浅析防火墙配置技术

浅析防火墙配置技术

作者：郑伟

来源：《电脑知识与技术·学术交流》2008年第15期

摘要：文章介绍了防火墙的配置结构的类型和特点，重点阐述了屏蔽子网防火墙和双宿主机防火墙配置技术和应用，最后，针对不同情况，提出了防火墙配置方案。

关键词：防火墙；配置技术

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)15-20ppp-0c

Brief Analysis Firewall Disposition Technology

ZHENG Wei

(Fire in Huaibei City Public Security Detachment,Huaibei 235000,China)

Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan.

Key words:Firewall;disposition;technology

1 引言

今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，从Internet到企业内网、从个人电脑到可上网的手机平台，没有地方是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。

但是防火墙不是一道用于心理安慰的屏障，只有会用防火墙才能够真正将威胁挡在门外，如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险

与麻烦。防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。相反，如果规则不正确，将适得其反。

2 防火墙配置技术

一般来说，防火墙由包过滤（静态的或动态的）和应用网关（或者是电路级网关或者应用级网关）组成，当前主要有：过滤路由器防火墙；主机过滤防火墙；屏蔽子网防火墙；双宿主机防火墙。

2.1 过滤路由器防火墙配置结构

在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明，但由于是在单机上实现，形成了网络中的“单失效点”。路由器的基本功能是转发分组，一旦过滤机能失效，被入侵后就会形成网络直通状态，任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效—安全”型，也违反了阻塞点原理。因此，我们认为这种防火墙尚不能提供有效的安全功能，仅在早期的因特网中应用。

2.2 主机过滤防火墙配置结构

这种防火墙由过滤路由器和运行网关软件的堡垒主机（指一个计算机系统，它是防火墙配置的一部分，并且是一个或数个应用网关的主机，它暴露于来自外部网络的直接攻击之中）构成。该结构提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间。

该主机可完成多种代理，如FTP、Telnet和WWW，还可以完成认证和交互作用，能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”，也是网络黑客集中攻击的目标，安全保障仍不理想。但是该结构防火墙具有可操作性强、投资少，安全功能容易实现和扩充，因而目前也有比较广泛的应用。

2.3 屏蔽子网防火墙配置结构

该防火墙是在主机过滤结构中再增加一层参数网络的安全机制，使得内部网络和外部网络之间有两层隔断。简而言之，一个屏蔽子网防火墙就是由两个屏蔽路由器构成，它们是用来创建一个称为屏蔽子网或非军事化区域（DMZ）的外部网络段。DMZ把堡垒主机看成是应用层网关，在堡垒主机上可以运行各种各样的代理服务器。除了外部服务器，也还有一个被屏蔽路由器所分开的内部网络段，内部服务器可以运行在连接到内部网络段的机器上。如图1所示。

在这种结构下，入侵者要攻击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机，它还必须通过内部网络路由器才能抵达内部网。这样，整个网络安全机制就不会因一点被攻击而全部瘫痪。

这种防火墙把主机的通信功能分散到多个主机组成的网络中，有的作为FTP服务器，有的作为E-mail服务器，有的作为WWW服务器，有的作为Telnet服务器，而堡垒主机则作为代理服务器和认证服务器置于周边网络中，以维护因特网与内部网络的连接，代理服务器和认证服务器是内部网络的第一道防线，内部路由器是内部网络的第二道防线，而把因特网的公共服务(如FTP服务器、Telnet服务器和WWW服务器及E-mail服务器等)置于周边网络中，也减少了内部网络的安全风险。

2.4双宿主机防火墙配置结构

在TCP/IP中，多宿主机拥有多个网络接口，每一个接口都连接在物理和逻辑上分离的不同网段上，而且可以在不同的网络段之间转发或路由IP宝，如果在多宿主机中不能转发或路由IP包，则不同的网络段间被隔绝，因此可以用来配置防火墙，使IP路由无效是相对简单和直截了当的任务。

双宿主机是多宿主机中最常见的一个例子，双宿主机是一种拥有两个连接到不同网络上的网络接口的防火墙，一个网络接口连接到外部的不可信任的网络上，另一个网络接口连接到内部的可信任的网络上，如图2所示

这种防火墙的最大的特点在于其IP转发和路由能够被取消，所以IP包不再可能在两个网段之间被路由，应用网关运行在堡垒主机（双宿主机）上，此外，一个屏蔽路由器被特别地放置在堡垒主机和外部网络之间，在这个配置中，堡垒主机的外部网络接口连接到一个外部网段