26、网络路由与连接配置全解析

网络路由与连接配置全解析

1. 防火墙与网络区域

在网络架构中，防火墙起着至关重要的保护作用。外部防火墙是网络的第一道防线，它只允许特定认为必要的流量通过，默认情况下会拒绝其他流量。不过，它允许外部连接到隔离区（DMZ）中的主机。

DMZ 中的主机具有一定的脆弱性，因为它们并不足够可信，不能直接接入内部网络。入侵检测系统或 Web 服务器等通常会部署在 DMZ 中。

内部防火墙与外部防火墙类似，仅允许对组织目标必要的流量通过。它通常不允许来自外部世界的任何连接，并且不信任 DMZ 中的主机。

内部网络只允许高度可信的主机接入，这里存放着组织最宝贵的数据，如财务记录、客户数据库和电影收藏等。

许多内部网络中的主机只需进行非常简单的路由决策。内部网络中的任何设备之间只有一种通信方式，而互联网上的任何主机访问内部网络或 DMZ 网络也只有一种途径。

外部防火墙直接连接到 DMZ 网络，因此可以向 DMZ 中的主机发送数据包。它需要一个指向互联网的默认路由，以便能够与外部世界通信。为了访问内部网络中的主机，外部防火墙必须将数据包发送到内部防火墙的外部接口。如果不在外部防火墙上进行此配置，数据将无法到达内部防火墙。由于外部防火墙负责内部网络的互联网访问，丢失此路由将导致内部网络与互联网断开连接，内部系统可以发送数据包，但无法接收任何数据。所以，外部防火墙需要进行路由配置。

同样，也可以在 DMZ 内的每个主机上配置路由。在这种情况下，防火墙的 ICMP 重定向可以为这些主机提供路由，但在脆弱的网络中信任 ICMP 重定向是不明智且混乱的，因为这假设 DMZ 中的每个主机和每个防火墙都接受并发送 ICMP 重定向