控制区
为了配置和管理的方便,内网中需要对外提供服务的服务器通常设置在单独的网段中。这个网段称为非军事区(DMZ),也称为外围网络。图5-15是DMZ的示意图。
DMZ是外围网络,指的是在内部网络和外部网络之间添加的网络。向外界提供服务的各种服务器都可以放在这个网络中。DMZ隔离内部和外部网络,充当内部和外部网络之间的通信缓冲区。
由于周围网络的存在,外部用户访问服务器时不需要进入内网,内网用户维护服务器导致的信息传递也不会泄露到外网。
同时,外围网络与外网或内网之间存在包过滤,为外部用户的攻击设置了多重障碍,保证了内网的安全。
堡垒主机
在防火墙架构中,经常会提到堡垒主机(如图5-15所示)。
堡垒得名于古代战争中用于防御的坚固堡垒。它位于内部网络的最外层,像堡垒一样保护内部网络。
堡垒是网络上配置了安全措施的计算机,它为网络之间的通信提供了一个阻塞点。如果没有堡垒主机,网络将无法相互访问。
堡垒是指可能被外部用户直接攻击的主机系统。在防火墙架构中,堡垒主机是高度暴露的,是网络上最容易受到非法入侵的设备。
因此,防火墙的设计者和管理者需要致力于堡垒主机的安全,并在运行过程***别注意堡垒主机的安全。
一般来说,堡垒主机上提供的服务越少越好,因为每增加一项服务就增加了被攻击的可能性。
双主机
双主机计算机是指至少有两个网络接口的计算机系统,每个网络接口都连接到不同的网络,所以也叫多插座主机系统。
一般来说,双宿主机是互联多个网络的关键设备。例如,网桥是数据链路层的双宿主机,路由器是网络层的双宿主机,应用层***在应用层互连。
1.双宿主机架构
双宿主机的体系结构如图5-16所示。
双主机位于内部网和互联网之间。一般来说,有两块网卡的堡垒主机作为防火墙。
这两个网卡分别连接到受保护的网络和外部网络,属于内外两个不同的网段。
主机运行防火***,可以转发应用,提供服务。
双主机***堡垒主机的系统软件可以用来维护系统日志。
双宿主机的架构很简单,一般都是代理实现,或者用户直接登录主机提供服务。
双主机架构的特征
防火墙的主体是具有内网和外网接口的主机系统,双宿主机有条件成为内网和外网之间的路由器。但是,在内部网络和外部网络之间,禁止运行数据包转发过程。
为了达到防火墙的基本效果,在双宿主机系统中禁止任何路由功能。双宿主机采用应用代理防火墙技术,内网用户可以通过客户端代理软件访问外网资源,或者直接登录双宿主机成为用户,使用主机直接访问外网资源。
双主机架构的优势
网络结构简单,由于内外网之间没有直接的数据交互,因此更加安全。内部用户账户可以有效控制外部资源;由于应用代理机制,便于在应用层形成数据和信息过滤。
双主机架构的缺点
用户需要登录主机才能访问外部资源,这就消耗了大量的资源,也使得用户访问外部资源变得复杂。用户机制存在安全隐患,内部用户无法借助该架构访问新服务;一旦外部用户入侵双宿主机,内部网络就会处于不安全状态。
2.屏蔽主机架构
阻塞主机架构(Blocked host architecture)是指内部网络上由单个路由器和堡垒主机组成的防火墙,主要通过数据包过滤技术实现内外网的隔离和内部网络的保护。典型的模块化主机架构如图5-17所示。
在屏蔽主机架构中,有两道屏障:一是屏蔽路由器,二是堡垒主机。路由器位于网络的边缘,负责与外网连接,参与外网的路由计算。
屏蔽路由器只提供路由和包过滤功能,所以屏蔽路由器本身更安全。由于屏蔽路由器的存在,堡垒主机不再是直接与外网互联的双宿主机,增加了系统的安全性。
主机位于内部网络中。它们是唯一可以连接到外部网络系统的主机,也是外部用户访问内部网络资源必须经过的主机设备。
主机通过包过滤来保护内部网络,并且只允许通过特定服务的连接。堡垒主机可以提供代理功能。内部用户只能通过应用程序代理访问外部网络。堡垒主机成为外部用户可以访问的唯一内部主机。
屏蔽主机架构的优势
并且具有更高的安全特性。由于屏蔽路由器在堡垒主机外提供包过滤功能,堡垒主机相对双宿主机更安全,出现漏洞的可能性小;同时,堡垒主机的包过滤功能限制外部用户只能访问特定主机上的特定服务,在提供服务的同时保证了内部网络的安全。
内部用户访问外部网络既方便又灵活。用户可以在屏蔽路由器和堡垒主机的许可下直接访问外网。如果盾路由器和堡垒主机不允许,内部用户可以通过堡垒主机的代理服务访问外部资源。在实际应用中,将两种方法结合起来,以不同的方式访问不同的服务。
由于堡垒主机和屏蔽路由器同时存在,堡垒主机可以从一些安全事务中解脱出来,从而以更高的效率提供包过滤或代理服务。
屏蔽主机架构的缺点
在屏蔽主机架构中,外部用户在允许的情况下可以访问内部网络,因此存在一定的安全风险;像双宿主机系统,一旦用户入侵堡垒主机,内网就会处于不安全状态;路由器和堡垒主机的过滤规则配置复杂,容易形成错误和漏洞。
3.屏蔽子网架构
在双宿主机架构和屏蔽主机架构中,主机是最主要的安全漏洞。一旦主机被入侵,整个内网都会受到威胁。为了解决这种安全风险,屏蔽子网体系结构出现了。
屏蔽子网架构将防火墙的概念扩展到由两个路由器围成的特殊网络,即外围网络,将所有堡垒主机置于外围网络中。典型的屏蔽子网架构如图5-18所示。
屏蔽子网架构的防火墙比较复杂,主要包括外围网络、外部路由器、内部路由器和堡垒主机四个组成部分。
外围网络
外围网络是位于不可信外部网络和可信内部网络之间的附加网络。外围网络与外网逻辑隔离,外围网络通过屏蔽路由器与内网逻辑隔离,所以外部用户要跨越两个屏蔽路由器才能访问内网。
一般外部用户无法访问内部网络,只能访问周围网络中的资源。由于内部用户之间交流的数据包并不通过屏蔽路由器传输到周边网络,因此即使外部用户入侵周边网络中的堡垒主机,也无法监控内部网络的信息。
外部路由器
外部路由器的主要作用是保护周边网络和内部网络,是屏蔽子网架构的第一道屏障。在它上面设置了外网用户访问外围网和内网的过滤规则。
比如外网的用户只能访问外围网而不能访问内网,或者只能访问内网的部分主机。
外部路由器不会过滤来自周围网络的数据包,因为这些数据包来自堡垒主机或内部路由器过滤的内部主机数据包。外部路由器***内部路由器的规则,避免内部路由器故障带来的负面影响。
内部路由器
内部路由器用于隔离外围网络和内部网络,是屏蔽子网架构的第二道屏障。设置内部用户访问周边网络和外部网络的过滤规则。
例如,一些内部网络用户只能访问外围网络,而不能访问外部网络。
内部路由器***外部路由器的内部网络过滤规则,防止外部路由器过滤功能失效造成的严重后果。
内部路由器还限制了周围网络中的堡垒主机与内部网络之间的访问,减少了堡垒主机被入侵后能够受到影响的内部主机和服务的数量。
堡垒主机
在屏蔽子网结构中,堡垒主机位于外围网络,向外部用户提供WWW、FTP等服务,接受外部网络用户对服务资源的访问请求。同时,堡垒主机还为内网用户提供DNS、WWW代理、FTP代理等服务,为内网用户提供访问外部资源的接口。
屏蔽子网架构的优势
外部路由器和内部路由器形成双层防护体系,入侵者难以突破;
外部用户在访问服务资源时不需要进入内网,在保证服务的同时提高了内网的安全性;
外部路由器和内部路由器的过滤规则是重复的,避免了某个路由器故障带来的安全隐患;
主机由外部路由器的过滤规则和本地安全机制共同保护,用户只能访问其提供的服务;
即使入侵者通过堡垒主机的服务缺陷控制了堡垒主机,由于内部路由器将内网与周边网络隔离,入侵者也无法通过监控周边网络获取内网信息。
屏蔽子网架构的缺点
构建屏蔽子网架构的成本很高;屏蔽子网架构配置复杂,容易出现配置错误导致的安全风险。
本文来自别舍不得旧情人投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/562504.html