6.3防火墙的体系结构.pptxVIP

6.3 防火墙的体系结构;;基于双重宿主主机结构是最基本的防火墙系统结构。该体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至少有两个网络接口。 这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另一个网络发送IP数据包，但是，双重宿主主机防火墙体系结构禁止这种功能。 IP数据包从一个网络并不是直接发送到其他网络，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。这样，内外网络直接的IP数据流完全在双宿主主机的控制之中。;双重宿主主机的防火墙系统结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络，如图。 ;双重宿主主机体系结构提供来自多个网络相连的主机的服务，而屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相联的主机的服务。在这种体系结构中，主要的安全由数据包过滤提供。如图： ;　　在这种结构中，堡垒主机位于内部网络。一般情况下，过滤路由器可按如下规则进行配置： 　　* 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。 　　* 任何外部网(或Internet)的主机只能与内部网络的堡垒主机建立连接。 　　* 任何外部系统对内部网络的操作都必须经过堡垒主机。同时，堡垒主机本身要求要有较全面的安全保护。 ;　　由于这种结构允许包从外部网络直接传送到内部网，因此这种结构的安全控制看起来似乎比双重宿主主机结构差。在双重宿主主机结构中，外部网络的包理论上不可能直接抵达内部网。 但实际上，应用双重宿主主机结构防护数据包从外部网络进入内部网络也很容易失败，并且这种失败是随机的，所以无法有效地预先防范。一般来说，屏蔽主机型结构比双宿主主机结构能提供更好的安全保护，同时操作也更加简便。;在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：堡垒主机是因特网上的主机连接到内部网络系统的桥梁，例如，传送电子邮件。 即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将这些连接到这台堡垒主机上。因此堡垒主机需要拥有高等级的安全。 ;数据包过滤也允许堡垒主机开放可以允许的连接（什么是“可允许”将由用户的站点的安全策略决定）到外部世界．在屏蔽的路由器中数据包过滤配置可以按下列方式之一执行．（１）允许其他的内部主机为了某些服务与因特网上的主机连接（即允许那些已经由数据包过滤的服务． （２）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）．;用户可以针对不同的服务混合使用这些手段，某些服务可以被允许直接由数据包过滤，而其他服务可以被允许间接地经过代理．这完全取决于用户实行的安全策略． 因为这种体系结构允许数据包从因特网向内部网络的移动，所有它的涉及比没有外部数据包能达到内部网络的双重宿主主机体系结构似乎是更冒风险。实际上，双重宿主主机体系结构在防备数据包从外 部网络传过内部网络时容易产生失败，不大可能防备黑客侵袭。;然而，比较其他体系结构，这种体系结构也有一些特点，主要是如果侵袭着没有办法侵入堡垒主机，而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下，路由器统一出现一个单点失效。 如果路由器被损害，则整个网络对侵袭着是开放的。;6.3.3 屏蔽子网体系结构;该体系结构的最简单形式为：两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。;（1）周边网络 周边网络是一个安全层，是在外部网络与用户的被保护的内部网络之间的附加网络。如果侵袭着成功地侵入用户的防火墙的外层领域，周边网络在侵袭着与用户的内部系统之间提供一个附加的保护层。;（2）堡垒主机 在屏蔽子网体系结构中，用户把堡垒主机连接到周边网，这台主机既是接收来自外界连接的主要入口。对于出站服务可以按照如下任一方式进行。 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器； 设置代理服务器在堡垒主机上允许来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。反之亦然，但是禁止内部的客户端与外部之间直接通信。;（3）内部路由器 也被称为阻塞路由器，它保护内部的网络使之免受Internet和周边网络的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作，允许从内部网络到外部网络有选择的出站服务。 内部路由器所允许的堡垒主机和用户的内部网之间的服务可以不同于内部路由器所允许在外部网和用户的内部网之间的服务。限制堡垒主机的理由是减少由此而导致的受