我们都知道,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵。
而trust和untrust可以说是防火墙中的一种区域概念,那么和大家一起聊聊防火墙中的trust和untrust。
防火墙trust和untrust什么意思?
trust和untrust其实并不难理解,英文trust是信任的意思,那么untrust加了个前缀“un-”,就是不信任的意思了,那么在防火墙的概念中,Trust区域指的就是可信任的接口,是局域网的接口,这个接口外网和DMZ是没有办法访问的。而Untrust区域自然就是相反的,指的是不信任的接口,是用来接internet的,这个接口的信息内网不接受,需要注意的是,可以通过untrust接口来访问DMZ,但不能通过这个接口来访问trust接口。 我们都知道防火墙就是用来控制流量的,它允许流量从trust口到untrust口方向的主动访问,而不允许untrust口到trust口方向的主动访问;当从trust口到untrust口有主动访问时,防火墙会保存这个连接信息,回应数据从untrust口到trust方向,防火墙会放行,但是不会允许untrust口到trust口的主动访问。
这里做一个比喻,可能大家再理解起来,就会比较容易,不那么抽象。就比如说你在家能访问互联网的网站,但是在互联网是不能访问你的电脑。
DMZ区域是什么意思?
这里还提到了一个DMZ区域,为了帮助大家更好理解防火墙trust和untrust是什么意思,我们就来拓展一下这部分的知识。DMZ就是Demilitarized Zone,也就是非军事区域。两个防火墙之间的空间就被称为DMZ。
DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器(如企业Web服务器、FTP服务器和论坛等);另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡,也就是说就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。
防火墙trust和untrust的理解还是很重要的,以上的内容,大家可以作为一个参考。