2024年6月7日发(作者:)
网络基础 防火墙的体系结构
在防火墙与网络的配置上,有以下三种典型结构:双重宿主主机体系结构、屏蔽主机体
系结构和屏蔽子网体系结构。
1.双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这
样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络
发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是
从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主
主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它
们之间的通信必须经过双重宿主主机的过滤和控制。如图10-7所示,为双宿网关结构。
防火墙
Internet
交换机
堡垒主机
计算机
计算机
计算机
图10-7 双重宿主主机体系结构
2.屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一
个路由器把内部网络和外部网络隔离开,如图10-8所示。在这种体系结构中,主要的安全
由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
客户计算机
堡垒主机
包过滤路由器
交换机
计算机
计算机
计算机
图10-8 屏蔽主机结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络
上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主
机要保持更高等级的主机安全。
数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊
的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:允许其它的内部主机为了
某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务)不允许来自内部
主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
3.子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更
进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一
个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这
样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部
网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由
器。如图10-9所示,为屏蔽子网结构,其优点是支持网络层和应用层的安全功能。
Internet
外部包过滤路由器
外部堡垒主机
内部包过滤路由器
内部堡垒主机
计算机
交换机
图10-9 屏蔽子网结构
随着Internet/Intranet技术的飞速发展,网络安全问题必将愈来愈引起人们的重视。防火
墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的
访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果
使用得当,可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上
的所有问题,比如防火墙虽然能对来自外部网络的攻击进行有效的保护,但对于来自网络内
部的攻击却无能为力。事实上60%以上的网络安全问题来自网络内部。因此网络安全单靠
防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、
制定网络法规、提高网络管理人员的安全意识等等。
发布评论