防火墙可以设置成许多不同的结构,高防服务器供给不同级别的安全,而掩护和运行的费用也不同。防火墙有多种分类方法。下面介绍四种常用的系统结构:筛选路由器、双网主机式系统结构、屏蔽主机式系统结构和屏蔽子网式系统结构。
在介绍之前,先懂得几个相干的基础概念
堡垒主机:高度裸露于 Internet并且是网络中最容易受到侵害的主机。它是防火墙系统的大无畏者、把敌人的火力吸引到自己身上从而达到掩护其他主机的目标。堡垒主机的设计思想是检测点原则,把全部网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。堡全主机一定要有严格的安防系统,因其最容易遭到攻击。
屏蔽主机:被放置到屏蔽路由器后面网络上的主机称为屏蔽主机该主机能被访问的程度取决于路由器的屏蔽规矩。
屏蔽子网:位于屏蔽路由器后面的子网,子网能被访问的程度取决于路由器的屏蔽规矩。
一、筛选路由式系统结构
这种系统结构极为简略,路由器作为内部网和外部网的唯一过滤设备,如下图1所示
二、双网主机式系统结构
这种系统结构有一主机专门被用作内部网和外部网的分界限。该主机里插有两块网卡,分辨连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信,防火墙外面的系统( Internet上的系统)也可以与这台双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。另外,应用此结构,一定要关闭双网主机上的路由分配功效,这样就不会通过软件把两个网络连接在一起了。
三、屏蔽主机式系统结构
此类型的防火墙逼迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。
堡全主机位于内部网络,屏蔽路由器联接 Internet和内部网络,构成防火墙的第一道防线。
屏蔽路由器一定要进行适当的配置,使所有外部到内部的连接都路由到了堡全主机上,并且实现外部到内部的主动连接。
此类型防火墙的安全级别较高,因为它实现了网络层安全(屏蔽路由器一一包过滤)和利用层安全(堡全主机一代理服务)。入侵者在损坏内部网络的安全性之前,一定要首先滲透两种不同的安全系统
即使入侵了内部网络,也一定要和堡垒主机相竞争,而堡垒主机是安全性很高的机器,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。
此类型防火墙中屏蔽路由器的配置十分重要,如果路由表遭到损坏则数据包不会路由到堡垒主机上,使堡垒主机被超出。
四、屏蔽子网( Screened Subnet)式系统结构
这种系统结构本质上与屏蔽主机系统结构一样,但是增长了一层掩护系统一一周边网络,而堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器离开。
由前可知,当堡垒主机被入侵之后,全部内部网络就处于危险之中堡垒主机是最易受侵袭的,虽然其很坚固,不易被入侵者把持,但万一被把持,仍有可能侵袭内部网络。如果采用了屏蔽子网( Screened SubNet)式系统结构,入侵者将不能直接侵袭内部网络,因为内部网络受到了内部屏蔽路由器的掩护。
屏蔽子网式系统结构如图4所示。
