1.双宿主主机防火墙
双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。
双宿主机的结构如图7.1.2所示。它采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径。如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信,而与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。它是外部网络用户进入内部网络的唯一通道,因此双宿主机的安全至关重要,它的用户口令控制安全是一个关键。
双宿主主机(具有至少两个网络适配器) 图7.1.2 双宿主机防火墙双宿网关防火墙(Dual-homed Gateway Firewall)的结构如图7.1.3所示。它是一个具有两个网络适配器的主机系统,并且主机系统中的寻径功能被禁止,而对外部网络的服务和访问则由网关上的代理服务器提供。它是一种结构非常简单,但安全性很高的防火墙系统,是对双宿主主机防火墙的一个改进。另外可以把包过滤路由器和双宿网关集成在一起。把包过滤路由器放在外部网络和一个屏蔽子网之间。屏蔽子网用来为外部网络用户提供一些特定的服务, 比如WWW,Gopher, FTP等。这样一来可以利用包过滤路由器的过滤保护双宿网关免受外部的***,例如如果禁止外部访问远程登陆到双宿网关,就可以减少外部***的危险。这种防火墙拒绝所有的网络服务,包括DNS等,除非应用网关有代理模块的网络服务可以允许。不灵活性是这种防火墙技术的最大缺点。另外网关主机系统的安全是双宿网关安全的关键。
双宿网关
信息服务器图7.1.3 双宿网关防火墙实例
2. 被屏蔽主机
双宿主主机体系结构提供来自多个网络相连的主机的服务,被屏蔽主机体系结构使用一个单独的路由器来提供来自仅仅与内部网络相连的主机的服务,另外被屏蔽主机结构还有一台单独的过滤路由器。这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。这种体系结构中,主要的安全由数据包过滤提供。它的结构如图7.1.4所示。
堡垒主机位于内部网络上。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。即使这样,也仅有某些确定的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台主机。因此,堡垒主机需保持更高等级的主机安全。
防火墙
路由器 工作站 工作站 服务器(堡垒主机) 工作站 图7.1.4 被屏蔽主机结构数据包过滤也允许堡垒主机开放可允许的连接到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行:
" 允许其他的内部主机为了某些服务开放到因特网上的主机的连接;
" 不允许来自内部主机的所有连接;
" 用户可以混合使用以上两种配置。某些服务可以被允许直接经由数据包过滤,其他服务可以被允许仅仅间接地经由代理。
被屏蔽主机防火墙的配置:被屏蔽主机向外部或内部的客户程序提供网络服务。比如,它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器等。它还有可能是打印服务器或文件服务等。正是因为被屏蔽主机担当着如此众多的重要角色,因此,它的安全配置尤其重要,关系到整个防火墙的安全。
双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。
双宿主机的结构如图7.1.2所示。它采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径。如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信,而与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。它是外部网络用户进入内部网络的唯一通道,因此双宿主机的安全至关重要,它的用户口令控制安全是一个关键。
双宿主主机(具有至少两个网络适配器) 图7.1.2 双宿主机防火墙双宿网关防火墙(Dual-homed Gateway Firewall)的结构如图7.1.3所示。它是一个具有两个网络适配器的主机系统,并且主机系统中的寻径功能被禁止,而对外部网络的服务和访问则由网关上的代理服务器提供。它是一种结构非常简单,但安全性很高的防火墙系统,是对双宿主主机防火墙的一个改进。另外可以把包过滤路由器和双宿网关集成在一起。把包过滤路由器放在外部网络和一个屏蔽子网之间。屏蔽子网用来为外部网络用户提供一些特定的服务, 比如WWW,Gopher, FTP等。这样一来可以利用包过滤路由器的过滤保护双宿网关免受外部的***,例如如果禁止外部访问远程登陆到双宿网关,就可以减少外部***的危险。这种防火墙拒绝所有的网络服务,包括DNS等,除非应用网关有代理模块的网络服务可以允许。不灵活性是这种防火墙技术的最大缺点。另外网关主机系统的安全是双宿网关安全的关键。
双宿网关
信息服务器图7.1.3 双宿网关防火墙实例
2. 被屏蔽主机
双宿主主机体系结构提供来自多个网络相连的主机的服务,被屏蔽主机体系结构使用一个单独的路由器来提供来自仅仅与内部网络相连的主机的服务,另外被屏蔽主机结构还有一台单独的过滤路由器。这一台路由器的意义就在于强迫所有到达路由器的数据包被发送到被屏蔽主机。这种体系结构中,主要的安全由数据包过滤提供。它的结构如图7.1.4所示。
堡垒主机位于内部网络上。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。即使这样,也仅有某些确定的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台主机。因此,堡垒主机需保持更高等级的主机安全。
防火墙
路由器 工作站 工作站 服务器(堡垒主机) 工作站 图7.1.4 被屏蔽主机结构数据包过滤也允许堡垒主机开放可允许的连接到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行:
" 允许其他的内部主机为了某些服务开放到因特网上的主机的连接;
" 不允许来自内部主机的所有连接;
" 用户可以混合使用以上两种配置。某些服务可以被允许直接经由数据包过滤,其他服务可以被允许仅仅间接地经由代理。
被屏蔽主机防火墙的配置:被屏蔽主机向外部或内部的客户程序提供网络服务。比如,它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器等。它还有可能是打印服务器或文件服务等。正是因为被屏蔽主机担当着如此众多的重要角色,因此,它的安全配置尤其重要,关系到整个防火墙的安全。
转载于:https://blog.51cto.com/martyd/1111256
1572
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
