防火墙架构设计 防火墙体系结构

 

Author：Sean

 -----------------------Sean的分割线--------------------------

一、防火墙的体系结构

 

1.分组过滤路由器

·作为内外网连接的唯一通道，要求所有的报文都必须在此通过检查

·结构比较简单，通过在分组过滤路由器上安装基于IP层的报文过滤软件，就可以利用过滤过则实现报文过滤

缺点：    是网络中的单失效点

              不支持有效的用户认证、安全性比较低

 

2.双宿主机

·保护网络和Internet之间设置一个具有双网卡的堡垒主机，IP层的通信完全被阻止，两个网络之间的通信可以通过应用层数据共享或应用层代理服务来完成。

·采用代理服务的方法

·堡垒主机上运行着防火墙，可以转发应用程序和提供服务

优缺点：

·可用于身份认证和维护系统日志，有利于进行安全审计

·仍然是网络的“单失效点”

·隔离了一切内部网与Internet的直接连接，不适合于一些高灵活性要求的场合

 

3.屏蔽主机

·过滤路由器的规则，使堡垒主机成为从外部唯一可直接到达的主机

·提供的安全等级较高，因为它实现了网络层安全和应用层安全

·过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应受到严格的保护，如果路由表被破坏，则堡垒主机就有被越过的危险。

 

4.屏蔽子网

·是最安全的防火墙系统，它在内部网络和外部网络之间建立一个被隔离的子网（DMZ）

·两个分组过滤路由器放在子网的两端，内部和外部网络均可以访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信

 

 

 

 

二、防火墙的实现技术

 

1.数据包过滤技术

工作在网络层，与应用层无关，在网络中的适当位置，来对数据包实施有选择的通过

并不能控制传输数据的内容。它是依据在系统内设置的过滤规则对数据流中每个数据包包头中的参数或它们的组合进行检查，以确定是否允许该数据包进出内部网络。

包过滤一般要检查：IP源地址，IP目的地址，协议类型，端口，ICMP消息类型，TCP报头中的ACK位

       优点：逻辑简单，价格便宜，易于安装和使用，网络性能好

       缺点：安全控制的力度限于那些相应的包头信息，不能保存与传输或与应用相关的状态信息，因而只能进行较为初步的安全控制，安全性较低

       数据包的源地址、目的地址以及端口号等都在数据包的头部，很有可能被窃听

 

2.代理服务

       是运行于连接内部网络与外部网络的主机的一种应用，一般是堡垒主机

主要优点：

       内部网络结构等重要信息不容易泄露

       可以实施用户认证等，同时发现被攻击迹象时会向网络管理员发出警报

缺点：

       针对不同的应用层协议必须有单独的应用代理，也不能支持新的网络应用

       有些代理还需要相应支持代理的客户和服务器软件

       性能下降

 

3.状态检测

       工作在网络层和数据链路层

       状态检测防火墙是在动态包过滤的基础上，增加了状态检测机制形成的

       状态检测防火墙采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，并动态地保存起来作为以后制定安全策略的参考。

       既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合。

       工作过程：

       对新建的应用连接，状态监测检查预先设定的安全规则，允许符合规则的连接；请求数据包通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。