防火墙的体系结构(双宿主机防火墙)

非军事区为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段,这个网段被称为非军事区(DeMilitarizedZone,DMZ),也被称为周边网络,图5-15是DMZ示意图。DMZ是周边网络,是指在内部网络、

非军事区

为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段,这个网段被称为非军事区(DeMilitarized Zone,DMZ),也被称为周边网络,图5-15是DMZ示意图。

防火墙的体系结构(双宿主机防火墙)

DMZ是周边网络,是指在内部网络、外部网络之间增加的一个网络,对外提供服务的各种服务器都可以放在这个网络里。DMZ隔离内外网络,并为内外网之间的通信起到缓冲作用。

周边网络的存在,使得外部用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露至外部网络;

同时,周边网络与外部网络或内部网络之间都存在着数据包过滤,这样为外部用户的攻击设置了多重障碍,确保了内部网络的安全。

堡垒主机

在防火墙体系结构中,经常提到堡垒主机(Bastion Host,如图5-15所示)。

堡垒主机得名于古代战争中用于防守的坚固堡垒,它位于内部网络的最外层,像堡垒一样对内部网络进行保护。

堡垒主机是一种配置了安全防范措施的网络上的计算机,为网络之间的通信提供了一个阻塞点。如果没有堡垒主机,网络之间将不能相互访问。

堡垒主机是指可能直接面对外部用户攻击的主机系统,在防火墙体系结构中,堡垒主机要高度暴露,是网络上最容易遭受非法入侵的设备。

所以防火墙设计者和管理人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的安全要给予特别的注意。

一般来说,堡垒主机上提供的服务越少越好,因为每增加一种服务就增加了被攻击的可能性。

双重宿主主机

双重宿主主机是指至少拥有两个以上网络接口且每个网络接口连接不同的网络的计算机系统,因此也称为多穴主机系统。

一般来说,双重宿主主机是实现多个网络之间互连的关键设备,如网桥是在数据链路层实现互连的双重宿主主机,路由器是在网络层实现互连的双重宿主主机,应用层网关是在应用层实现互连。

1. 双宿主主机体系结构

双宿主主机(Dual-Homed Host)体系结构如图5-16所示。

防火墙的体系结构(双宿主机防火墙)

双宿主主机位于内部网和Internet之间,一般来说,是用一台装有两块网卡的堡垒主机做防火墙。

这两块网卡各自与受保护网和外部网相连,分别属于内外两个不同的网段。

堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。

双宿主机网关堡垒主机的系统软件可用于维护系统日志。

双宿主主机这种体系结构非常简单,一般通过代理(Proxy)来实现,或者通过用户直接登录到该主机来提供服务。

双宿主主机体系结构的特点

防火墙主体是带有内部网络和外部网络接口主机系统,双宿主主机具备成为内部网络和外部网络之间路由器的条件。但是,在内部网络与外部网络之间,数据包转发进程是被禁止运行的。

为了达到防火墙的基本效果,在双宿主主机系统中,任何路由功能是禁止的。双宿主主机采用应用代理防火墙技术,内部网络用户通过客户端代理软件访问外部网络资源,或者直接登录双宿主主机成为一个用户,利用该主机直接访问外部资源。

双宿主主机体系结构的优点

网络结构比较简单,由于内、外网络之间没有直接的数据交互而较为安全;内部用户账号可以有效控制外部资源;由于应用代理机制的采用方便地形成应用层的数据与信息过滤。

双宿主主机体系结构的缺点

用户需要登录到主机才能访问外部资源,主机资源消耗较大,用户访问外部资源较为复杂;用户机制存在安全隐患,并且内部用户无法借助于该体系结构访问新的服务;一旦外部用户入侵双宿主主机,则导致内部网络处于不安全状态。

2. 被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤技术实现内、外网络的隔离和对内网的保护,一个典型的被屏蔽的主机体系结构如图5-17所示。

防火墙的体系结构(双宿主机防火墙)

在被屏蔽主机体系结构中,有两道屏障:一是屏蔽路由器,二是堡垒主机。屏蔽路由器位于网络最边缘,负责与外网实施连接,参与外网的路由计算。

屏蔽路由器仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全。由于屏蔽路由器的存在,堡垒主机不再是直接与外网互连的双宿主主机,增加了系统的安全性。

堡垒主机位于内部网络,是唯一可以连接到外部网络系统的主机,也是外部用户访问内部网络资源必须经过的主机设备。

堡垒主机通过数据包过滤实现对内部网络的防护,并且仅仅允许通过特定的服务连接。堡垒主机可以提供代理功能,内部用户只能通过应用代理访问外部网络,堡垒主机成为外部用户唯一可以访问的内部主机。

被屏蔽主机体系结构的优点

具有更高的安全特性。由于屏蔽路由器在堡垒主机之外提供数据包过滤功能,使得堡垒主机要比双宿主主机相对安全,存在漏洞的可能性较小;同时,堡垒主机的数据包过滤功能限制外部用户只能访问特定主机上的特定服务,在提供服务的同时仍然保证了内部网络的安全。

内部网络用户访问外部网络方便、灵活。在屏蔽路由器和堡垒主机允许的情况下,用户直接访问外部网络。如果屏蔽路由器和堡垒主机不允许,内部用户通过堡垒主机代理服务访问外部资源。在实际应用中,两种方式综合运用,访问不同服务采用不同的方式。

由于堡垒主机和屏蔽路由器的同时存在,使得堡垒主机可以从部分安全事务中解脱出来,从而可以以更高的效率提供数据包过滤或代理服务。

被屏蔽主机体系结构的缺点

在被屏蔽主机体系结构中,外部用户在被允许的情况下可以访问内部网络,这样就存在着一定的安全隐患;与双宿主主机体系一样,一旦用户入侵堡垒主机,就会导致内部网络处于不安全状态;路由器和堡垒主机的过滤规则配置较为复杂,较容易形成错误和漏洞。

3. 被屏蔽子网体系结构

在双宿主主机体系结构和被屏蔽主机体系结构中,主机是最主要的安全缺陷,一旦主机被入侵,则整个内部网络都处于威胁之中,为解决这种安全隐患,出现了被屏蔽子网体系结构。

被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络,即周边网络,并且将堡垒主机都置于周边网络中,一个典型的被屏蔽子网体系结构如图5-18所示。

防火墙的体系结构(双宿主机防火墙)

被屏蔽子网体系结构防火墙比较复杂,主要包括四个部件:周边网络、外部路由器、内部路由器和堡垒主机。

周边网络

周边网络是位于不可信外部网络与可信内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间通过屏蔽路由器实现逻辑隔离,因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。

一般情况下,外部用户不能访问内部网络,仅能够访问周边网络中的资源,由于内部用户间通信的数据包不通过屏蔽路由器传递至周边网络,外部用户即使入侵了周边网络中的堡垒主机,也无法监听到内部网络的信息。

外部路由器

外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了针对外网用户对周边网络和内部网络访问的过滤规则。

例如,限制外网用户仅能访问周边网络不能访问内部网络,或者仅能访问内部网络中的部分主机。

外部路由器不过滤周边网络内发出的数据包,因为数据包来自于堡垒主机或内部路由器过滤后的内部主机数据包。外部路由器复制内部路由器上的规则,以避免内部路由器失效而造成负面影响。

内部路由器

内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户对周边网络和外部网络访问的过滤规则。

例如,部分内部网络用户只能访问周边网络不能访问外部网络等。

内部路由器复制了外部路由器上的内网过滤规则,以防止外部路由器过滤功能失效而造成的严重后果。

内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问,减少堡垒主机被入侵后可以影响的内部主机数量和服务的数量。

堡垒主机

在被屏蔽子网结构中,堡垒主机位于周边网络,向外部用户提供WWW、FTP等服务,接受外部网络用户的服务资源访问谓求,同时堡垒主机也向内部网络用户提供DNS、WWW代理、FTP代理等服务,提供内部网络用户访问外部资源的接口。

被屏蔽子网体系结构的优点

外部路由器和内部路由器构成了双层防护体系,入侵者难以突破;

外部用户访问服务资源时无需进入内部网络,在保证服务的情况下提高了内部网络的安全性;

外部路由器和内部路由器过滤规则复制,避免了由于某台路由器失效产生的安全隐患;

堡垒主机由外部路由器的过滤规则和本机安全机制共同防护,用户只能访问它提供的服务;

即使入侵者通过堡垒主机的服务缺陷控制了堡垒主机,由于内部路由器将内部网络和周边网络隔离,入侵者无法通过监听周边网络获取内部网络信息。

被屏蔽子网体系结构的缺点

构建被屏蔽子网体系结构的成本较高;被屏蔽子网体系结构的配置较为复杂,容易出现配置错误导致的安全隐患。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请发送邮件至 55@qq.com 举报,一经查实,本站将立刻删除。转转请注明出处:https://www.szhjjp.com/n/66606.html

(0)
nan
上一篇 2021-12-16
下一篇 2021-12-16

相关推荐

  • opporeno5系列发布电致变色后盖(opporeno5系列后盖)

    opporeno5系列发布电致变色后盖(opporeno5系列后盖)。久久派带你了解更多相关信息。opporeno5系列可以说是最近抓住了很多人的关注,这个系列的手机赢得了很多人的关注。opporeno5手机也即将全球首发电致变色后盖。1.opporeno5系列首发电致

    2022-01-17 用户投稿
    0
  • 辩护词格式范文(辩护词格式是什么)

    于犯罪嫌疑人和被告人而言,刑事诉讼是一场战役,是一场关乎其自由、财产、甚至生命的战役,辩护人从接受委托的那一刻起,便加入了战斗。为了最大限度地维护当事人的合法权益,在整个诉讼过程中,辩护人与侦控方之间的博弈和较量无处不在。刑事诉讼有其自身

    2021-12-14
    0
  • 换锁芯多少钱(上门换锁芯要多少钱)

    换锁芯多少钱?上门换锁芯要多少钱,久久派带你了解相关信息。随着时代的变迁,人与人之间的关系也在发生着变化,现在人们之间的信任也变得薄弱。到处都可看见锁具以及防盗工具。也确实,治安的不太平需要小心的防护。防盗门已经是家家都要用到的,但是防盗门坏了,就要进行修理,那么,换个锁芯要多少钱?防盗门怎么换锁芯?下面小编为大家解答。一、换一个锁芯多少钱这是在网上经常见到的问题,据我了

    2021-12-24
    0
  • 个体工商户条例(个体户不年检有没有事)

    侵权责任归责原则,是据以确定侵权民事责任由行为人承担的理由、标准或者最终决定性的根本要素。《民法典》确定的侵权责任归责原则包括过错责任原则、无过错责任原则和公平责任原则。其中,过错责任原则还可以划分为一般过错责任原则和过错推定原则。准确把

    2021-12-16
    0
  • 龙井茶玻璃杯冲泡视频(龙井茶的泡法视频)

    龙井茶的泡法视频(龙井茶玻璃杯冲泡视频)016:5百思特网8懂茶帝懂茶帝,邀请专业人士为茶友答疑解惑。我们的原则是:不忽悠,不卖弄,不恶意攻击,不刻意美化,只是客观、中立地回答您的问题。即使是一些没有标准答案的问题,我们也会尽量做到客观。茶友“fr

    2021-10-02
    0
  • 淘宝黄金标题如何打造(淘宝黄金标题的公式是什么)

    淘宝黄金标题如何打造?淘宝黄金标题的公式是什么,久久派带你了解相关信息。淘宝宝贝标题是由多个关键词组成的,关键词的作用就是让用户输入某个关键词搜索商品的时候,有机会看到我们的宝贝。那淘宝黄金标题怎么打造?聚品电商运营小编带你了解一下吧。标题公式是什么?宝贝黄金标题公式:营销关键词+意向性关键词+属性卖点词+类目关键词+长尾关键词。没有标题是一成不变的,很多老玩家老说标题一步到位,其

    2021-10-27
    0

发表回复

登录后才能评论