防火墙体系结构中常见的术语
1)堡垒主机:
物理内部网中唯一可供外界访问到的主机,通常配置了严格的安全防范措施,堡垒主机为内外部网之间的通信提供一个阻塞点。是应用级网关和电路级网关的一个服务平台。
2)双重宿主主机:
通过不同网络接口连入多个网络的主机系统。双重宿主主机是实现多个网络之间互连的关键设备网桥是在数据链路层实现互连的双重宿主主机路由器是在网络层实现互连的双重宿主主机应用层网关是在应用层实现互连
3)周边网络(DMZ):
在内部网络、外部网络之间增加的一个网络,一般来说,对外提供服务的各种服务器都可以放在这个网络里。周边网络的存在,使得外部用户访问服务器时,不需要进入内部网络。周边网络与外部网络之间、与内部网络之间存在数据包过滤,这样为外部用户的攻击设置了多重障碍,确保了内部网络的安全
防火墙的体系结构
基于双宿主主机防火墙基于代理型防火墙屏蔽主机体系结构基于屏藏子网的防火墙
基于双宿主主机防火墙结构
双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。
内外部网络均可以与双宿主主机通信,但内外部网络不可直接通信。
双宿主机是唯一隔开内外网的屏障,其自身的安全性是保证内部安全性的基础。
禁止任何网络层的路由功能强大的身份认证系统控制用户的账户数
优点:
网络结构简单内外网络没有直接数据交互而较为安全通过代理或让用户直接注册到其上来提供很高程度的网络控制
缺点:
用户访问外部资源较为复杂用户机制存在着安全隐患。外部用户一旦入侵了双重宿主主机,则导致内部网络处于不安全状态
基于代理型防火墙结构
双宿主主机结构由一台同时连接内、外网络的主机提供安全保障,代理型结构则不同,代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构
在这种结构中,代理主机位于内部网络。一般情况下, 过滤路由器可按如下规则进行配置
允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。任何外部网(或 Internet)的主机只能与内部网络的代理主机建立连接。任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要有较全面的安全保护。
代理型结构的主要缺点,只要攻击者设法攻破了代理主机,那么对于攻击者来说,整个内部网络与代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息
屏蔽主机体系结构
由单独的路由器和内部网络上的堡垒主机共同构成防火墙。
主要通过数据包过滤实现内外网络的隔离和对内网的保护
路由器仅提供路由和数据包过滤功能堡垒主机不再是直接与外网互连的双重宿主主机,增加了系统的安全性。堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机。也是外部用户访问内部网络资源必须经过的主机设备。堡垒主机可以提供包过滤功能或应用层代理访问外部网络
基于屏蔽子网的防火墙结构
屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。
该防火墙由四部分构成:内部路由器、外部路由器、堡垒主机、周边网络增加了一个把内部网御外网隔离的周边网络,即DMZ采用两个包过滤路由器和一个堡垒主机构造周边网络。网络管理员将堡垒主机,如WEB服务器、Ftp服务器等公用服务其放在DMZ中,内外部网络均可访问屏蔽子网,但是禁止它们穿过屏蔽子网通信。即使堡垒主机被入侵者控制,内部网仍受到内部包过滤路由器的保护
基于屏蔽子网的防火墙结构的特点如下:
应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。两个包过滤路由器的功能和配置是不同的。包过滤路由器 A 的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器 B 的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证。优点:安全级别最高。缺点:成本高,配置复杂
周边网络
位于非安全、不可信的外部网络与安全、可信的内部网络之间的一个附加网络;周边网络与内外部网络之间,都是通过屏蔽路由器实现逻辑隔离。外部用户必须穿越两道屏蔽路由器才能访问内部网络
外部路由器
主要用于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。可设置对周边网络和内部网络进行访问的过滤规则,该规则主要这对外网用户。
内部路由器
用于隔离周边网络,是屏蔽子网体系结构的第二道屏障。可设置针对内部用户的访问过滤规则,对内部用户访问周边网络和外部网络进行限制。
堡垒主机
位于周边网络,可以向外部用户提供wwwFTP等服务,向内还可以提供DNS服务;接受内外部访问对方的请求。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
本文来自空红印投稿,不代表胡巴网立场,如若转载,请注明出处:http://www.hu85.com/365627.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 xxxxx@qq.com 举报,一经查实,本站将立刻删除。