防火墙体系结构介绍

　　　　随着计算机技术的突飞猛进，网络安全的问题已经日益突出的摆在各类用户的面前。内部网络和互联网相连时，如果将服务器直接连接到公共网络中，无疑是让黑客有机会入侵服务器，从而进一步破坏服务器或盗窃机密数据。

　　在网络安全方面最具代表性的技术就是数据加密、容错技术、端口保护、认证系统和防火墙技术。在大多数的黑客入侵事件都是未能正确安装防火墙而引发的。一整套的防火墙系统通常是由屏蔽路由器和代理服务器组成。

　　1、什么是防火墙

　　这里的防火墙并不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务，仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性上问题的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也可能来自配置上的低级错误或不适合的口令选择。因此防火墙实质上是隔离内部网与外部网，并提供存取控制和保密服务，使内部有选择的与外部进行信息交换。防火墙增强了内部网的安全性，用户可安全德使用网络，更好的利用网络资源，同时不用担心遭到外部网的入侵。

　　2、防火墙的优点

　　1)强化网络安全策略

　　互联网发展到今天，每天通过网络收集信息、交换信息的人越来越多，不可避免的会出现一些品德不良和违反规则的人。作为防火墙，就要防止这些不良行为的发生。

　　在企业中防火墙还要控制内部员工的上网行为，防止公司机密信息泄露到外网。防火墙通过完善的安全策略，使符合规定的请求通过，或阻止非法请求连接互联网。同时还要阻止外部网络擅自连接到内部网，以达到保护内网的目的。

　　2)有效记录所有网络连接行为

　　因为内外网交换信息都要通过防火墙，所以防火墙可以完整的记录内外网互联的各种请求甚至信息。管理员可以通过这些记录来判断非法请求的来源，内网是否有病毒和木马存在，或者是否有人在外网进行攻击等。

　　3)屏蔽用户

　　防火墙能够隔离网络中的一个网段和另一个网段，防止一个网段出问题后影响另一个网段。而且从外部网是无法直接查看到内部网的主机信息，有效保护的内网的安全

　　3、防火墙的缺点

　　1)不能防范恶意知情者

　　防火墙可以禁止系统用户经过网络连接发送专有信息，但用户可以将数据复制到其他介质中带出去。如果入侵者来自防火墙内部，那么防火墙就无能为力了。内部用户可以破坏防火墙体系，巧妙的修改程序从而避过防火墙。对于来自知情者的威胁只能加强内部管理，对用户进行安全教育。

　　2)不能防范不通过它的连接

　　防火墙能够有效的防止通过它进行传输的信息，然而不能防止不通过它进行传输的信息。如果站点允许对防火墙后面的内部系统进行连接，那么防火墙就没有办法阻止入侵者进行入侵行为。

　　3)不能防范全部威胁

　　防火墙被用来防范已知的威胁，如果是一个很好的防火墙设计方案，可以防范新的威胁。但是没有一个防火墙能自动防御所有新威胁。

　　4、防火墙的工作方式

　　防火墙可以使用户的网络规划更加清晰明了，全面防止跨越权限的数据访问。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是：它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，应推荐用户使用更强的认证机制，例如一次性口令或回应式系统等。

　　屏蔽路由器的最大优点就是架构简单且硬件成本较低，而缺点则是建立包过滤规则比较困难，加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题，他们正在开发编辑包过滤规则的图形用户界面，制订标准的用户级身份认证协议，以提供远程身份认证拨入用户服务(REDIUS)。

　　代理服务器的优点在于用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实;要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纲。 屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用来防止IP欺骗攻击。目前采用最广泛的配置是Dualhomed防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。

　　4、防火墙的体系结构

　　堡垒主机在防火墙体系结构中起着至关重要的作用，它专门用来击退攻击行为。网络防御的第一步是寻找堡垒主机的最佳位置，堡垒主机为内网和外网之间的所有通道提供一个阻塞点。没有堡垒主机就不能连接外网，同样外网也不能访问内网。如果你通过堡垒主机来集中网络权限，就可以更轻松的配置软件来保护你的网络。

　　1)屏蔽路由器

　　屏蔽路由器可以由厂家生产的路由器实现，也可以由主机实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现，而且不能识别不同的用户。

　　2)双宿主机防火墙

　　双宿主机防火墙是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。与屏蔽路由器相比，双宿主机防火墙堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。

　　如果多宿主主机的路由功能被禁止，则主机可以在它连接的网络之间提供网络流量的分离，并且每个网络都能在宿主主机上处理应用程序。另外，如果应用程序允许，网络还可以共享数据。双宿主主机是防火墙体系的基本形态。建立双宿主主机的关键是要禁止路由，网络之间通信的唯一路径是通过应用层的代理软件。如果路由被意外允许，那么双宿主主机防火墙的应用测功能就会被旁路，内部受保护网络就会完全暴露在危险中。

　　3)主机屏蔽防火墙

　　屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。这与双宿主机防火墙受攻击时的情形差不多。

　　因为路由器具有数据过滤功能，路由器通过适当配置后，可以实现一部分防火墙的功能，因此，有人把屏蔽路由器也成为防火墙的一种。实际上，我们常常把屏蔽路由器作为保护网络的第一道防线。根据内网的安全策略，屏蔽路由器可以过滤掉不允许通过的数据包。屏蔽路由器配置要根据实际的网络安全策略来进行，如服务器提供web服务就需要屏蔽路由器开放80端口。

　　因为这种体系结构允许数据包从外网向内网移动，所以它的设计比没有外部数据流量的双宿主机更冒风险，但实际上双宿主机体系结构在防备数据包流入内网时也会造成失败。总之保护路由器比保护主机更容易实现，因为路由器提供非常有限的服务，漏洞要比主机少得多，所以主机屏蔽防火墙体系结构能提供更好的安全性和可用性。

　　4)子网屏蔽防火墙

　　子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边网络更进一步地把内部网络与外网隔离。

　　通常，堡垒主机是网络上最容易受攻击的机器。任凭用户如何保护它，它仍有可能被突破或入侵，因为没有任何主机是绝对安全的。

　　在主机屏蔽体系中，用户的内部网络对堡垒主机没有任何防御措施，如果黑客成功入侵到主机屏蔽体系结构中的堡垒主机，那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会，但不是全部。

　　被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，它必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。

　　根据堡垒主机和包过滤器的各种组合，基于屏蔽子网的防火墙系统衍生出了一些派生结构体系。

　　(1)合并“非军事区”的外部路由器和堡垒主机的结构系统。

　　(2)合并DMZ的内部路由器和外部路由器结构。

　　(3)使用多台堡垒主机的体系结构。

　　(4)使用多台外部路由器的体系结构。

　　防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线才能接触目标计算机。至少为了自己计算机安全，赶紧开启防火墙设置吧!还想了解更多的内容，可以登录课课家教育或搜索公众号【课课家IT精品课程】，期待大家的加入!