网络防火墙的安全体系结构有哪些
网络防火墙的安全体系结构有以下这些:
包过滤路由器型防火墙结构:在传统的路由器中增加包过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明,但由于在单机上实现,形成了网络中的“单失效点”。由于路由器的基本功能是转发数据包,一旦过滤机能失效,就会形成网络直通状态,任何非法访问都可以进入内部网络。因此这种防火墙的失效模式不是“失效-安全”型,也违反了阻塞点原理。因此,人们认为这种防火墙尚不能提供有效的安全功能,仅在早期的Internet中应用。
双宿主主机型防火墙结构:该结构至少由具有两个接口(即两块网卡)的双宿主主机构成。双宿主主机一个接口接内部网络,另一个接口接外部网络,这种主机还可以充当与这台主机相连的网络之间的路由器,它能将一个网络的IP数据包在无安全控制的情况下传递给另外一个网络。但是在将一台主机安装到防火墙结构中时,首先要使双宿主主机的这种路由功能失效。从一个外部网络(如互联网)来的IP数据包不能无条件地传给另一个网络(如内部网络)。只有双宿主主机之间支持内、外网络,并与堡垒主机进行通信,而内、外网络之间不能直接通信。双宿主主机可以提供很高程度的网络控制。如果安全规则不允许包在内、外部网络之间直传,而发现内部网络的包有一个对应的外部数据源,这就说明系统安全机制有问题。在有些情况下,当一个申请的数据类型与外部网络提供的某种服务不相符时,双宿主主机否决申请者要求与外部网的连接。同样情况下,用包过滤系统要做到这种控制是非常困难的。当然,要充分地利用双宿主主机其他潜在的优点,其开发工作量是很大的。
主机过滤型防火墙结构:这种防火墙由过滤路由器和运行网关软件的堡垒主机构成。该结构提供安全保护的堡垒主机仅与内部网络相连,而过滤路由器位于内部网络和外部网络之间。该主机可完成多种代理,如FTP、Telnet、WWW,还可以完成认证和交互作用,能提供完善的Internet访问控制。这种防火墙中的堡垒主机是网络的“单失效点”,也是网络黑客集中攻击的目标,安全保障仍不够理想。一般来讲,主机过滤结构比双宿主主机结构能提供更好的安全保护,同时也具有更高的可操作性,而且这种防火墙投资少,安全功能实现和扩充容易,因而目前应用比较广泛。
子网过滤型防火墙结构:该防火墙是在主机过滤结构中再增加一层参数网络的安全机制,使得内部网络和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部网络与外部网络,用参数网络(DMZ)来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而对内部网络的破坏力。入侵者即使冲过堡垒主机也不能对内部网络进行任意操作,而只可进行部分操作。
吊带式防火墙结构:这种防火墙与子网过滤型防火墙结构的区别是,作为代理服务器和认证服务器的网关主机位于周边网络中。这样,代理服务器和认证服务器是内部网络的第一道防线,而内部路由器是内部网络的第二道防线,而把Internet的公共服务(如FTP服务器、Telnet服务器、WWW服务器及E-mail服务器等)置于周边网络中,也减少了内部网络的安全风险。