防火墙体系结构的组合形式

随着网络的高速发展，越来越多的公共服务商开始提供WEB服务、电子邮件和FTP等。同时，越来越多的网民利用WEB获取和发布信息，使互联网信息量迅速增长。

    于此同时，网络安全也逐渐成为一个重要的话题。内部网和互联网相连时，如果将服务器直接连接到公共网络中，无疑是让黑客有机会入侵服务器，从而进一步破坏服务器或盗窃机密数据。

    在网络安全方面最具有代表性的技术就是数据加密、容错技术、端口保护、认证系统和防火墙技术。其中，防火墙技术是近年来提出并推广的一项网络安全技术。

    防火墙的实质就是隔离内部网与外部网，并提供存取控制和保密服务，使内部网有选择地与外部网进行信息交换。防火墙增强了内部网的安全性，用户可以安全地使用网络，更好的利用网络资源，同时不用担心遭到外部网的入侵。

    防火墙的优点

   1.强化网络安全策略

    互联网发展到今天，每天通过网络收集信息、交换信息的人越来越多，不可避免的会出现一些品德不良和违反规则的人。作为防火墙，就要防止这些不良行为的发生。

    在企业中防火墙还要控制内部员工的上网行为，防止公司机密信息泄露到外网。防火墙通过完善的安全策略，使符合规定的请求通过，或阻止非法请求连接互联网。同时还要阻止外部网络擅自连接到内部网，以达到保护内网的目的。

    2.有效记录所有网络连接行为

    因为内外网交换信息都要通过防火墙，所以防火墙可以完整的记录内外网互联的各种请求甚至信息。管理员可以通过这些记录来判断非法请求的来源，内网是否有病毒和木马存在，或者是否有人在外网进行攻击等。

    3.屏蔽用户

    防火墙能够隔离网络中的一个网段和另一个网段，防止一个网段出问题后影响另一个网段。而且从外部网是无法直接查看到内部网的主机信息，有效保护的内网的安全

    防火墙的缺点

    1.不能防范恶意知情者

    防火墙可以禁止系统用户经过网络连接发送专有信息，但用户可以将数据复制到其他介质中带出去。如果入侵者来自防火墙内部，那么防火墙就无能为力了。内部用户可以破坏防火墙体系，巧妙的修改程序从而避过防火墙。对于来自知情者的威胁只能加强内部管理，对用户进行安全教育。

    2.不能防范不通过它的连接

    防火墙能够有效的防止通过它进行传输的信息，然而不能防止不通过它进行传输的信息。如果站点允许对防火墙后面的内部系统进行连接，那么防火墙就没有办法阻止入侵者进行入侵行为。

    3.不能防范全部威胁

    防火墙被用来防范已知的威胁，如果是一个很好的防火墙设计方案，可以防范新的威胁。但是没有一个防火墙能自动防御所有新威胁。

    防火墙体系结构

    堡垒主机在防火墙体系结构中起着至关重要的作用，它专门用来击退攻击行为。网络防御的第一步是寻找堡垒主机的最佳位置，堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机就不能连接外网，同样外网也不能访问内网。如果你通过堡垒主机来集中网络权限，就可以更轻松的配置软件来保护你的网络。

    1.双宿主主机防火墙

    多宿主主机这个词是用来描述配有多个网卡的主机，每个网卡都和网络相连接。代理服务器可以算是多宿主主机防火墙的一种。在历史上，多宿主主机可以在网段之间传送流量，今天一般都使用专门的路由器来完成IP路由转发。

双宿主主机

    如果多宿主主机的路由功能被禁止，则主机可以在它连接的网络之间提供网络流量的分离，并且每个网络都能在宿主主机上处理应用程序。另外，如果应用程序允许，网络还可以共享数据。

    双宿主主机是多宿主主机的一个特例，它有两个网卡，并禁止路由功能。

    双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。因为双宿主主机不能转发任何TCP/IP流量，所以它可以彻底堵塞内部和外部不可信网络间的任何IP流量。然后防火墙运行代理软件控制数据包从一个网络流向另一个网络，这样内部网络中的计算机就可以访问外部网络。

 双宿主主机

    双宿主主机是防火墙体系的基本形态。建立双宿主主机的关键是要禁止路由，网络之间通信的唯一路径是通过应用层的代理软件。如果路由被意外允许，那么双宿主主机防火墙的应用测功能就会被旁路，内部受保护网络就会完全暴露在危险中。

    2.主机屏蔽防火墙

    主机屏蔽防火墙比双宿主机防火墙更安全。主机屏蔽防火墙体系结构是在防火墙的前面增加了屏蔽路由器。换句话说就是防火墙不直接连接外网，这样的形式提供一种非常有效的并且容易维护的防火墙体系。

    因为路由器具有数据过滤功能，路由器通过适当配置后，可以实现一部分防火墙的功能，因此，有人把屏蔽路由器也成为防火墙的一种。

主机屏蔽防火墙

    实际上，我们常常把屏蔽路由器作为保护网络的第一道防线。根据内网的安全策略，屏蔽路由器可以过滤掉不允许通过的数据包。

    屏蔽路由器配置要根据实际的网络安全策略来进行，如服务器提供WEB服务就需要屏蔽路由器开放80端口。

    因为这种体系结构允许数据包从外网向内网移动，所以它的设计比没有外部数据流量的双宿主机更冒风险，但实际上双宿主机体系结构在防备数据包流入内网时也会造成失败。总之保护路由器比保护主机更容易实现，因为路由器提供非常有限的服务，漏洞要比主机少得多，所以主机屏蔽防火墙体系结构能提供更好的安全性和可用性。

    3.子网屏蔽防火墙

    子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边网络更进一步地把内部网络与外网隔离。

    通常，堡垒主机是网络上最容易受攻击的机器。任凭用户如何保护它，它仍有可能被突破或入侵，因为没有任何主机是绝对安全的。

子网屏蔽防火墙

    在主机屏蔽体系中，用户的内部网络对堡垒主机没有任何防御措施，如果黑客成功入侵到主机屏蔽体系结构中的堡垒主机，那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会，但不是全部。

    屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。即使入侵者控制了堡垒主机，他仍然需要通过内网端的屏蔽路由器才能到达内网。

    在构造防火墙体系时，一般很少使用单一的技术，通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务，以及网管中心能接受什么等级的风险。还要看投资经费、投资大小、技术人员的水平和时间等问题。一般包括下面几种形式：

    （一）使用多个堡垒主机

    （二）合并内部路由器和外部路由器

    （三）合并堡垒主机和外部路由器

    （四）合并堡垒主机和内部路由器

    （五）使用多个内部路由器

    （六）使用多个外部路由器

    （七）使用多个周边网络

    （八）使用双宿主主机与屏蔽子网