06 逻辑网络设计.ppt

应用级防火墙的优点在于，用户和服务器之间不会有直接的IP报文交换，所有的数据均由防火墙中转，并提供鉴别、日志与审计的功能，增强了安全性。并且，代理服务器在应用层作用，控制度可以达到特定用户和特定服务的请求，服务粒度比较细致。 应用级防火墙的缺点在于，效率低下。对于特定的服务需要特制代理程序。当防火墙不能工作时，对应的代理服务也就不能使用。 构件模块：电路级网关 电路级网关(Circuit Gateway )用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包。 另外，电路级网关还提供一个重要的安全功能：网络地址转移(NAT)，将所有内网IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关： 一种是由一台主机充当筛选路由器，另一台充当应用级防火墙。 另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。 电路级网关象电缆线一样，在内部和外部连接之间来回复制数据。 电路级网关 内部主机 外部主机 电路级网关 in in in out out out 外部连接 内部连接 非军事化区(DMZ) DMZ（demilitarized zone ）位于企业内部网络和外部网络之间的小网络区域，它是为内部网络放置一些必须公开的服务器设施而划分的，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，就是这个DMZ区域。 DMZ区示意图 DMZ区 Internet 专用内网 堡垒主机 外部路由器 内部路由器 几种典型的防火墙设计 屏蔽路由器模式：在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为“屏蔽路由器”。 这种防火墙早期非常流行，主要是因为很多公司已经具备了路由器，但没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如下图所示。 屏蔽路由器防火墙 Internet 专用内网 屏蔽路由器 双宿主机模式 它不是用真正的硬件防火墙来实现的，而是通过在一台称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“，就是指堡垒主机同时连接着一个内、外部网络，担当起全部的网络安全维护责任。网络拓扑结构如下图所示。 在堡垒主机上安装的服务最少，只需要安装一些与包过滤功能有关的软件，满足一般的网络安全防护即可。它所拥有权限最少，这样就可避免一旦黑客攻占了堡垒主机后，迅速控制内部网络的不良后果。因为控制权限低，黑客虽然攻陷了堡垒主机，但仍不能拥有什么过高的网络访问权限，也就不至于给内部网络造成太大危害。 双宿主机型防火墙 Internet 专用内网 堡垒主机 子网屏蔽模式 这种方式是在主机过滤方式中再增加一层过滤子网的安全机制，使内网和外网之间有两层隔断。这种方式能减轻外部攻击者击破堡垒机，给内网带来的压力。在最简单的子网过滤结构中，堡垒机位于过滤子网上，使用两台过滤路由器，一台位于过滤子网与内网之间，另一台位于过滤子网与外网之间。这样，整个防火墙就不会因一点被攻破而整个瘫痪。过滤子网限制了外网用户在内网中的漫游能力，也限制了内网用户在外网中的漫游能力。就象相隔地形复杂的开阔缓冲地带，因而称为缓冲带或非军事区（Demilitarized zone, DMZ）。所以，这种防火墙有称为DMZ方式。 专用内网 子网屏蔽防火墙 防火墙 Internet 堡垒主机 外部路由器 内部路由器 子网屏蔽防火墙评价 子网屏蔽防火墙有如下重要的优点： 入侵者必须攻破三个独立的设备，即外部路由器、堡垒主机、内部路由器，才能进入内部网； 因为外部路由器只将DMZ网络通知给Internet，外网上的黑客是看不见内网的存在的； 因为内部路由器只将DMA网络通知给内网用户，内网用户也看不见外网的存在，也就不能使用外网。 因为包过滤路由器（外部路由器）将数据导流给DMZ网络上指定的系统，堡垒主机就没必要采用双宿技术了。 内部路由器作为内网和外网之间最后一道防火墙，它支持比双宿主机更大的数据包吞吐量。 由于DMZ网络是与内网不同的网络，堡垒主机上应安装网络地址翻译器（NAT），一避免对专用网的重新编码或重新分割子网。 9 冗余设计 冗余可以简单地理解为备用。 为什么需要冗余呢？这是因为网络中存在单故障点，即使是强壮的分层结构设计的网络也存在。所谓单故障点是指其故障能导致隔离用户和服务的任意设备、设备上的接口或链接。 冗余提供备用链接以绕过那些故障点，