大型企业的网络（防火墙）架构

您所寻找的关于三层防火墙架构的合理性的说法听起来有点像幻想世界，无法很好地映射到现实中。除非您控制所有应用程序，否则严酷的现实是，大多数应用程序供应商都假设软件组件从每一层到相邻层（并且可能到非相邻层）的访问不受过滤和限制。

我曾经在管理规定的“安全”环境中工作过，即通过防火墙将服务器计算机与 LAN 隔离开来，并尽量减少暴露的服务数量。每次涉及任何新软件、硬件或供应商时，这都是一个挑战，因为 LAN 内所有“传统”的不受约束的端到端连接假设都被颠覆了。实施任何事物在这样的环境下最终导致成本增加。

我限制局域网内通信和暴露的策略和建议如下：

• 使用内部路由器/防火墙上的访问控制列表/防火墙规则来“粗略地描绘”并排除那些显然不受欢迎的流量类型（从安装视频聚合服务器的 VLAN 以外的任何地方访问 IP 安全摄像头所连接的子网/VLAN、从仅安装了面向内部的服务器计算机的子网访问互联网等）。

• 执行在各个服务器计算机本身上运行的防火墙软件（Windows 防火墙、iptables）的更具体的访问控制规则。确保服务器仅安装并运行所需的软件，并且只有所需的服务/守护程序在所需的接口上监听网络流量。变更控制、密码/SSO 安全性以及保持操作系统和应用程序更新的常识性方法在这里占据主导地位。

防火墙允许您量化和仲裁流量。所谓的“第 7 层”防火墙会深入应用层流量（甚至深入到该流量的任意深度），并且可以执行比“传统”防火墙更专业的仲裁规则。但是，防火墙并不“提供安全性”，其有效性取决于设计规则集或监控日志的人。规则最初的限制越严格，最终为使应用程序正常运行而做出的妥协就越多。

我个人对通过添加防火墙来“增加安全性”的做法持怀疑态度。我发现这会增加网络上所有应用程序的维护成本，却无法保证环境的抗攻击能力或风险状况得到量化的改善。

这是为了限制事物可能造成的损害。您的防火墙规则很少能完全阻止攻击，但如果确实有东西被攻破，它们应该能阻止它造成太大的损害（因为任何给定的盒子都应该只能访问您已验证过的服务列表需求访问）。除此之外，它们还能让您随时了解网络上的流量情况。

但是，标准化防火墙设置可能很愚蠢。您不需要在所有站点都使用相同数量的防火墙，并且每个站点的防火墙架构都应该在部署新服务的便利性和安全性之间进行权衡。如果您的环境不断变化，或者对员工可以做的事情很宽松，那么广泛的防火墙将会带来太多麻烦，而好处却很少。如果您愿意限制员工的自由，那么这样做是值得的，在互联网、互联网可​​访问服务和您的局域网（可能是局域网。如果一个局域网处理敏感数据，您可能希望将其放在单独的防火墙子网上（如果可能）。）

本质上，防火墙的目的应该是只允许你知道需要相互通信的服务器之间进行你知道需要的流量。这并不意味着你必须拥有多个防火墙，尽管它们可能很有用（如果没有其他用途，你最终会用尽单个防火墙上的端口）。它确实意味着你应该拥有需要访问类似信任级别和类似系统的东西。如果你要使用多层防火墙，值得考虑使用异构系统（即，将 Checkpoint 连接到你的 Web 服务器，在 Web 服务器和数据库服务器之间使用 ASA）。

我们甚至在 DMZ 之外运行 1，只是因为，管他呢，为什么不呢？DMZ 本来就是要暴露的，但允许无限制的暴露是愚蠢的。

然后我们在 DMZ 和允许联系 DMZ 的服务器之间运行一个代理。我们允许连接到互联网的所有内容都通过 DMZ 中的代理进行连接；当发生攻击时，它可以快速切断，并且可以在不影响服务器本身的情况下对机器进行攻击。

最后，我们在所有外部连接和内部网络之间运行防火墙，这样如果 DMZ 中出现问题，它就不会在内部传播。

有一个例外：企业 WAN 与内部服务器位于同一层，因此 WAN 中的漏洞距离内部系统仅有 1 个防火墙，尽管它们具有与我们相同的防火墙布局，因此在该向量上外部世界之间仍然有 2 个防火墙。

就您所说的意义而言（相对于允许外部访问的特定应用程序而言），我们将拥有外部防火墙、代理、防火墙、应用程序服务器，然后是处于同一级别的数据库服务器。数据库服务器和应用程序服务器之间防火墙（通常的内部防火墙除外）的意义很难理解：两者之间需要访问，并且无论防火墙如何，都存在足够的访问权限来造成突破。

我认为 SITES 之间的标准化很愚蠢，但就公开的应用程序/服务器而言，您应该标准化。您不想让这由本地自行决定：有人会做出错误的决定。例如，我们的卫星办公室只有 1 个防火墙，然后是通往常规网络的 VPN，但它们没有任何可保护的东西，而我们的财务系统只能在本地访问。