所有外部流量都必須通過防火墻才能到達(dá)網(wǎng)絡(luò)。從邏輯上講，這意味著防火墻應(yīng)該放置在互聯(lián)網(wǎng)和網(wǎng)絡(luò)之間。最基本的配置之一是連接到廣域網(wǎng) (WAN) 的路由器，然后是連接到路由器的防火墻，在將所有流量分發(fā)到整個網(wǎng)絡(luò)之前過濾所有流量。為提高安全性，您可以選擇在將路由器發(fā)送到防火墻之前運行路由器的板載防火墻功能，但可能會導(dǎo)致性能下降。

使用這種設(shè)置創(chuàng)建一個非軍事區(qū)并不難。防火墻將連接到 WAN、DMZ 和公司網(wǎng)絡(luò)。使用防火墻的安全策略，內(nèi)部網(wǎng)絡(luò)的流量將與 DMZ 的流量隔離。這種配置的問題是只有一個設(shè)備處理流量過濾——如果它因任何原因受到損害，那么內(nèi)部網(wǎng)絡(luò)也可能受到損害。

更安全的方法是使用具有兩個防火墻的配置。在這種情況下，第一個防火墻是最外層的設(shè)備，被稱為“外圍防火墻”。它正常連接到 WAN 并將流量發(fā)送到 DMZ 網(wǎng)絡(luò)。然后，第二個路由器，即內(nèi)部防火墻，接收通過 DMZ 的內(nèi)部流量并將其過濾到內(nèi)部網(wǎng)絡(luò)中。如果使用來自不同供應(yīng)商的防火墻，后一種方法會更加安全。這樣，一個設(shè)備中的安全漏洞就不能被兩個設(shè)備利用。

業(yè)務(wù)防火墻的類型

有不同類型的防火墻，每種防火墻在網(wǎng)絡(luò)中都有自己的用途。

網(wǎng)絡(luò)級網(wǎng)關(guān)

這些簡單的防火墻檢查每個網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)頭，檢查它們的來源和目的地。它們具有出色的性能并消耗很少的資源，但繞過起來微不足道，并且可能被 DoS 攻擊淹沒。類似的防火墻（稱為電路級網(wǎng)關(guān)）檢查 TCP 握手的合法性，而不是每個數(shù)據(jù)包的標(biāo)頭。它們也相當(dāng)簡單且易于規(guī)避，但運行效率也很高。

應(yīng)用級網(wǎng)關(guān)

這些是更復(fù)雜的防火墻，可以分析數(shù)據(jù)包的內(nèi)容，而不僅僅是包頭。通過分析數(shù)據(jù)包使用的協(xié)議，他們可以更有效地過濾數(shù)據(jù)包并控制來自不同類型流量的訪問。

狀態(tài)檢查

狀態(tài)檢查網(wǎng)關(guān)可以分析多個級別的流量，甚至可以使用隨著時間的推移收集的洞察力來做出過濾決策。它們非常先進，可以防止比其他防火墻類型更廣泛的威脅，但它們也是資源密集型的。