@爆米花
2年前 提问
1个回答

防火墙安全体系结构有哪些

在下炳尚
2年前

防火墙安全体系结构有以下这些:

  • 包过滤路由器型防火墙结构:在传统的路由器中增加包过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于在单机上实现,形成了网络中的“单失效点”。由于路由器的基本功能是转发数据包,一旦过滤机能失效,就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效-安全”型,也违反了阻塞点原理。

  • 双宿主主机型防火墙结构:该结构至少由具有两个接口(即两块网卡)的双宿主主机构成。双宿主主机一个接口接内部网络,另一个接口接外部网络,这种主机还可以充当与这台主机相连的网络之间的路由器,它能将一个网络的IP数据包在无安全控制的情况下传递给另外一个网络。但是在将一台主机安装到防火墙结构中时,首先要使双宿主主机的这种路由功能失效。从一个外部网络(如互联网)来的IP数据包不能无条件地传给另一个网络(如内部网络)。

  • 主机过滤型防火墙结构:这种防火墙由过滤路由器和运行网关软件的堡垒主机构成。该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间,该主机可完成多种代理,如FTP、Telnet、WWW,还可以完成认证和交互作用,能提供完善的Internet访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不够理想。

  • 子网过滤型防火墙结构:该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部网络与外部网络,用参数网络(DMZ)来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而对内部网络的破坏力。入侵者即使冲过堡垒主机也不能对内部网络进行任意操作,而只可进行部分操作。

  • 吊带式防火墙结构:这种防火墙与子网过滤型防火墙结构的区别是,作为代理服务器和认证服务器的网关主机位于周边网络中。这样,代理服务器和认证服务器是内部网络的第一道防线,而内部路由器是内部网络的第二道防线,而把Internet的公共服务(如FTP服务器、Telnet服务器、WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部网络的安全风险。

  • 组合式防火墙安全体系结构:现实意义上的防火墙往往是将多种安全技术(包过滤路由器、代理服务器、密码技术、审计认证)相结合,以满足各种不同级别、不同环境的安全要求。实际构造防火墙安全系统时,一般很少采用单一的技术,通常是多种可以解决不同问题的技术的组合。这种组合主要取决于网络向用户提供什么样的服务以及网络能接受什么等级的风险。