防火墙系统结构

7.2.2　防火墙系统结构

防火墙系统具有简单结构和复合型结构两类。简单结构包括只使用屏蔽路由器或者作为代理服务器的双目主机结构；复合型结构一般包括了屏蔽主机和屏蔽子网。复合型系统具有更高的安全性。

1.双目主机结构

双目主机结构防火墙系统主要由一台双目主机构成。双目主机具有两个网络接口，它的位置位于内部网络与Internet的连接处。运行应用代理程序，充当内、外网络之间的转发器。双目主机关闭了正常的IP路由功能，使来自一个网络接口的IP包不能直接到达另一个网络接口，内部网络与外部的通信完全由运行于双目主机上的防火应用程序完成。双目主机结构防火墙系统如图7-10所示。

图7-10　双目主机结构防火墙系统

双目主机可以使用包过滤技术与应用代理技术，并且在网络结构上简单明了，易于实现，成本低，能为内部网络与外部网络的通信提供较为完善的控制机制，如监测、认证、日志文件等。双目主机对外屏蔽了内部网络的结构，使内部网络对外部不可见。

双目主机在配置原则上遵循“禁止未被明确允许的服务”。

由于双目主机是内部网络与外部网络相互通信的桥梁，内外部网络之间的通信量需求比较大时，双目主机本身将成为通信的瓶颈。因此，双目主机的硬件平台应当尽可能地选用性能优良的工作站。双目主机结构可以扩展成多目主机结构，从而可以隔离多个网络。

2.屏蔽主机结构

屏蔽主机结构防火墙系统由屏蔽路由器与堡垒主机构成，屏蔽路由器位于内部网络与Internet之间的连接处，而堡垒主机位于内部网络上。在这种结构中，屏蔽路由器为系统提供主要的安全功能。堡垒主机则主要提供面向应用的服务。屏蔽主机结构防火墙系统如图7-11所示。

图7-11　屏蔽主机结构防火墙系统

屏蔽路由器使用包过滤技术，它只允许堡垒主机与外部通信，使堡垒主机成为Internet上其他节点所能到达的唯一节点，并同时根据设立的过滤规则进行控制。对内部网络中其他主机直接对外的通信，屏蔽路由器将予以拒绝。而这些主机的对外通信，必须通过堡垒主机来完成，即按照图中所示的方式完成通信。其体系结构如下图7-12所示。

图7-12　屏蔽主机防火墙体系结构

此外，为保证上述固定的数据路径不被更改，屏蔽路由器上应当采用静态路由设置，并且路由器应当不接受ICMP、ARP等网络协议。

3.屏蔽子网结构

屏蔽子网结构防火墙系统在屏蔽主机结构的基础上增加了一个周边防御网段，用以进一步隔离内部网络与外部网络。屏蔽子网结构防火墙系统如图7-13所示。

图7-13　屏蔽子网结构

周边防御网段是位于内部网络与外部网络之间的另一层安全网段，分别由内、外两个屏蔽路由器与它们相连。周边防御网段所构成的安全子网称为“非军事区”（DMZ，Demilitrized Zone），又称为“参数子网”。这一网段受到安全威胁不会影响到内部网络。

跨越防火墙的数据流必须经过外部屏蔽路由器、堡垒主机与内部屏蔽路由器，在两个路由器之上都可以设置过滤规则，堡垒主机运行应用代理服务软件。同时，企业对外的如WWW、FTP服务器等可以放在DMZ内。

这种结构优点在于当堡垒主机或企业对外的服务器受到安全威胁时，由于DMZ与内部屏蔽路由器的隔离作用，使得内部网络的安全威胁尽可能地减少。

一般情况下，DMZ配置成如下状态：内部网和Internet均能够访问DMZ上的某些资源，但不能通过DMZ让内部网和Internet直接进行信息传输。外部屏蔽路由器用于防范Internet上来的外部攻击，并管理Internet到DMZ的访问，访问堡垒主机和上面的信息服务器；内部屏蔽路由器只接收堡垒主机发出的数据包，并管理DMZ到内部网的访问。对于内部网去往Internet的数据包，内部屏蔽路由器管理内部网络到DMZ的访问，它允许内部网只能访问DMZ上的堡垒主机及信息服务器；外部屏蔽路由器上的过滤规则只接受来自堡垒主机去往Internet的数据包。

4.被屏蔽子网

被屏蔽子网（Screened Subnet）防火墙是在屏蔽主机防火墙的基础上再加一个路由器，两个屏蔽路由器放在子网的两端，形成一个被称为非军事区的子网，即在内部网络和外部网络之间建立一个被隔离的子网，如图7-14所示。内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信，像WWW和FTP服务器可放在DMZ中。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。外部屏蔽路由器和应用网关在屏蔽主机网关防火墙中的功能相同。内部屏蔽路由器在应用网关与受保护网络之间提供附加保护，从而形成三道防线。因此，一个入侵者要进入受保护的网络比主机过滤防火墙更加困难。但是，它要求的设备和软件模块最多，其配置最贵且相当复杂。

图7-14　屏蔽子网模式