防火墙体系结构.pptVIP

2021/3/17 * 3.4 屏蔽子网防火墙 如果堡垒主机位于周边网络上,即使入侵者控制了堡垒主机,也只能侦听到 Internet和堡垒主机之间的会话 内部主机和堡垒主机之间的会话 内部网络之间的通信仍然是安全的,因为内部网络上的数据包虽然在内部网络上是广播式的,但内部过滤路由器会阻止这些数据包流入周边网络(发往周边网络和Internet的数据包除外) 2021/3/17 * 3.4 屏蔽子网防火墙 堡垒主机 位于周边网络 运行各种各样的代理服务器 可以被认为是应用层网关,是这种防御体系的核心 入站服务,要求所有服务都通过堡垒主机 出站服务,不一定要求所有服务都经过堡垒主机,可以由内部路由器和Internet直接通话 2021/3/17 * 3.4 屏蔽子网防火墙 内部路由器 又称阻塞路由器,位于内部网和周边网之间 用于保护内部网不受周边网和因特网的侵害 完成防火墙的大部分的过滤工作 2021/3/17 * 3.4 屏蔽子网防火墙 外部路由器 保护周边网上的主机 外部路由器还可以防止部分IP欺骗 内部路由器分辨不出一个声称从非军事区来的数据包是否真的从非军事区来,而外部路由器很容易分辨出真伪 2021/3/17 * 3.4 屏蔽子网防火墙 分层系列的周边网 一些站点还可以在外部与内部网络之间建立分层系列的周边网 信任度低的和易受侵袭的服务被放置在外层的周边网上,远离内部网络 在周边网络中设置堡垒主机 这样增加了内部网络的安全性,即使侵袭者侵入外层周边网的机器,由于在外层周边网和内部网络之间有了附加安全层,也将难于成功地侵袭内部的机器 2021/3/17 * 3.5 其它防火墙结构 一个堡垒主机和一个非军事区 合并内部路由器和堡垒主机 合并外部路由器和堡垒主机 合并DMZ的内部路由器和外部路由器 两个堡垒主机和两个非军事区 使用多台堡垒主机 使用多台外部路由器 … 2021/3/17 * 一个堡垒主机和一个非军事区 基于屏蔽子网结构 合并内部路由器和堡垒主机 合并外部路由器和堡垒主机 2021/3/17 * 合并内部路由器和堡垒主机 堡垒主机有两个网络接口: 一个接到非军事区(DMZ) 一个接到内部网络 过滤路由器 一端接到Internet 一端接到非军事区 把外部网络传到内部网络的所有网络流量发送给堡垒主机,过滤规则允许的网络流量被转发给内部网络,其他所有流量被丢弃 2021/3/17 * 优点 非军事区上没有主机,只有两个网络接口,可以避免非军事区中的数据被侦听 堡垒主机使用双宿主机,提高了系统的安全性,可以防止入侵者绕过堡垒主机 缺点 一旦堡垒主机被入侵,堡垒主机和内部网络之间没有任何安全保护 2021/3/17 * 合并外部路由器和堡垒主机 双宿堡垒主机执行外部路由器的功能 缺乏专用路由器的灵活性和性能 在对WAN的速度要求不过的情况下,双宿主机可以胜任路由工作 缺点 堡垒主机完全暴露在Internet上 2021/3/17 * 合并DMZ的内部/外部路由器 只有拥有强大的路由器时,才可以合并内部路由器和外部路由器 是目前常见的一种结构,一个路由器上至少有3个网络接口 一个接内部网 一个接外部网 一个接DMZ(公共信息服务器、代理服务器) 2021/3/17 * 实例 Netscreen公司产品有Netscreen-10、Netscreen-100、Netscreen-1000… Netscreen-10简介 Netscreen-10是一台集成防火墙、VPN、NAT和流量管理功能于一体的Internet安全设备 有三个10Base-T以太网接口:信任端口(Trusted)、非信任端口(Untrusted)、非军事区端口(DMZ)和RS232诊断端口及PCMCIA插槽 配置模式有: 透明模式 两端口地址翻译模式 三端口地址翻译模式 2021/3/17 * 透明模式 适用于与Internet连接、其上所有设备都具有合法IP地址的网络 配置最为简洁,防火墙只起桥接作用,不需要路由,主机和路由器不需要重新配置,只需要把Netscreen防火墙直接插入到网络中即可 防火墙的Trusted端口与内部网络相联,Untrusted端口与外部网络相联,DMZ端口挂起 内部网络的所有地址不做任何变动,配置的关键在于策略的制定 2021/3/17 * 两端口地址翻译模式 适用于合法IP地址数量不多,而又有相当数量的网络设备需要连接Internet 防火墙具备路由功能。Trusted端口后面连接的内部网可以使用私有IP地址 2021/3/17 * 三端口地址翻译模式 防火墙连接三段网络,信任端口连接内部网,DMZ端口连接DMZ区,非信任端口连接外部网 公共服务器可以放置在DMZ区,既向外提供服务,又保证了内部网的安全 防火墙具备路由功能