当前位置: 备案域名出售 > 建站教程>正文

防火墙体系结构

防火墙体系结构

1.双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。
防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿主主机通信。通过双重宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。
双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。右图显示这种体系结构。
2.主机过滤体系结构
在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。另外,主机过滤结构还有一台单独的路由器(过滤路由器)。在这种体系结构中,主要的安全由数据包过滤提供,其结构如右图所示。
3.子网过滤体系结构
子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。
子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网,一个位于参数网与内部的网络之间,另一个位于参数网与外部网络之间。
(1)参数网络
参数网络是在内外部网之间另加的一层安全保护网络层。如果入侵者成功地闯过外层保护网到达防火墙,参数网络就能在入侵者与内部网之间再提供一层保护。
如果入侵者仅仅侵入到参数网络的堡垒主机,他只能偷看到这层网络(参数网络)的信息流(看不到内部网的信息),而这层网络的信息流仅从参数网络往来于外部网或者从参数网络往来于堡垒主机。因为没有纯粹的内部信息流(内部主机间互传的重要和敏感的信息)在参数网络中流动,所以即使堡垒主机受到损害也不会让入侵者破坏内部网的信息流。
(2)堡垒主机
在子网过滤结构中,我们将堡垒主机与参数网络相连,而这台主机是外部网服务于内部网的主节点。它为内部网服务的主要功能有:
①它接收外来的电子邮件再分发给相应的站点;
②它接收外来的FTP,并连到内部网的匿名FTP服务器;
③它接收外来的有关内部网站点的域名服务。
向外的服务功能可用以下方法来实施:
①在内、外部路由器上建立包过滤,以便内部网的用户可直接操作外部服务器;
②在主机上建立代理服务,在内部网的用户与外部的服务器之间建立间接的连接。
(3)内部路由器
内部路由器的主要功能是保护内部网免受来自外部网与参数网络的侵扰。
内部路由器完成防火墙的大部分包过滤工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则,可允许的服务是以下这些外向服务中的若干种,如:Telnet、FTP、WAIS、Archie、Gopher或者其它服务。
内部路由器可以设定,使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同。
(4)外部路由器
外部路由器既可保护参数网络又保护内部网。实际上,在外部路由器上仅做一小部分包过滤,它几乎让所有参数网络的外向请求通过,而外部路由器与内部路由器的包过滤规则是基本上相同的。
外部路由器的包过滤主要是对参数网络上的主机提供保护。然而,一般情况下,因为参数网络上主机的安全主要通过主机安全机制加以保障,所以由外部路由器提供的很多保护并非必要。
外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网,而其实它是来自外部网。 

« 上一篇下一篇 »