有關電腦防火牆知識解讀「雙宿主機型防火牆什麼意思」

非軍事區

為了配置和管理方便，通常將內部網中需要向外部提供服務的伺服器設置在單獨的網段，這個網段被稱為非軍事區（DeMilitarized Zone，DMZ），也被稱為周邊網路，圖5-15是DMZ示意圖。

DMZ是周邊網路，是指在內部網路、外部網路之間增加的一個網路，對外提供服務的各種伺服器都可以放在這個網路里。DMZ隔離內外網路，並為內外網之間的通信起到緩衝作用。

周邊網路的存在，使得外部用戶訪問伺服器時不需要進入內部網路，而內部網路用戶對伺服器維護工作導致的信息傳遞也不會泄露至外部網路；

同時，周邊網路與外部網路或內部網路之間都存在著數據包過濾，這樣為外部用戶的攻擊設置了多重障礙，確保了內部網路的安全。

堡壘主機

在防火牆體系結構中，經常提到堡壘主機（Bastion Host，如圖5-15所示）。

堡壘主機得名於古代戰爭中用於防守的堅固堡壘，它位於內部網路的最外層，像堡壘一樣對內部網路進行保護。

堡壘主機是一種配置了安全防範措施的網路上的計算機，為網路之間的通信提供了一個阻塞點。如果沒有堡壘主機，網路之間將不能相互訪問。

堡壘主機是指可能直接面對外部用戶攻擊的主機系統，在防火牆體系結構中，堡壘主機要高度暴露，是網路上最容易遭受非法入侵的設備。

所以防火牆設計者和管理人員需要致力於堡壘主機的安全，而且在運行期間對堡壘主機的安全要給予特別的注意。

一般來說，堡壘主機上提供的服務越少越好，因為每增加一種服務就增加了被攻擊的可能性。

雙重宿主主機

雙重宿主主機是指至少擁有兩個以上網路介面且每個網路介面連接不同的網路的計算機系統，因此也稱為多穴主機系統。

一般來說，雙重宿主主機是實現多個網路之間互連的關鍵設備，如網橋是在數據鏈路層實現互連的雙重宿主主機，路由器是在網路層實現互連的雙重宿主主機，應用層網關是在應用層實現互連。

1. 雙宿主主機體系結構

雙宿主主機（Dual-Homed Host）體系結構如圖5-16所示。

雙宿主主機位於內部網和Internet之間，一般來說，是用一台裝有兩塊網卡的堡壘主機做防火牆。

這兩塊網卡各自與受保護網和外部網相連，分別屬於內外兩個不同的網段。

堡壘主機上運行著防火牆軟體，可以轉發應用程序，提供服務等。

雙宿主機網關堡壘主機的系統軟體可用於維護系統日誌。

雙宿主主機這種體系結構非常簡單，一般通過代理（Proxy）來實現，或者通過用戶直接登錄到該主機來提供服務。

雙宿主主機體系結構的特點

防火牆主體是帶有內部網路和外部網路介面主機系統，雙宿主主機具備成為內部網路和外部網路之間路由器的條件。但是，在內部網路與外部網路之間，數據包轉發進程是被禁止運行的。

為了達到防火牆的基本效果，在雙宿主主機系統中，任何路由功能是禁止的。雙宿主主機採用應用代理防火牆技術，內部網路用戶通過客戶端代理軟體訪問外部網路資源，或者直接登錄雙宿主主機成為一個用戶，利用該主機直接訪問外部資源。

雙宿主主機體系結構的優點

網路結構比較簡單，由於內、外網路之間沒有直接的數據交互而較為安全；內部用戶賬號可以有效控制外部資源；由於應用代理機制的採用方便地形成應用層的數據與信息過濾。

雙宿主主機體系結構的缺點

用戶需要登錄到主機才能訪問外部資源，主機資源消耗較大，用戶訪問外部資源較為複雜；用戶機制存在安全隱患，並且內部用戶無法藉助於該體系結構訪問新的服務；一旦外部用戶入侵雙宿主主機，則導致內部網路處於不安全狀態。

2. 被屏蔽主機體系結構

被屏蔽主機體系結構是指通過一個單獨的路由器和內部網路上的堡壘主機共同構成防火牆，主要通過數據包過濾技術實現內、外網路的隔離和對內網的保護，一個典型的被屏蔽的主機體系結構如圖5-17所示。

在被屏蔽主機體系結構中，有兩道屏障：一是屏蔽路由器，二是堡壘主機。屏蔽路由器位於網路最邊緣，負責與外網實施連接，參與外網的路由計算。

屏蔽路由器僅提供路由和數據包過濾功能，因此屏蔽路由器本身較為安全。由於屏蔽路由器的存在，堡壘主機不再是直接與外網互連的雙宿主主機，增加了系統的安全性。

堡壘主機位於內部網路，是唯一可以連接到外部網路系統的主機，也是外部用戶訪問內部網路資源必須經過的主機設備。

堡壘主機通過數據包過濾實現對內部網路的防護，並且僅僅允許通過特定的服務連接。堡壘主機可以提供代理功能，內部用戶只能通過應用代理訪問外部網路，堡壘主機成為外部用戶唯一可以訪問的內部主機。

被屏蔽主機體系結構的優點

具有更高的安全特性。由於屏蔽路由器在堡壘主機之外提供數據包過濾功能，使得堡壘主機要比雙宿主主機相對安全，存在漏洞的可能性較小；同時，堡壘主機的數據包過濾功能限制外部用戶只能訪問特定主機上的特定服務，在提供服務的同時仍然保證了內部網路的安全。

內部網路用戶訪問外部網路方便、靈活。在屏蔽路由器和堡壘主機允許的情況下，用戶直接訪問外部網路。如果屏蔽路由器和堡壘主機不允許，內部用戶通過堡壘主機代理服務訪問外部資源。在實際應用中，兩種方式綜合運用，訪問不同服務採用不同的方式。

由於堡壘主機和屏蔽路由器的同時存在，使得堡壘主機可以從部分安全事務中解脫出來，從而可以以更高的效率提供數據包過濾或代理服務。

被屏蔽主機體系結構的缺點

在被屏蔽主機體系結構中，外部用戶在被允許的情況下可以訪問內部網路，這樣就存在著一定的安全隱患；與雙宿主主機體系一樣，一旦用戶入侵堡壘主機，就會導致內部網路處於不安全狀態；路由器和堡壘主機的過濾規則配置較為複雜，較容易形成錯誤和漏洞。

3. 被屏蔽子網體系結構

在雙宿主主機體系結構和被屏蔽主機體系結構中，主機是最主要的安全缺陷，一旦主機被入侵，則整個內部網路都處於威脅之中，為解決這種安全隱患，出現了被屏蔽子網體系結構。

被屏蔽子網體系結構將防火牆的概念擴充至一個由兩台路由器包圍起來的特殊網路，即周邊網路，並且將堡壘主機都置於周邊網路中，一個典型的被屏蔽子網體系結構如圖5-18所示。

被屏蔽子網體系結構防火牆比較複雜，主要包括四個部件：周邊網路、外部路由器、內部路由器和堡壘主機。

周邊網路

周邊網路是位於不可信外部網路與可信內部網路之間的一個附加網路。周邊網路與外部網路、周邊網路與內部網路之間通過屏蔽路由器實現邏輯隔離，因此外部用戶必須穿越兩道屏蔽路由器才能訪問內部網路。

一般情況下，外部用戶不能訪問內部網路，僅能夠訪問周邊網路中的資源，由於內部用戶間通信的數據包不通過屏蔽路由器傳遞至周邊網路，外部用戶即使入侵了周邊網路中的堡壘主機，也無法監聽到內部網路的信息。

外部路由器

外部路由器的主要作用在於保護周邊網路和內部網路，是屏蔽子網體系結構的第一道屏障。在其上設置了針對外網用戶對周邊網路和內部網路訪問的過濾規則。

例如，限制外網用戶僅能訪問周邊網路不能訪問內部網路，或者僅能訪問內部網路中的部分主機。

外部路由器不過濾周邊網路內發出的數據包，因為數據包來自於堡壘主機或內部路由器過濾後的內部主機數據包。外部路由器複製內部路由器上的規則，以避免內部路由器失效而造成負面影響。

內部路由器

內部路由器用於隔離周邊網路和內部網路，是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶對周邊網路和外部網路訪問的過濾規則。

例如，部分內部網路用戶只能訪問周邊網路不能訪問外部網路等。

內部路由器複製了外部路由器上的內網過濾規則，以防止外部路由器過濾功能失效而造成的嚴重後果。

內部路由器還要限制周邊網路的堡壘主機和內部網路之間的訪問，減少堡壘主機被入侵後可以影響的內部主機數量和服務的數量。

堡壘主機

在被屏蔽子網結構中，堡壘主機位於周邊網路，向外部用戶提供WWW、FTP等服務，接受外部網路用戶的服務資源訪問謂求，同時堡壘主機也向內部網路用戶提供DNS、WWW代理、FTP代理等服務，提供內部網路用戶訪問外部資源的介面。

被屏蔽子網體系結構的優點

外部路由器和內部路由器構成了雙層防護體系，入侵者難以突破；

外部用戶訪問服務資源時無需進入內部網路，在保證服務的情況下提高了內部網路的安全性；

外部路由器和內部路由器過濾規則複製，避免了由於某台路由器失效產生的安全隱患；

堡壘主機由外部路由器的過濾規則和本機安全機制共同防護，用戶只能訪問它提供的服務；

即使入侵者通過堡壘主機的服務缺陷控制了堡壘主機，由於內部路由器將內部網路和周邊網路隔離，入侵者無法通過監聽周邊網路獲取內部網路信息。

被屏蔽子網體系結構的缺點

構建被屏蔽子網體系結構的成本較高；被屏蔽子網體系結構的配置較為複雜，容易出現配置錯誤導致的安全隱患。