网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络安全预防措施

网络学堂二十三:防火墙技术及设计(5)

  这是最初的防火墙设计方案,它不是采用专用的设备部署的,而是在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为”屏蔽路由器“。

  一个屏蔽路由器是最简单的防火墙策略。这个方法在防火墙概念提出初期非常流行,主要是因为很多公司已经具备了这样的硬件条件,也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如图4所示。


图4

  在图中担当屏蔽路由器角色的就是原有路由器,在其中的防火墙包过滤配置中,可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。
 
  这种防火墙方案有个最大的缺点就是配置复杂,非专业人员很难正确、有效地配置。如果采用这种措施,就需要对TCP/IP有很好的理解,并能够在路由器上正确地进行有关数据包过滤的设置。如果不能够正确地进行配置,危险的数据包就有可能透过防火墙进入内部局域网。如果这是唯一的安全设备,那么黑客们将非常容易地攻破系统,在局域网里为所欲为。另外一点值得注意的就是采用这种措施,内部网络的IP地址并没有被隐藏起来,并且它不具备监测,跟踪和记录的功能。 

  当然,如果经费有限而且非常急切地需要一个防火墙的解决方案,这个方法能够使花费最少,并可以使用现有的路由器。同时,这也是进一步进行防火墙措施的一个良好开端。当增加别的网络安全设备的时候,它也还可以使用。
 
  2、 双宿主机模式

  这种模式也有称”双穴主机模式“。它是一种非常简单的防火墙模式,它不是用真正的硬件防火墙来实现的,它是通过在一台俗称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“,就是指堡垒主机同时连接着一个内、外部网络,担当起全部的网络安全维护责任。网络拓扑结构如图5所示。


图5

  在图中起安全防护作用的堡垒主机其实就是一台计算机,为了自身的安全,在这台堡垒主机上安装的服务最少,只需要安装一些与包过滤功能有关的软件,满足一般的网络安全防护即可。它所拥有权限最少,这样就可避免一旦黑客攻占了堡垒主机后,迅速控制内部网络的不良后果。因为控制权限低,黑客虽然攻陷了堡垒主机,但仍不能拥有什么过高的网络访问权限,也就不至于给内部网络造成太大危害。

  在这种双宿主机模式还有的,应用于对多个内部网络或网段的维护。就是一个堡垒主机同时连接着一个外部网络和两个或以上内部网络(或网段)。这就需要在堡垒主机上安装多块网卡。

8

  3、屏蔽主机模式 

  由于前一种”屏蔽路由器“防火墙方案过于单调,很容易被黑客攻击,所以在后期的防火墙技术中,又增加一道安全防线,在路由器后增加了一个用于应用安全控制的计算机,充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式,又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络网络拓扑结构如图6所示。


图6

  这种设计采用屏蔽路由器和堡垒主机双重安全设施,所有进出的数据都要经过屏蔽路由器和堡垒主机,保证了网络级和应用级的安全。路由器进行包过滤,堡垒主机进行应用安全控制。这是一种很可靠的设计,一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能,在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。
 
  采用这种设计作为应用级网关(代理服务器),可以使用网络地址转换(NAT)技术来屏蔽内部网络。可以更进一步,建立”屏蔽多宿主机防火墙“模式。在这种结构中,堡垒主机可以连接多个内部网络或网段,也就需在堡垒主机上安装多块网卡。它同样可以使内部网络在物理上和外部网络断开,所以也可以达到保护内部网络的目的。多宿主机防火墙网络拓扑结构如图7所示。

网络学堂二十三:防火墙技术及设计


图7

9

  4、 非军事区结构模式 

(责任编辑:admin)