防火墙的体系结构有以下几种类型:
1、屏蔽路由器结构
屏蔽路由器结构是防火墙基本的结构。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯通道,要求所有的报文都必须在此通过检查。
路由器上可装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但般比较简单。屏蔽路由器对用户透明,而且设置灵活,所以应用比较广泛。
但是这种体系结构的防火墙没有或有很简单的日志记录功能,网络管理员很难确定网络系统是否正在被攻击或已经被人侵。规则表随着应用的深化会变得很大而且很复杂。依靠个单的部件来保护网络系统,旦部件出现问题,会失去保护作用,而用户可能还不知道。
2、双穴主机网关结构
这种配置是用台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连,每块网卡都有独立的IP地址。堡垒主机上运行着防火墙软件(应用层网关),可以转发应用程序,也可提供服务等功能。
双穴主机网关优于屏蔽路由器的地方是堡垒主机的系统软件可用于维护系统日志、硬件复制日志或远程日志。这对于日后的检查非常有用,但不能帮助网络管理者确认内网中哪些主机可能已被黑客人侵。
双穴主机网关的缺点是旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内部网络。
3、屏蔽主机网关结构
屏蔽主机网关易于实现也很安全,因此应用广泛。屏蔽主机网关包括个分组过滤路由器连接外部网络,同时个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。进出内部网络的数据只能沿图中的线流动。
如果受保护网络是—个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险区域只限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录,内网中的其余主机就会受到很大威胁,与双穴主机网关受攻击时的情形差不多。
4、屏蔽子网结构
这种方法是在内部网络和外部网络之间建立个被隔离的子网,用两台分组过滤路由器将这子网分别与内部网络和外部网络分开。在很多实现过程中,两个分组过滤路由器放在子网的两端,在于网内构成个非军事区。
内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信,像WWW和FTP服务器可放在DMZ中。有的屏蔽子网中还设有堡垒主机作为唯可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。
