2024年6月7日发(作者:)

防火墙的体系结构介绍

目前,防火墙的体系结构主要有三种: 双重宿主主机体系结构、 被屏

蔽主机体系结构和被屏蔽子网体系结构。

一、双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主

的主机计算机而构 筑的,该计算机至少有两个网络接口。 这样的主机可以充

当与这些接 口相连的网络之间的路由器; 它能够从一个网络到另一个网络发

IP

数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功 能。

因而,

IP

数据包从一个网络(例如外部网)并不是直接发送到其 他网络(例

如内部的被保护的网络) 。防火墙内部的系统能与双重宿 主主机通信, 同

时防火墙外部的系统能与双重宿主主机通信, 但是这 些系统不能直接互相通

信,它们之间的

1P

通信被完全阻止。

双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机 位于两者

之间,并且被连接到外部网和内部网。所谓“堡垒主机”就 是使用两块网卡,

分别连接内、外部网络的独立的计算机,它的作用 就是对进出的数据包进行

审核, 为进入内部网络设的一个检查点, 以 达到把整个内部网络的安全问

题集中在某个主机上解决的目

二、屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连

的主机的服务 (但是路由关闭),而被屏蔽主机体系结构使用一个单独的路

由器提 供来自仅仅与内部的网络相连的主机的服务, 在这种体系结构中, 主

要的安全由数据包过滤提供, 如数据包过滤用于防止人们绕过代理服 务器直

接相连。在屏蔽的路由器上的数据包过滤是按这样一种方法设 置的:即堡垒

主机是

Intemet

上的主机能连接到内部网络上的系统的 桥梁(例如,传送进

来的电子邮件) 。即使这样,也仅有某些确定类 型的连接被允许。 任何外

部的系统试图访问内部的系统或者服务将必 须连接到这台堡垒主机上。因此,

堡垒主机需要拥有高等级的安全。

屏蔽主机体系结构易于实现,安全性好,应用更广泛,它又分 为单宿堡

垒主机和双宿堡垒主机两种类型。

1

.单宿堡垒主机类型 在这个体系结构中,一个包过滤路由器连接外部

网络,同时一 个堡垒主机安装在内部网络上。 堡垒主机只有一个网卡, 与

内部网络 连接。通常在路由器上设立过滤规则, 并使这个单宿堡垒主机成为

Intemet

唯一可以访问的主机,确保了内部网络不受未被授权的外部 用户

的攻击。而

Intranet

内部的客户机,可以受控制地通过屏蔽主机 和路由器访

Intemet

2

.双宿堡垒主机类型 双宿堡垒主机型与单宿堡垒主机型的区别是,堡

垒主机有两块 网卡,一块连接内部网络, 一块连接包过滤路由器。双宿堡垒

主机在 应用层提供代理服务,与单宿型相比更加安全。

三、屏蔽子网体系结构 屏蔽子网体系结构通过添加额外的安全层到被屏

蔽主机体系结 构,即通过添加周边网络更进一步地把内部网络与

Intemet

离开。 在这种结构下,即使攻破了堡垒主机,也不能直接侵入内部网络(它

仍然要通过内部路由器,在此会再次被路由器拦截)

堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最 大的力气

去保护它, 它仍是最有可能被攻击的机器。 如果在屏蔽主机 体系结构中,

用户的内部网络对来自用户的堡垒主机的侵袭门户洞开, 那么用户的堡垒主

机是非常诱人的攻击目标。 在它与用户的其他内部 机器之间没有其他的防御

手段时(除了它们可能有的主机安全之外, 这通常是非常少的)。如果有人

成功地侵入屏蔽主机体系结构中的堡 垒主机,那就毫无阻挡地进入了内部系

统。

通过在周边网络上陌离堡垒主机,能减少在堡垒主机上侵入的 影响。可

以说,它只给入侵者一些访问的机会,但不是全部。屏蔽子 网体系结构的最

简单的形式为两个屏蔽路由器, 每一个都连接到周边 网。一个位于周边网与

内部的网络之间, 另一个位于周边网与外部网 络之间(通常为

Internet

)。

为了侵入用这种类型的体系结构构筑的内 部网络, 侵袭者必须要通过两个路

由器。 即使侵袭者设法侵入堡垒主 机,他将仍然必须通过内部路由器。在此

情况下,没有损害内部网络 的单一的易受侵袭点。作为人侵者,只是进行了

一次访问。