详解防火墙的体系结构知识 双宿主机型防火墙什么意思

非军事区
为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段,这个网段被称为非军事区(DeMilitarized Zone,DMZ),也被称为周边网络,图5-15是DMZ示意图 。

详解防火墙的体系结构知识 双宿主机型防火墙什么意思

文章插图
DMZ是周边网络,是指在内部网络、外部网络之间增加的一个网络,对外提供服务的各种服务器都可以放在这个网络里 。DMZ隔离内外网络,并为内外网之间的通信起到缓冲作用 。
周边网络的存在,使得外部用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露至外部网络;
同时,周边网络与外部网络或内部网络之间都存在着数据包过滤,这样为外部用户的攻击设置了多重障碍,确保了内部网络的安全 。
堡垒主机
在防火墙体系结构中,经常提到堡垒主机(Bastion Host,如图5-15所示) 。
堡垒主机得名于古代战争中用于防守的坚固堡垒,它位于内部网络的最外层,像堡垒一样对内部网络进行保护 。
堡垒主机是一种配置了安全防范措施的网络上的计算机,为网络之间的通信提供了一个阻塞点 。如果没有堡垒主机,网络之间将不能相互访问 。
堡垒主机是指可能直接面对外部用户攻击的主机系统,在防火墙体系结构中,堡垒主机要高度暴露,是网络上最容易遭受非法入侵的设备 。
所以防火墙设计者和管理人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的安全要给予特别的注意 。
一般来说,堡垒主机上提供的服务越少越好,因为每增加一种服务就增加了被攻击的可能性 。
双重宿主主机
双重宿主主机是指至少拥有两个以上网络接口且每个网络接口连接不同的网络的计算机系统,因此也称为多穴主机系统 。
一般来说,双重宿主主机是实现多个网络之间互连的关键设备,如网桥是在数据链路层实现互连的双重宿主主机,路由器是在网络层实现互连的双重宿主主机,应用层网关是在应用层实现互连 。
1. 双宿主主机体系结构
双宿主主机(Dual-Homed Host)体系结构如图5-16所示 。
详解防火墙的体系结构知识 双宿主机型防火墙什么意思

文章插图
双宿主主机位于内部网和Internet之间,一般来说,是用一台装有两块网卡的堡垒主机做防火墙 。
这两块网卡各自与受保护网和外部网相连,分别属于内外两个不同的网段 。
堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等 。
双宿主机网关堡垒主机的系统软件可用于维护系统日志 。
双宿主主机这种体系结构非常简单,一般通过代理(Proxy)来实现,或者通过用户直接登录到该主机来提供服务 。
双宿主主机体系结构的特点
防火墙主体是带有内部网络和外部网络接口主机系统,双宿主主机具备成为内部网络和外部网络之间路由器的条件 。但是,在内部网络与外部网络之间,数据包转发进程是被禁止运行的 。
为了达到防火墙的基本效果,在双宿主主机系统中,任何路由功能是禁止的 。双宿主主机采用应用代理防火墙技术,内部网络用户通过客户端代理软件访问外部网络资源,或者直接登录双宿主主机成为一个用户,利用该主机直接访问外部资源 。
双宿主主机体系结构的优点
网络结构比较简单,由于内、外网络之间没有直接的数据交互而较为安全;内部用户账号可以有效控制外部资源;由于应用代理机制的采用方便地形成应用层的数据与信息过滤 。
双宿主主机体系结构的缺点
用户需要登录到主机才能访问外部资源,主机资源消耗较大,用户访问外部资源较为复杂;用户机制存在安全隐患,并且内部用户无法借助于该体系结构访问新的服务;一旦外部用户入侵双宿主主机,则导致内部网络处于不安全状态 。
2. 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤技术实现内、外网络的隔离和对内网的保护,一个典型的被屏蔽的主机体系结构如图5-17所示 。
详解防火墙的体系结构知识 双宿主机型防火墙什么意思

文章插图
在被屏蔽主机体系结构中,有两道屏障:一是屏蔽路由器,二是堡垒主机 。屏蔽路由器位于网络最边缘,负责与外网实施连接,参与外网的路由计算 。
屏蔽路由器仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全 。由于屏蔽路由器的存在,堡垒主机不再是直接与外网互连的双宿主主机,增加了系统的安全性 。