在实际网络环境中部署防火墙时,通常采用单一包过滤防火墙、单穴堡垒主机、双穴堡垒主机和屏蔽子网结构等几种部署方式中的一种。
1.单一包过滤防火墙结构
单一包过滤防火墙结构是最简单的基于路由器的包过滤体系结构,常见于家庭网络或小企业网络,防火墙上通常结合了网络地址转换(NAT)、路由器和包过滤的功能。由于NAT的存在,外网主机无法直接向内部主机发起连接,因此无状态包过滤防火墙可基本满足内部主机访问外部网络的安全需求。此种结构的主要弱点在于路由器,如果路由器被入侵,则整个内部网络将受到威胁。
2.单穴堡垒主机结构
单穴堡垒主机结构增加了堡垒主机的角色,堡垒主机实际是扮演代理防火墙的角色,单穴指堡垒主机仅有一个接口。
堡垒主机需要具备的主要功能:
(1)高可靠性和高安全性,硬件结构和操作系统都必须是安全的,难以被攻击。
(3)具有用户认证功能。
(4)具有访问控制功能,确定网络访问范围。(www.xing528.com)
(5)详尽的日志和审计记录功能。
单穴堡垒主机结构将包过滤防火墙的1号接口配置为只接收来自堡垒主机的报文并只发送目标是堡垒主机的报文,强制所有内部网络与外部网络的通信只能通过堡垒主机转发。堡垒主机可以在应用层监控内部网络与外部网络的全部通信。
攻击者单独攻击包过滤防火墙无法对内部网络造成威胁,只能修改包过滤规则阻断与堡垒主机的通信,从而阻断内部网络与外部网络联系。如果内部主机已经明确设置通过代理访问外部网络,那么攻击者即使修改过滤规则也无法直接与内部网络通信,必须进一步攻击堡垒主机才能奏效,因此该体系结构相对于单一包过滤防火墙有更高的安全性。该类结构的主要问题是,堡垒主机直接暴露在攻击者面前,一旦堡垒主机被攻陷,整个内部网络则受到威胁。
3.双穴堡垒主机结构
双穴堡垒主机结构无须在包过滤防火墙做规则配置,即可迫使内部网络与外部网络的通信经过堡垒主机,避免了包过滤防火墙失效导致内部网络可能与外部网络直接通信的情况。双穴指具有两个接口,堡垒主机同时连接两个不同网络。即使包过滤防火墙出现问题,内部网络和外部网络之间的通信链路也必须经过堡垒主机,而单穴堡垒主机结构可能会因为内部主机没有明确设置代理,导致被攻击者绕过堡垒主机直接攻击,因此双穴堡垒主机结构相比单穴堡垒主机结构安全性更高,攻击者只有通过堡垒主机和包过滤防火墙两道屏障才能够成功。
4.屏蔽子网结构
屏蔽子网结构进一步根据安全等级将内部网络划分为不同子网,内网1的安全系数更高,攻击者如果想入侵内网1,必须入侵两个包过滤防火墙及一台堡垒主机,
攻击成功的难度系数极大增加。内网2可以理解为准军事区域(Demilitarized Zone,DMZ),将内网1和外部网络隔开,充当内网1和外部网络的缓冲区,攻击者要想进入内网1必须穿过内网2,此时攻击者被发现的概率会极大增加。这种结构具有很高的安全性,因此被广泛采用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
