设计一个防火墙时需要考虑很多因素,首先,需要设置良好的安全策略,这依赖于本地系统和环境;其次,防火墙还要便于配置;此外,还应保证防火墙本身的安全。防火墙的常见实现办法是设计一个堡垒主机(Bastion Host),使得内部网络与外部网络相隔离,堡垒主机通常包括需要从公网访问的服务器,如:Web服务器、Ftp服务器等。防火墙应该设计为:即使网络中某些堡垒主机受到损害,内部网络中的其余部分也不应该受到影响。
所谓的“堡垒主机”,就是一种运行有防火墙系统的用于防御外部攻击的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全的目的。通常,一个堡垒主机使用两块网卡,每个网卡连接不同的网络。一块网卡连接内部网络用来管理、控制和保护,而另一块则用于连接外部网络。依据配置的不同,堡垒主机的设置方式主要可分为单宿堡垒(Single-Homed)主机、双宿堡垒(Dual-Homed Bastion)主机以及屏蔽子网防火墙三种。
(1)单宿堡垒主机:如图8.9所示,在单宿堡垒主机防火墙中,由一个包过滤路由器连接外部网络,同时有一个堡垒主机安装在内部网络上,该堡垒主机上只有一个网卡,与内部网络连接。在单宿堡垒主机防火墙中,通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet唯一可以访问的主机,从而确保了内部网络不受未被授权的外部用户的攻击。而对于Intranet内部的客户机,则可以受控制地通过堡垒主机和路由器访问Internet。
(2)双宿堡垒(Dual-Homed Bastion)主机:如图8.10所示,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器。此时,即使路由被攻击了,主机仍然由堡垒主机保护着。因此,双宿堡垒主机防火墙比单宿堡垒主机防火墙更加安全。
图8.9 单宿主堡垒主机
图8.10 双宿堡垒主机
(3)屏蔽子网防火墙:如图8.11所示,屏蔽子网防火墙使用两个包过滤路由器,一个在堡垒主机和Internet之间,另一个在堡垒主机和内部网络之间。这种配置建立了分离的子网,子网中包括堡垒主机和(或)几种信息服务和调制解调器来支持拨号功能。
图8.11 屏蔽子网防火墙
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
