防火墙的体系构造及操纵通道技术浸透防火墙[网络技术]

一． 防火墙的体系构造
普通防火墙的体系构造可以分为以下的几种情形:
1、 屏蔽路由器（Screening Router）
这是防火墙最基本的构件.它可以由厂家专门生产的路由器实现,也可以用主机来实现.屏蔽路由器作为内外衔接的唯一通道,要求全部的报文都必须在此通过查抄.路由器上可以装基于IP层的报文过滤软件,实现报文过滤功效.很多路由器本身带有报文过滤配置选项,但普通对比简单.
纯真由屏蔽路由器构成的防火墙的危险带包含路由器本身及路由器答应拜候的主机.它的缺陷是一旦被攻陷后很难发现,并且不能辨认差别的用户.
2、 双宿主机网关（Dual Homed Gateway）
任何拥有多个接口卡的系统都被称为多宿的,双宿主机网关是用一台装有两块网卡的主机做防火墙.两块网卡各自与受保护网和外部网相连.主机上运行着防火墙软件,可以转发利用程序,供应服务等.
双宿主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于保护系统日记、硬件拷贝日记或远程日记.这关于日后的查抄很有效.但这不能帮忙网络管理者确认内网中哪些主机大概已被黑客入侵.
    双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功效,则任何网上用户都可以随便拜候内网.
3、 屏蔽主机网关（Screened Host Gateway）
屏蔽主机网关易于实现也很安全,因此利用遍及.比方,一个分组过滤路由器衔接外部网络,同时一个堡垒主机安装在内部网络上,普通在路由器上设立过滤法则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被受权的外部用户的攻击.
    假如受保护网是一个虚拟扩大的本地网,即没有子网和路由器,那么内网的改变不影响堡垒主机和屏蔽路由器的配置.危险带限制在堡垒主机和屏蔽路由器.网关的基本掌握战略由安装在上面的软件决意.假如攻击者设法登录到它上面,内网中的别的主机就会遭到很大威胁.这与双穴主机网关受攻击时的情形差不多.
4、 被屏蔽子网 （Screened Subnet）
这种办法是在内部网络和外部网络之间成立一个被断绝的子网,用两台分组过滤路由器将这一子网辨别与内部网络和外部网络脱离.在很多实现中,两个分组过滤路由器放在子网的两头,在子网内构成一个“非军事区”DMZ.有的屏蔽子网中还设有一堡垒主机作为唯一可拜候点,支持终端交互或作为利用网关代理.这种配置的危险带仅包含堡垒主机、子网主机及全部衔接内网、外网和屏蔽子网的路由器.
    假如攻击者试图完好破坏防火墙,他必须重新配置衔接三个网的路由器,既不堵截衔接又不要把自己锁在表面,同时又不使自己被发现,这样也还是大概的.但假如禁止网络拜候路由器或只答应内网中的某些主机拜候它,则攻击会变得很艰难.在这种情形下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个历程中不能引发警报.

二． 防火墙的组合情势
制作防火墙时,普通很少采取单一的技术,普通是多种办理差别问题的技术的组合.这种组合主要取决于网管中央向用户供应什么样的服务,以及网管中央能承受什么等级风险.采取哪类技术主要取决于经费,投资的大小或技术

[1] [2] [3]  下一页