Chinaunix首页 | 论坛 | 博客
  • 博客访问: 832507
  • 博文数量: 328
  • 博客积分: 7000
  • 博客等级: 少将
  • 技术积分: 3810
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-15 22:00
文章分类

全部博文(328)

文章存档

2009年(2)

2008年(84)

2007年(207)

2006年(35)

我的朋友

分类: 网络与安全

2007-04-07 07:12:03

二、几种典型的防火墙设计

  在防火墙已走过的历史中,主要出现过以下几种设计结构模式,它们各自代表着相应时期的防火墙技术。

  1、屏蔽路由器模式

  这是最初的防火墙设计方案,它不是采用专用的设备部署的,而是在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为”屏蔽路由器“。

  一个屏蔽路由器是最简单的防火墙策略。这个方法在防火墙概念提出初期非常流行,主要是因为很多公司已经具备了这样的硬件条件,也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如图4所示。


图4

  在图中担当屏蔽路由器角色的就是原有路由器,在其中的防火墙包过滤配置中,可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。
 
  这种防火墙方案有个最大的缺点就是配置复杂,非专业人员很难正确、有效地配置。如果采用这种措施,就需要对TCP/IP有很好的理解,并能够在路由器上正确地进行有关数据包过滤的设置。如果不能够正确地进行配置,危险的数据包就有可能透过防火墙进入内部局域网。如果这是唯一的安全设备,那么黑客们将非常容易地攻破系统,在局域网里为所欲为。另外一点值得注意的就是采用这种措施,内部网络的IP地址并没有被隐藏起来,并且它不具备监测,跟踪和记录的功能。 

  当然,如果经费有限而且非常急切地需要一个防火墙的解决方案,这个方法能够使花费最少,并可以使用现有的路由器。同时,这也是进一步进行防火墙措施的一个良好开端。当增加别的网络安全设备的时候,它也还可以使用。
 
  2、 双宿主机模式

  这种模式也有称”双穴主机模式“。它是一种非常简单的防火墙模式,它不是用真正的硬件防火墙来实现的,它是通过在一台俗称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“,就是指堡垒主机同时连接着一个内、外部网络,担当起全部的网络安全维护责任。网络拓扑结构如图5所示。


图5

  在图中起安全防护作用的堡垒主机其实就是一台计算机,为了自身的安全,在这台堡垒主机上安装的服务最少,只需要安装一些与包过滤功能有关的软件,满足一般的网络安全防护即可。它所拥有权限最少,这样就可避免一旦黑客攻占了堡垒主机后,迅速控制内部网络的不良后果。因为控制权限低,黑客虽然攻陷了堡垒主机,但仍不能拥有什么过高的网络访问权限,也就不至于给内部网络造成太大危害。

  在这种双宿主机模式还有的,应用于对多个内部网络或网段的维护。就是一个堡垒主机同时连接着一个外部网络和两个或以上内部网络(或网段)。这就需要在堡垒主机上安装多块网卡。

3、屏蔽主机模式 

  由于前一种”屏蔽路由器“防火墙方案过于单调,很容易被黑客攻击,所以在后期的防火墙技术中,又增加一道安全防线,在路由器后增加了一个用于应用安全控制的计算机,充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式,又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络网络拓扑结构如图6所示。


图6

  这种设计采用屏蔽路由器和堡垒主机双重安全设施,所有进出的数据都要经过屏蔽路由器和堡垒主机,保证了网络级和应用级的安全。路由器进行包过滤,堡垒主机进行应用安全控制。这是一种很可靠的设计,一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能,在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。
 
  采用这种设计作为应用级网关(代理服务器),可以使用网络地址转换(NAT)技术来屏蔽内部网络。可以更进一步,建立”屏蔽多宿主机防火墙“模式。在这种结构中,堡垒主机可以连接多个内部网络或网段,也就需在堡垒主机上安装多块网卡。它同样可以使内部网络在物理上和外部网络断开,所以也可以达到保护内部网络的目的。多宿主机防火墙网络拓扑结构如图7所示。


4、 非军事区结构模式 

  在前面的防火墙技术中,我们已介绍了DMZ(非军事区)技术。网络设备开发商,利用这一技术,开发出了相应的防火墙解决方案。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如图8所示。


图8

  DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。

  在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。 

  以上介绍了目前通常所见的几种防火墙设计方案,当然,没有完美的防火墙设计。每个网络在商业模式上都是独特的,防火墙也应该按照公司的特别要求而制作。当设计一个防火墙方案的时候,必须考虑很多的因素,包括费用,培训,安全,技术和完成所需要的时间。随着网络设备功能的增强,在新型的防火墙方案中通常可以考虑采用以下几种合并方案:

  ●使用多堡垒主机
  ●合并内部路由器与外部路由器
  ●合并堡垒主机与外部路由器
  ●合并堡垒主机与内部路由器
  ●使用多台内部路由器
  ●使用多台外部路由器
  ●使用多个周边网络
  ●使用双重宿主主机与屏蔽子网

阅读(1920) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~