防火墙主要体系结构有:包过滤型防火墙、双宿/多宿主机防火墙、被屏蔽主机防火墙、被屏蔽子网防火墙和其它防火墙体系结构。今天是来分析屏蔽子网防火墙,下面来进行学习吧!
子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽结构,即通过添加网络更进一步地把内部网络与外网隔离。增加的安全层次包括一台堡垒主机和路由器。两台路由器之间是一个被周围网络或参数网络的安全子网,也叫DMZ(隔离区或军事区)。使得内部和外部网络之间有了两层隔断。
通常,堡垒主机是网络上最容易受攻击的机器,任凭用户如何保护它,它仍有可能被突破或入侵,因为没有任何主机是绝对安全。
在主机屏蔽体系中,用户的内部网络对堡垒主机没有任何防御措施,如果黑客成功入侵到主机屏蔽体系结构的堡垒主机,那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会,但不是全部。
屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。周边网络是在内部和外部之间另外加一层安全保护,相当于一个应用网关,堡垒主机运行代理服务软件。同时企业的对外信息服务器(www、ftp服务器等)也可设置在周边网内。若入侵者试图想要破坏防火墙,它必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数极高。
内、外路由器上建立的包过滤都设置包过滤规则。两者的包过滤规则基本上相同。内部路由器完成防火墙的大部分工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内、外部网之间互传。内部路由器的主要功能是保护内网免受来自外部网与周边网额侵略。外部路由器既可以保护周边网,有又可以保护内部网。
在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务,以及网管中心能接受什么等级的风险。还要看投资经费、投资大小、技术人员的水平和时间等问题。根据堡垒主机和包过滤器的各种组合,基于屏蔽子网的防火墙体系衍生一些派生结构体系,一般包括下面几种形式:
(一)使用多个堡垒主机
(二)合并内部路由器和外部路由器
(三)合并堡垒主机和外部路由器
(四)合并堡垒主机和内部路由器
(五)使用多个内部路由器
(六)使用多个外部路由器
(七)使用多个周边网络
(八)使用双宿主主机与屏蔽子网
通常建立防火墙的目的在于保护内部网免受外部网的侵扰,随着人们对网络安全意识的提高,防火墙的应用该也越来越广泛。对被屏蔽防火墙的介绍就到这了,如果有错误之处,请指正。欢迎登陆编程学习网教育或搜索公众号【编程学习网IT精品课程】,大家一起交流学习!
