防火墙体系结构的基本了解

作者:课课家教育更新于： 2019-02-27 09:10:19

　　在日常的上网中，对于防火墙我们经常都会用到，使用防火墙可以比保证本地网络资源的安全，而防火墙体系结构对于整个防火墙来说是非常重要的，在这里我们就来讲讲防火墙的主要的三种体系结构形式。

　　这三种体系结构分别为双重宿主主机体系结构，屏蔽主机体系结构和屏蔽子网体系结构。在介绍这三种体系结构之前，我们先来了解一下防火墙体系结构中几个常见的术语。

　　(1)堡垒主机：是指可能直接面对外部用户攻击的主机系统，在防火墙体系结构中，特指那些处于内部网络的边缘，并且暴露于外部网络用户面前的主机系统。

　　(2)双重宿主主机：是指通过不同网络接口连入多个网络的主机系统，又称为多穴主机系统，一般来说双重宿主主机是实现多个网络之间互联的关键设备。

　　(3)周边网络：是指在内部网络、外部网络之间增加的一个网络，一般来说，对外提供服务的各种服务器都可以放在这个网络里，也被称为非武装区域。

　　1. 双重宿主主机体系结构

  防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务，一个典型的双重宿主主机体系结构如图1所示。

图1 双重宿主主机体系结构

　　双重宿主主机是一种防火墙，这种防火墙主要有2个接口，分别连接着内部网络和外部网络，位于内外网络之间，阻止内外网络之间的IP通信，禁止一个网络将数据包发往另一个网络。两个网络之间的通信通过应用层数据共享和应用层代理服务的方法来实现，一般情况下都会在上面使用代理服务器，内网计算机想要访问外网的时候，必需先经过代理服务器的验证。这种体系结构是存在漏洞的，比如双重宿主主机是整个网络的屏障，一旦被黑客攻破，那么内部网络就会对攻击者敞开大门，所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登陆的可能性。

　　双重宿主主机体系结构防火墙的优点在于网络结构比较简单，由于内、外网络之间没有直接的数据交互而较为安全;内部用户账号的存在可以保证对外部资源进行有效控制;由于应用层代理机制的采用，可以方便地形成应用层的数据与信息过滤。

　　2. 屏蔽主机体系结构

  屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护，一个典型的屏蔽主机体系结构如图2所示。

图2 屏蔽主机体系结构

　　防火墙由一台过滤路由器和一台堡垒主机构成，防火墙会强迫所有外部网络对内部网络的连接全部通过包过滤路由器和堡垒主机，堡垒主机就相当于是一个代理服务器，也就是说，包过滤路由器提供了网络层和传输层的安全，堡垒主机提供了应用层的安全，路由器的安全配置使得外网系统只能访问到堡垒主机，这个过程中，包过滤路由器是否正确配置和路由表是否收到安全保护是这个体系安全程度的关键，如果路由表被更改，指向堡垒主机的路由记录被删除，那么外部入侵者就可以直接连入内网。

　　屏蔽主机体系结构的优点如下面几个方面：

　　(1)屏蔽主机体系结构比双重宿主主机体系结构具有更高的安全特性。

　　(2)内部网络用户访问外部网络较为方便、灵活，在被屏蔽路由器和堡垒主机不允许内部用户直接访问外部网络，则用户通过堡垒主机提供的代理服务访问外部资源。

　　(3)由于堡垒主机和屏蔽路由器同时存在，使得堡垒主机可以从部分安全事务中解脱出来，从而可以以更高的效率提供数据包过滤或代理服务。

　　3. 屏蔽子网体系结构

  屏蔽子网体系结构是最安全的防火墙体系结构，一个典型的屏蔽子网体系结构如图3所示。

图3 屏蔽子网体系结构

　　屏蔽子网体系结构主要由4个部件组成，分别为周边网络、外部路由器、内部路由器以及堡垒主机。屏蔽主机体系结构相比，它多了一层防护体系就是周边网络，周边网络相当与是一个防护层介于外网和内网之间，周边网络内经常放置堡垒主机和对外开放的应用服务器，比如web服务器。

　　屏蔽子网体系结构的防火墙的是DMZ，通过DMZ网络直接进行信息传输是被严格禁止的，外网路由器负责管理外部网到DMZ网络的访问，为了保护内部网的主机，DMZ只允许外部网络访问堡垒主机和应用服务器，把入站的数据包路由到堡垒主机。不允许外部网络访问内网。内部路由器可以保护内部网络不受外部网络和周边网络侵害，内部路由器值允许内部网络访问堡垒主机，然后通过堡垒主机的代理服务器来访问外网。外部路由器在DMZ向外网的方向只接受由堡垒主机向外网的连接请求。在屏蔽子网体系结构中，堡垒主机位于周边网络，为整个防御系统的核心，堡垒主机运行应用级网关，比如各种代理服务器程序，如果堡垒主机遭到了入侵，那么有内部路由器的保护，可以使得其不能进入内部网络。

　　屏蔽子网体系结构与双重宿主主机系统结构和屏蔽主机体系结构相比具有明显的优越性，这些优越性体现在一下几个方面：

　　(1)由外部路由器和内部路由器构成了双层防护体系，入侵者难以突破。

　　(2)外部用户访问服务资源时无需进入内部网络，在保证服务的情况下提高了内部网络安全性。

　　(3)外部路由器和内部路由器上的过滤规则复制避免了路由器失效产生的安全隐患。

　　(4)堡垒主机由外部路由器的过滤规则和本机安全机制共同防护，用户只能访问堡垒主机提供的服务。

　　(5)即使入侵者通过堡垒主机提供服务中的缺陷控制了堡垒主机，由于内部防火墙将内部网络和周边网络隔离，入侵者也无法通过监听周边网络获取内部网络信息。

　　除了以上经典的 三种体系结构之外，防火墙还存在着许多种经典结构的变化形式，在这里就不展开来讲了，如果大家有兴趣，可以去搜索查看一下，也可以到课课家教育来学习更多的相关内容。