7.2.1 防火墙系统的基本组件
防火墙是一个由软件和硬件组成的系统,所以又称防火墙系统。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志及另外一些IP项,对IP包进行过滤。屏蔽路由器的优点是简单和低(硬件)成本。其缺点在于正确建立包过滤规则比较困难,屏蔽路由器的管理成本高,缺乏用户级身份认证等。
代理服务器是防火墙系统中的一个服务器进程,它能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。
由于对更高安全性的要求,屏蔽路由器和代理服务器通常组合在一起构成混合系统,形成复合型防火墙产品。其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是双目主机网关防火墙、屏蔽主机型防火墙以及被屏蔽子网型防火墙。构成一个防火墙系统的基本组件有以下几方面。
(1)屏蔽路由器(Screening Router)如图7-6所示。
图7-6 屏蔽路由器
屏蔽路由器又叫包过滤路由器,是最简单也是最常见的防火墙,这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。
这种配置的缺点在于:
①没有或有很少的日志记录能力,因此网络管理员很难确定系统是否正在被入侵或已经被入侵了,一旦被攻陷后很难发现,而且不能识别不同的用户。
②规则表随着应用的深化会很快变得很大而且复杂。
③这种防火墙的最大弱点是依靠一个单一的部件来保护系统,一旦部件出现问题,会使网络的大门敞开,而用户可能还不知道。
(2)双目主机网关(Dual Homed Gateway)
这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。如图7-7所示。
图7-7 双目主机网关
双目主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双目主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
(3)应用网关(Application Gateway)
应用网关是在一台双目主机上的运行应用网关代理服务器程序。如图7-8所示。
图7-8 应用网关
代理某种Internet网络服务并进行安全检查,每一个应用网关代理服务程序都是为一种网络应用服务而定制的程序,如FTP代理、Telnet代理、SMTP代理等。应用网关的体系结构如图7-9所示。
图7-9 应用网关所处的位置
它是建立在应用层上的具有协议过滤和转发功能的一种防火墙。
系统可以针对某一个(或多个)应用服务协议指定数据过滤逻辑,并同时对数据包分析的结果及采取的措施作登录和统计并形成报告。应用网关的安全策略类似于堡垒主机。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
