计算机网络应用 防火墙的体系结构

计算机网络应用防火墙的体系结构
防火墙主要应用结构可以分为包过滤型结构、双宿网关结构、屏蔽主机结构和屏蔽子网结构。

1．包过滤型结构
包过滤型结构是通过专用的包过滤路由器，或是安装了包过滤功能的普通路由器来实现的。

包过滤型结构对进出内部网络的所有信息进行分析，按照一定的安全策略对这些信息进行分析与限制，如图11-10所示。

图11-10 包过滤型结构
包过滤型结构处理速度快、费用低且对用户透明，结构简单，便于管理。

但是，包过滤型结构对于包过滤的判断只限于数据包的头信息，并不涉及包的内容，所以它只能阻止部分IP欺骗的数据包。

另外，包过滤结构的日志功能有限，不能从日志中发现黑客的攻击记录，并且配置比较烦琐。

2．双宿网关结构
连接了两个网络的多宿主机（具有多个网络连接的主机）称为双宿主机。

多宿主机是具有多个网络接口卡的主机，每个接口都可以和一个网络连接。

因为它能在不同的网络之间进行数据交换，因此也称为网关。

双宿网关结构是用一台装有两块网卡的主机作为防火墙，将外部网络与内部网络实现物理上的隔开，这台处于防火墙关键部位且运行应用级网关软件的计算机系统称为堡垒主机。

如图11-11所示，为双宿网关结构。

图11-11 双宿网关结构
双宿网关的结构的安全性较高，但入侵者一旦得到了双宿网关的访问权，即可入侵内部网络。

所以在设置该应用级网关时应该注意以下几点：
●在该应用级网关的硬件系统上运行安全可信任的安全操作系统。

●安全应用代理软件，保留DNS、FTP、SMTP等必要的服务，删除不必要的服务与应
用软件。

●设计应用级网关的防攻击方法与被破坏后的应急方案。

3．屏蔽主机结构
屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连，从而不允许它们直接与内部网络的主机相连，如图11-12所示。

因此，屏蔽主机结构是由包过滤路由器和堡垒主机组成的。

屏蔽主机可以实现了网络层和应用层的安全，并且安全性较高。

但是堡垒主机一旦被绕过，则堡垒主机和其他内部网络的主机之间没有任何保护网络安全的措施，内网将暴露。

图11-12 屏蔽主机结构
外部某主机想要访问内部网络，该主机发送了一个请求包。

该请求包被包过滤路由器接收到以后，先从数据包中得到目的地址，检查这个IP地址是否合法。

如果合法，再查询转发路由表，得到该IP地址相应的转发目的地址即为堡垒主机IP地址，则将该数据包转发到这个堡垒主机。

然后，再通过其判断这个请求的主机是否位于该内部网络的合法用户。

如果合法，则将该请求数据包转发到内网。

这个数据包实际的转发路径应为“客户主机-包过滤路由器-堡垒主机-被请求的内网计算机”。

如果内部网络的主机要访问外部网络的服务器，也要经过堡垒主机与包过滤路由器的检查。

4．屏蔽子网结构
屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。

在该系统中，从外部包过滤由器开始的部分是由网络系统所属的单位组建的，属于内部网络，也称为“DMZ网络”。

其中，外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子网。

而内部包过滤路由器和内部堡垒主机则用于对内部网络进行进一步的保护。

如图11-13所示，为屏蔽子网结构，其优点是支持网络层和应用层的安全功能。

图11-13 屏蔽子网结构。