防火墙与入侵检测(三)主流防火墙的部署与实现[精选].ppt

屏蔽子网 内部路由器 内部路由器部署在内联网络和DMZ交界处，又称为阻塞路由器。 保护内联网络免遭来自外联网络和DMZ的攻击。它执行屏蔽子网防火墙的大部分包过滤工作。 允许从内联网络到外联网络有选择的出站服务，这些服务将只使用发出请求的内部主机提供的包过滤功能，而不使用安全代理网关提供的安全代理功能。 内部路由器将限制与非军事区中安全代理网关堡垒主机进行连接的内部主机数目，而且需要对能够连接到安全代理网关堡垒主机的内部主机进行重点保护。 屏蔽子网 外部路由器 外部路由器部署在DMZ与外联网络的交界处，又称访问路由器或者接触路由器。 理论上同样执行网络层的包过滤功能，为DMZ和内联网络提供第一层保护。但实际上内部路由器和外部路由器的规则基本上是相同的，而且基本上是通用规则。因此，外部路由器只执行了一小部分过滤功能。 真正作用：防止源IP地址欺骗攻击和源路由攻击。限制内联网络和外联网络之间的连接。 屏蔽子网 堡垒主机 堡垒主机负责执行屏蔽子网防火墙的应用层访问控制操作。在堡垒主机上要安装相应的代理服务器组件，对于从内部服务器或内部主机发来的请求要进行应用层检查，符合允许条件后再由相应代理服务程序代为转发至外联网络的目的主机处。堡垒主机的这种安全代理网关功能可以由三叉防火墙代替以获得更高的安全性并简化了管理行为。 公用信息服务器 公共信息服务器主要是为了面向外联网络提供信息服务而设立的。每一台公用服务器都是一台牺牲主机，其上只提供必要的服务而不允许向内联网络转发信息。 屏蔽子网 优点 内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道到外部路由器或非军事区的存在，而不知道内部路由器的存在，也就无法探测到内部网络路由器后面的内部网络。 内联网络安全防护严密。 降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。 非军事区的划分将用户网络的信息流量明确地分为不同的等级，通过内部路由器的隔离作用，机密信息流受到严密的保护，减少了信息泄漏现象的发生。 其他结构 多堡垒主机 在屏蔽子网中使用多台堡垒主机扮演不同的角色，可同时为多个用户提供多种不同的网络服务，通过热备份机制增强了堡垒主机的可用性，此外还可隔离不同安全级别的数据和服务器。 下图描述了多堡垒主机防火墙的结构： 其他结构 合并内部路由器和外部路由器 这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并，只使用一台过滤路由器来实现。这台过滤路由器最少要有三个接口：一个接口连接内网，另一个接口连接外网，还有一个接口连接DMZ。这种方案的最大的优点是节约了路由器的成本，但是也存在单路由器安全性低的问题——一旦该路由器被入侵者攻破，整个内部网络将直接面对入侵者。 下图描述了合并内部路由器和外部路由器防火墙的结构： 其他结构 合并外部路由器与堡垒主机 这种防火墙是将屏蔽子网防火墙的外部路由器与堡垒主机合并而来，其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能，所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本，在功能上也没有下降，但是堡垒主机的安全性问题必须要着重考虑。 左图描述了合并外部路由器与堡垒主机防火墙的结构： 其他结构 多外部路由器 这种防火墙可以实现对具有多个接入点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。 下图描述了多外部路由器屏蔽子网防火墙的结构： 其他结构 多DMZ 如果用户网络不但需要多点接入，而且还需要和不同的外部网络交换安全等级不同的数据，或者用户不希望被任何人探知自己的数据流向，那么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性，并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。 左图描述了这种复杂的多DMZ防火墙的结构： 本章小结 不同的防火墙实现结构讲直接影响防火墙执行访问控制策略的有效性，也影响到防火墙系统所能提供的安全性。 最主要的安全防护部署方案都是基于非军事区技术的。虽然其结构及由此带来的配置、维护和管理操作复杂了一些，但是它能够为用户网络提供较高的安全等级。 防火墙的部署与实现 在具体的实现过程中，防火墙往往不只是一台单一的设备或者装到某一台主机上的软件系统，而是多台（套）设备或软件的组合。 不同的组合方式体现了系统不同的安全要求，也决定了系统将采取不同的安全策略和实施办法。 防火墙的部署和实现结构可以说是组织或机构安全的实现基础，对于系统的整体安全来说具有重要的意义。 防火墙的部署与实现 过滤路由器 堡垒主机 多重宿主主机 屏蔽主机 屏蔽子网 其他结构 过滤路由器 定义：放在内部网络和外部网络之间，具有数据过滤