网络学堂二十三:防火墙技术及设计(5)
时间:2018-04-28 06:59 来源:网络整理 作者:墨客科技 点击:次
这是最初的防火墙设计方案,它不是采用专用的设备部署的,而是在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为”屏蔽路由器“。 一个屏蔽路由器是最简单的防火墙策略。这个方法在防火墙概念提出初期非常流行,主要是因为很多公司已经具备了这样的硬件条件,也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如图4所示。
在图中担当屏蔽路由器角色的就是原有路由器,在其中的防火墙包过滤配置中,可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。 当然,如果经费有限而且非常急切地需要一个防火墙的解决方案,这个方法能够使花费最少,并可以使用现有的路由器。同时,这也是进一步进行防火墙措施的一个良好开端。当增加别的网络安全设备的时候,它也还可以使用。 这种模式也有称”双穴主机模式“。它是一种非常简单的防火墙模式,它不是用真正的硬件防火墙来实现的,它是通过在一台俗称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“,就是指堡垒主机同时连接着一个内、外部网络,担当起全部的网络安全维护责任。网络拓扑结构如图5所示。
在图中起安全防护作用的堡垒主机其实就是一台计算机,为了自身的安全,在这台堡垒主机上安装的服务最少,只需要安装一些与包过滤功能有关的软件,满足一般的网络安全防护即可。它所拥有权限最少,这样就可避免一旦黑客攻占了堡垒主机后,迅速控制内部网络的不良后果。因为控制权限低,黑客虽然攻陷了堡垒主机,但仍不能拥有什么过高的网络访问权限,也就不至于给内部网络造成太大危害。 在这种双宿主机模式还有的,应用于对多个内部网络或网段的维护。就是一个堡垒主机同时连接着一个外部网络和两个或以上内部网络(或网段)。这就需要在堡垒主机上安装多块网卡。 8 3、屏蔽主机模式 由于前一种”屏蔽路由器“防火墙方案过于单调,很容易被黑客攻击,所以在后期的防火墙技术中,又增加一道安全防线,在路由器后增加了一个用于应用安全控制的计算机,充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式,又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络网络拓扑结构如图6所示。
这种设计采用屏蔽路由器和堡垒主机双重安全设施,所有进出的数据都要经过屏蔽路由器和堡垒主机,保证了网络级和应用级的安全。路由器进行包过滤,堡垒主机进行应用安全控制。这是一种很可靠的设计,一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能,在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。 图7 9 4、 非军事区结构模式 (责任编辑:admin) |
- 上一篇:你知道多少?防火墙安装终极攻略
- 下一篇:Windows Vista系统防火墙初探