[实用新型]具有可靠访问控制性能的防火墙系统

说明书

技术领域

本实用新型涉及一种具有可靠访问控制性能的防火墙系统，属于计算机网络设备技术领域。

背景技术

近年来，随着互联网金融行业的蓬勃发展，需要保护的敏感关键数据越来越多，对局域网的安全性提出了更高的要求。为了保证可用性，使外部系统有条件的使用内部服务器，采用支持多个接口的单防火墙多DMZ结构，单个防火墙要承载军事区域和多个非军事区域的不同安全需求的任务，一方面访问控制规则众多配置复杂，另一方面将不同安全需求的众多任务放置于同一个屏障下保护本身就存在安全隐患。采用双防火墙结构的系统，将管理模块和防火墙模块均放置于防火墙中，没有实现防火墙管理和实施的物理隔离，造成了安全隐患，这对局域网系统安全提出了严峻的挑战，影响了整个局域网系统的安全性。

实用新型内容

本实用新型的目的是针对现有技术的不足，提供一种访问控制灵活、安全性高、实用方便的具有可靠访问控制性能的防火墙系统。其技术方案为：

一种具有可靠访问控制性能的防火墙系统，包括外部防火墙、内部防火墙、外部交换机、内部交换机和路由器，其中路由器依次经外部防火墙、外部交换机和内部防火墙接内部交换机，内部交换机接内部网络，其特征在于：增设了外部管理服务器、内部管理服务器和多个DMZ服务器，其中外部管理服务器接外部防火墙的管理口，多个DMZ服务器均接外部交换机的Ethernet口，内部管理服务器接内部防火墙的管理口。

所述的具有可靠访问控制性能的防火墙系统，DMZ服务器采用2～46个。

本实用新型与现有技术相比，其优点在于：

1、针对内、外两个防火墙分别设有相应的管理服务器，实现了防火墙与管理服务器的物理隔离，提高了安全性。

2、DMZ服务器用于提供对外服务，每个DMZ服务器均可视为一个独立的非军事区域，从外部因特网进入该区域的数据只需经过外部防火墙的检查和过滤即可,访问控制规则相对宽松，允许外部计算机发起访问；连接路由器的因特网与连接内部交换器的内部网络之间的数据交换，就需要在内、外两个防火墙处都被过滤与检查，访问控制规则严格，且不允许外部因特网上的计算机主动访问内部网络，控制灵活，安全性高，实用方便。

3、多DMZ服务器适合于有较多服务器对外提供服务的情况，每个服务器均构成一个DMZ，针对不同服务器的安全需求设置不同访问控制策略，数据流根据数据流动区间不同被过滤与控制，不同DMZ服务器间禁止数据流动，能够对数据进行非常精细地控制。

4、双防火墙结构即满足了外部Ethernet对局域网的访问请求的需要，又满足了保护内部网络的安全需要。

附图说明

图1是本实用新型实施例的线路连接图。

图1中：1、外部防火墙  2、内部防火墙  3、外部交换机  4、内部交换机  5、路由器  6、外部管理服务器  7、内部管理服务器  8、DMZ服务器。

具体实施方式

下面结合附图对本实用新型作进一步说明：

在图1所示的实施例中：包括外部防火墙1、内部防火墙2、外部交换机3、内部交换机4和路由器5，其中路由器5依次经外部防火墙1、外部交换机3、内部防火墙2接内部交换机4，增设了外部管理服务器6、内部管理服务器7和2个DMZ服务器8，其中外部管理服务器6接外部防火墙1的管理口，多个DMZ服务器8均接外部交换机3的Ethernet口，内部管理服务器7接内部防火墙2的管理口。