网络学堂之二十三 — 防火墙技术及设计

加州旅馆

　　3、屏蔽主机模式　

　　由于前一种”屏蔽路由器“防火墙方案过于单调，很容易被黑客攻击，所以在后期的防火墙技术中，又增加一道安全防线，在路由器后增加了一个用于应用安全控制的计算机，充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式，又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络网络拓扑结构如图6所示。

　　这种设计采用屏蔽路由器和堡垒主机双重安全设施，所有进出的数据都要经过屏蔽路由器和堡垒主机，保证了网络级和应用级的安全。路由器进行包过滤，堡垒主机进行应用安全控制。这是一种很可靠的设计，一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能，在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。
　
　　采用这种设计作为应用级网关(代理服务器)，可以使用网络地址转换(NAT)技术来屏蔽内部网络。可以更进一步，建立”屏蔽多宿主机防火墙“模式。在这种结构中，堡垒主机可以连接多个内部网络或网段，也就需在堡垒主机上安装多块网卡。它同样可以使内部网络在物理上和外部网络断开，所以也可以达到保护内部网络的目的。多宿主机防火墙网络拓扑结构如图7所示。

加州旅馆

图6：屏蔽主机模式
=====================================================

加州旅馆

图7：多宿主机防火墙网络拓扑
========================================================

加州旅馆

　　4、 非军事区结构模式　

　　在前面的防火墙技术中，我们已介绍了DMZ(非军事区)技术。网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如图8所示。

　　DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。

　　在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。　

　　以上介绍了目前通常所见的几种防火墙设计方案，当然，没有完美的防火墙设计。每个网络在商业模式上都是独特的，防火墙也应该按照公司的特别要求而制作。当设计一个防火墙方案的时候，必须考虑很多的因素，包括费用，培训，安全，技术和完成所需要的时间。随着网络设备功能的增强，在新型的防火墙方案中通常可以考虑采用以下几种合并方案：

　　●使用多堡垒主机
　　●合并内部路由器与外部路由器
　　●合并堡垒主机与外部路由器
　　●合并堡垒主机与内部路由器
　　●使用多台内部路由器
　　●使用多台外部路由器
　　●使用多个周边网络
　　●使用双重宿主主机与屏蔽子网

　　下一篇将介绍传统边界防火墙的一些典型应用，敬请关注！

加州旅馆

图8：非军事区(DMZ)结构模式
==========================================================

花京院典明

完啦？真是服了 要是谁都看懂了 一定有饭吃了

xjjjk

呵呵感谢楼主又受教育了；

charley

我把所有的都整理出来了

erjing

简而言之，防火墙的部署要看实际情况，看预算。DMZ的含义其实是“军事管理区”中“没有执行军事管理的区域”，说白了也就是安全地带最不安全的地方。因为毕竟要向外提供服务。
DMZ不是一种技术，而是一种部署逻辑。