最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前,比较流行的有以下三种防火墙配置方案。
1.双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络到另一个网络发送IP 数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP 数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的被保护的网络)。防火墙内部的系统能与双重宿主主机通信,但是这些系统不能直接互相通信,它们之间的IP 通信被完全阻止。
双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络,这种体系结构如图9.9所示。
图9.9 双重宿主主机结构
2.屏蔽主机体系结构
双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包负责,其结构如图9.10所示。
在图9.10中堡垒主机位于内部的网络上。从图中可以看出,在屏蔽的路由器上的数据包过滤是按这样一种方法设置的,即堡垒主机是因特网上的主机连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。
图9.10 屏蔽主机结构
数据包过滤也允许堡垒主机开放可允许的连接(“可允许”由用户站点的安全策略决定)到外部世界。(www.xing528.com)
屏蔽的路由器数据包过滤配置可以按如下执行:
(1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。用户可以针对不同的服务混合使用这些手段,某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理,这完全取决于用户实行的安全策略。
3.屏蔽子网体系结构
屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与因特网隔离开。
堡垒主机是用户网络上最容易受侵袭的计算机。任凭用户尽最大的力气去保护它,它仍然最有可能被侵袭,这是因为它的结构决定的。如果在屏蔽主机体系结构中,用户的内部网络对来自用户的堡垒主机的侵袭门户洞开,那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其他内部计算机之间没有其他的防御手段时(除了它们可能有的主机安全之外,这通常是非常少的),如果有人成功地侵入屏蔽主机体系结构中的堡垒主机,那就可以毫无阻挡地进入内部系统了。
通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的影响。可以说,它只给入侵者一些访问的机会,但不是全部。
屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网,一个位于周边网与内部的网络之间,另一个位于周边网与外部网络之间(通常为因特网),其结构如图9.11所示。
图9.11 屏蔽子网结构
为了侵入用这种类型的体系结构构筑的内部网络,侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机,他仍然必须通过内部路由器,在此情况下,整个系统中不存在损害内部网络的单一的易受侵袭点。作为入侵者,只是进行了一次访问。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
