE放在MS PROXY外部，因为微软建议不要在EXCHANGE SERVER上装MS
PROXY CLIENT。那这又如何来控制EXCHANGE的安全呢？

　　（四）WEB SERVER的位置

　　WEB SERVER是最容易受到攻击的服务器，它的位置是个难题：放在安全网段必须在FIREWALL上开80端口，如果WEB SERVER被黑掉，会成为黑客攻击内部安全网络的基地；如果WEB SERVER放在外部网络，又得不到保护。我认为，可以放在第二种DMZ中，既能过滤端口，又能保证内部网络的安全性，但是配置复杂。我一直坚持尽量把服务器放在FIREWALL内部，就是想给服务器加上一层屏障，过滤一些不必要的端口。像一台NT+IIS架成的WEB SERVER，默认情况有21、70、80、139等端口，如果我只想使用它的WEB SERVER，可以把21、70端口关闭，但是139端口我不知怎么关闭，而139端口是一个很危险的端口，我们应当关闭它，可以在NT上安装一些过滤软件，把139过滤掉。