理解防火墙

这几天有实验室服务器的密码之后,可以挨个看服务器的配置了,这种感觉真不错。 原来觉得实验室的防火墙配得实在是太恶心了,限制太多,而且莫名其妙。现在终于可以看看它是怎么配置的了。比起IBMTC来,PACT的配置显得专业了一点(废话,不然叫什么网络安全实验室),加入了DMZ。 DMZ这个东西,在以前学防火墙的时候总是理解不上去,主要是使用的技术不太一样。我以前理解的防火墙就是一个nat防火墙,而且是只有一个物理网卡的,网络接口虚拟出两个来。其实理解使用DMZ的防火墙关键在于它使用的是arp透明代理,而不是nat的。arp在链路层,防火墙的两端在同一个子网中;而nat防火墙属于网络层,它的两端分属于不同子网。所以前者的实用性更强,能支持更多的协议,更加透明。而在arp透明代理的基础上加上了过滤规则,可以实现防火墙的功能。 回去再仔细看规则,嗯。