在前端/后端拓扑中使用防火墙

上一次修改主题： 2005-05-24

如果可以通过 Internet 访问网络，则极力建议您使用软件或硬件防火墙解决方案。防火墙使用端口筛选、IP 筛选以及高级防火墙解决方案中的应用筛选来控制传入网络的通信。

有多种方法可以将防火墙加入前端/后端拓扑；部署前端/后端拓扑的方案中介绍了这些方法。通常，建议您在拓扑中使用高级防火墙服务器（有关使用高级防火墙的详细信息，请参阅外围网络中的高级防火墙）。

端口筛选

任何用于帮助使服务器免受来自 Internet 的攻击的防火墙必须至少使用端口筛选。端口筛选通过只允许访问发送到特定端口的信息，限制可以通过防火墙的网络通信类型。例如，可以通过打开 TCP/IP 端口 443，将面向 Internet 的防火墙配置为只接受 HTTPS 通信。

以下两节介绍与 TCP/IP 连接有关的两个重要概念：源端口与目标端口以及 TCP/IP 连接的方向。

源端口与目标端口

计算机 A 与计算机 B 建立 TCP/IP 连接时，将使用两个端口：源端口（在计算机 A 上）和目标端口（在计算机 B 上）。发起连接的计算机上的网络堆栈通常随机选择源端口。目标端口是指定服务所侦听的端口（例如，对于 HTTPS 为端口 443）。在本指南中，任何提到的特定服务所使用的端口均代表目标端口。

TCP 连接的方向

打开防火墙端口时，大多数防火墙要求指定连接的方向。例如，要允许前端服务器与后端服务器联系，则必须打开用于 HTTP 通信的端口 80。但是，后端服务器从不发起与前端服务器的新 TCP/IP 连接；只是响应由前端服务器发起的请求。因此，在防火墙上，只需要允许从前端服务器到后端服务器的 HTTP 端口 80 连接即可。在本指南中，此类连接称为“入站”（也就是说，连接传入公司网络）。

IP 筛选

许多防火墙解决方案还支持 IP 筛选。IP 筛选通过允许您将通过防火墙的通信限制为特定的服务器，可以提高防火墙的可靠性。例如，在外围网络中，可能希望将 DSAccess 配置为使用特定的域控制器和全局编录服务器，然后使用 IP 筛选来确保前端服务器只连接到特定的域控制器和全局编录服务器。

应用筛选

ISA Server 等高级防火墙可以在应用协议级提供高级的检查。此检查允许防火墙执行筛选 RPC 接口和验证 HTTP 请求语法等功能。应用筛选是在拓扑中使用高级防火墙可以提供最高的安全性的主要原因。