第05篇 防火墙技术.pptVIP

5.4 防火墙体系结构 5.4.1 双宿主主机结构 　　在这种结构，有一台至少有两个网络接口卡的主机，通常将一个内部网络和外部网络分别连接在不同的网卡上，使内外网络不能直接通信。 从一块网卡上近来的IP包，经过一个安全检查后，如果是合法的，则转发到另一块网卡上，以实现网络的正常通信；如果不合法，则阻止通信。这样，内外网络直接的IP数据流完全在双宿主主机的控制之中，如图8所示。 图8 双宿主主机防火墙结构 5.4.2 基于代理型结构 　　代理型结构中由一台主机同外部网连接，该主机代理内部网和外部网的通信。 同时，代理型结构中还包括过滤路由器，即代理服务器和路由器共同构建了一个网络安全边界防御架构，如图9所示。 图9 代理型防火墙结构 　　在这种结构中，代理主机位于内部网络。过滤路由器按如下规则配置： 　　* 允许内部主机为某些类型的服务与外部网络建立直接连接。 　　* 任何外部网的主机只能与内部网络的代理主机建立连接。 　　* 任何外部系统对内部网络的操作都必须经过代理主机。 同时，代理主机本身要求要有较全面的安全保护。 　　一般来说，代理型结构比双宿主主机结构提供更好的安全保护，同时操作也更加简便。 代理型结构的缺点是，只要攻击者设法攻破了代理主机，那么对于攻击者来说，整个内部网络与代理主机之间就没有任何障碍了，攻击者变成了内部合法用户，完全可以侦听到内部网络上的所有信息。 5.4.3 基于屏蔽子网的结构 　　如图10所示，屏蔽子网结构是在代理型结构中增加了一层周边网络，使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网，减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机，也不能侦听到内部网络的信息，不能对内部网络直接操作。 基于屏蔽子网的防火墙的特点是： 　　* 应用代理位于屏蔽子网中，内部网络向外公开的服务器也放在屏蔽子网中，外部网络只能访问屏蔽子网，不能直接进入内部网络。 　　* 两个包过滤路由器的功能和配置是不同的，包过滤路由器A的作用是过滤外部网络对屏蔽子网的访问。包过滤路由器B的作用是过滤屏蔽子网对内部网络的访问。所有外部网络经由屏蔽子网对内部网络的访问，都必须经过代理服务器的检查和认证。 　　* 优点：安全级别最高。 　　* 缺点：成本高，配置复杂。 图10 屏蔽子网防火墙结构 * 第5章　防火墙的原理与应用 5.1 防火墙概述 5.2 防火墙主要技术 5.3 防火墙技术指标 5.4 防火墙体系结构 5.5 防火墙部署与应用案例 5.6 小结 思考与练习 5.1 防 火 墙 概 述 5.1.1 防火墙技术背景 　　目前，各公司、企业、学校都通过互联网络与客户、合作伙伴进行信息交流，但是，一些敏感数据可能泄露给第三方，特别是连上因特网的网络将面临黑客的攻击和入侵。 为应对网络威胁，各个机构将自己的网络与公共的不可信任的网络进行隔离，其方法是根据网络的安全程度和需要保护的对象，划分为若干安全区域，有： 　　* 公共外部网络，如Internet。 　　* 内联网(Intranet)，如某公司或学校的专用网络，网络访问限制在组织内部。 　　* Extranet，是内联网的扩展延伸，常用作与合作伙伴之间进行通信。 　　* 军事缓冲区域（DeMilitarized Zone，DMZ ） ，是介于内部网络和外部网络之间的网络，常放置公共服务设备，向外提供信息服务。 　　在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，就能实现隔离有害通信的作用，进而可以阻断网络攻击。这种安全设备的功能类似于防火使用的墙，俗称为“防火墙”，一般安装在不同的安全区域边界处，用于控制网络通信，由专用硬件或软件系统组成。 5.1.2 防火墙工作原理 　　防火墙是由一些软、硬件组合而成的网络访问控制器，根据一定的安全规则来控制流过防火墙的数据包，如禁止或转发，能够屏蔽受保护网络的信息、拓扑结构和运行状况，起到安全屏障的作用。 防火墙一般用来将内部网络与外部网络互相隔离，限制网络互访，保护内部网络，如图1所示。 图1 防火墙部署安装示意图 　　防火墙根据数据包的信息控制网络访问：如果数据包符合访问控制规则，允许通过防火墙，否则不允许，如图2所示。防火墙的安全策略有两种类型，即： 　　(1)允许符合安全规则的数据包通过，其他数据包禁止； 　　 (2) 禁止不符合安全规则的数据包通过，其他数据包允许。 　 图2 防火墙工作示意图 防火墙简化了网络的安全管理。如果没有它，网络中的每个主机都处于直接受攻击的范围之内。为了保护主机的安全，就必须在每台主机上安装安全软件。