计算机硬件及网络防火墙课件

《计算机硬件及网络防火墙课件》由会员分享，可在线阅读，更多相关《计算机硬件及网络防火墙课件（96页珍藏版）》请在装配图网上搜索。

1、第九章第九章 防火墙防火墙1计算机硬件及网络防火墙内容提要了解防火墙基础知识，掌握防火墙模型与安全策略、重点掌握防火墙的主要组成部分、防火墙的缺陷、防火墙的结构、双重宿主主机的概念及服务方式、掌握堡垒主机基础知识、基本原则，会配置和保护堡垒主机，会进行堡垒主机的维护。防火防火墙技技术 计算机硬件及网络防火墙2005年，防火墙再度成为市场表现最为出色的网络安全产品，其市场增长率在三类主要安全产品中居于首位，占市场份额为43.4%。IDS和防火墙、防病毒列在一起称为安全三大件或“老三样”，计算机硬件及网络防火墙防火防火墙的概念，功能，的概念，功能，发展，展，分分类计算机硬件及网络防火墙什么是防火什

2、么是防火墙？防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。计算机硬件及网络防火墙防火防火墙的定的定义在网络中，防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。计算机硬件及网络防火墙本质上，防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。就像工作在大门的安全卫士

3、，控制并检查站点的访问者。计算机硬件及网络防火墙从逻辑上讲，防火墙是分离器、限制器和分析器。从物理角度看，防火墙物理实现的方式有多种。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。计算机硬件及网络防火墙防火防火墙的的发展史展史 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。第二代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即应用层防火墙（代理防火墙）。计算机硬件及网络防火墙第三代防火墙 1992年，USC信息科学院的BobBraden开发出了

4、基于动态包过滤（Dynamic packet filter）技术的第三代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第四代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第四代防火墙。计算机硬件及网络防火墙防火防火墙适用的适用的环境境由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类

5、相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。计算机硬件及网络防火墙防火防火墙的功能的功能根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户；防止入侵者接近网络防御设施；限制内部用户访问特殊站点。计算机硬件及网络防火墙防火墙应该满足的条件防火墙应该满足的条件所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。理论上说，防火墙是穿不透的。计算机硬件及网络防火墙防火防火墙的局限性的局限性

6、防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部人员将敏感数据拷贝到软盘上。防火墙也不能防范没有防范心理的管理员授予其些入侵者临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。计算机硬件及网络防火墙防火防火墙的分的分类从采用的技术上分，常见的防火墙有三种类型：分组（包）过滤防火墙；代理（应用代理）防火墙；状态检测防火墙。计算机硬件及网络防火墙包包过滤防火防火墙包过滤器在数据包的基础上控制哪些数据包可以控制哪些数据包可以进出网出网络而哪些数据包而哪些数据包应被网被网络拒拒绝。工作在网络层，纯包过滤器只关注下列信息:源IP地址

7、、目标IP地址、源端口、目标端口、包类型。能够在标准的路由器上以及专门的防火墙设备上执行。例子：位于Internet和内部网络之间的路由器，它根据数据包的来源、目的地址和端口来过滤。这样的路由器被称为屏蔽路由器(Screening Router)。计算机硬件及网络防火墙数据包封装数据包封装计算机硬件及网络防火墙常常见的包的包过滤规则包过滤系统只能让我们进行类似以下情况的操作：（1）允许或不允许用户从外部网用Telnet登录；（2）允许或不允许用户使用SMTP往内部网发电子邮件；包过滤不能允许我们进行如下的操作：（1）允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作。（2）允许

8、用户传送一些文件而不允许用户传送其它文件。计算机硬件及网络防火墙分分分分组过滤组过滤防火防火防火防火墙墙的配置与的配置与的配置与的配置与实现实现数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃数据包。计算机硬件及网络防火墙包包过滤是如何工作的是如何工作的包包过滤技技术可可以以允允许或或不不允允许某某些些包包在在网网络上上传递，它依据以下的判据：，它依据以下的判据：（1 1）将包的目的地址作）将包的目的地址作为判据；判据；（2 2）将包的源地址作）将包的源地址作为判据；判据；（3 3）将包的）将包的传送送协议作作为判据。判据。包包过滤（续）7/26/2023计算机硬件及网络防火墙

9、数据包数据包过滤特性特性IP地址过滤地址过滤信任环境下信任环境下IP地址可以作为身份认证的依据，并通地址可以作为身份认证的依据，并通过对过对IP地址的过滤进行访问控制。地址的过滤进行访问控制。封装协议过滤封装协议过滤禁止载有不需要的或具有安全隐患的协议。禁止载有不需要的或具有安全隐患的协议。IP分段过滤分段过滤大部分选项用来用来设置安全和路由信息，可用来大部分选项用来用来设置安全和路由信息，可用来攻击网络。禁止携带这类选项的包。攻击网络。禁止携带这类选项的包。IP选项过滤选项过滤大多数大多数ICMP报文会向外泄露一些内部网络信息，报文会向外泄露一些内部网络信息，必须根据报文类型来进行流量过滤。

10、必须根据报文类型来进行流量过滤。ICMP消息过滤消息过滤大多数大多数ICMP报文会向外泄露一些内部网络信息，报文会向外泄露一些内部网络信息，必须根据报文类型来进行流量过滤。必须根据报文类型来进行流量过滤。TCP/UDP端口过滤端口过滤对对TCP/UDP端口进行过滤端口进行过滤,可以限定对特定服务的访可以限定对特定服务的访问问,以及抵抗端口扫描和拒绝访问攻击。以及抵抗端口扫描和拒绝访问攻击。TCP标志位过滤标志位过滤通过检测通过检测ACK标志标志,可以只允许内部网络发起可以只允许内部网络发起TCP连连接，阻止外部网络发起接，阻止外部网络发起TCP连接，并阻止没有建立连接，并阻止没有建立TCP连接

11、的包通过连接的包通过7/26/2023计算机硬件及网络防火墙包包过滤操作流程操作流程图计算机硬件及网络防火墙一个通信都是双向的？是否需要配置两条规YES但很多包过滤防火墙规定只要不是SYN数据包，都允许通过。即只考虑一个连接的第一个数据包。当然，安全问题。没办法，简单包过滤只能这样。计算机硬件及网络防火墙分分组过滤规则示例示例一个可靠的分组过滤防火墙依赖于规则集，表中列出了几条典型的规则集。行为行为源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口码子位码子位允许允许允许允许拒绝拒绝内部网络地址内部网络地址外部网络地址外部网络地址所有所有外部网络地址外部网络地址内部网络地址内部网

12、络地址所有所有TCPTCP所有所有任意任意80所有所有801023所有所有任意任意ACK所有所有计算机硬件及网络防火墙包包过滤防火防火墙的配置的配置首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。有关服务翻译成包过滤规则时非常重要的几个概念。计算机硬件及网络防火墙包包过滤防火防火墙的配置的配置（1）协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到防火墙的。计算机硬件及网络防火墙包包过滤防火防火墙的配置的配置（2）“往内”与“往外”的含义。在我们制定包过滤规则时，必须准确理解“往内”与“往外

13、”的包和“往内”与“往外”的服务这几个词的语义。（3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。计算机硬件及网络防火墙包包过滤的的优点点容易实现，费用少，如果被保护网络与外界之间已经有一个独立的路由器，那么只需简单地加一个分组过滤软件便可保护整个网络。分组过滤在网络层实现，不要求改动应用程序，对用户透明，用户感觉不到过滤服务器的存在，因而使用方便。计算机硬件及网络防火墙包包过滤的缺点的缺点 规则表随着应用的深化会很快变得很大而且复杂，这样不仅规则难以测试，而且规

14、则结构出现漏洞的可能性也会增加。另一个重要的局限是它不能分辨好的和坏的用户，只能区分好的数据包和坏的数据包。包过滤只能工作在有黑白分明安全策略的网络环境中。计算机硬件及网络防火墙路由器与包路由器与包过滤防火防火墙有了路由器，还需要包过滤防火墙吗？路由器审计，性能，附加安全功能较差可能需要购买加强安全功能的版本，如CISCO公司的路由器对硬件要求较高计算机硬件及网络防火墙建建议过滤规则任何进入内部网络的数据包不能把网络内部的地址作为源地址。任何进入内部网络的数据包必须把网络内部的地址作为目的地址。任何离开内部网络的数据包必须把网络内部的地址作为源地址。任何离开内部网络的数据包不能把网络内部的地址

15、作为目的地址。31计算机硬件及网络防火墙建建议过滤规则任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。阻塞任意源路由包或任何设置了IP选项的包。保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8、169.254.0.0/16、192.0.2.0/24、224.0.0.0/4、240.0.0.0/4。32计算机硬件及网络防火墙代理防火代理防火墙33计算机硬件及网络防火墙代理服代理服务器器功能就是代理网络用户去取得网络信息。代理服务器位于网络和Internet之间，接收、分析服务

16、请求，并在允许的情况下对其进行转发。代理服务提供服务的替代连接，比如，网络内部的一个用户想要远程登录到Internet 上的一台主机，代理服务器会接收用户请求，决定是否准许其到远程的连接，当某个请求被允许时建立自身与远程目标主机之间及自身与用户之间的Telnet 会话，然后代表客户与真正的服务器进行交谈，并将从客户端来的请求传送给真实服务器，将真实服务器的回答传送给客户。计算机硬件及网络防火墙代理的代理的实现过程程计算机硬件及网络防火墙应用用层代理代理代理服务器从内部网络客户端接受请求。如果客户端被代理服务器授权了，代理服务器将代表客户端与外部服务器进行通信。Application-layer

17、 proxies，也称做应用层网关，又称双宿主网关，是到目前为止,最流行的代理方式。计算机硬件及网络防火墙应用用层代理代理其物理位置与包过滤路由器一样，逻辑位置在应用层上，针对特定的应用层协议，如超文本传输(HTTP)，文件传输(FTP)等等。它提供的控制最多，但是不灵活，必须要有相应的协议支持。如果协议不支持代理（如SMTP和POP），那就只能在应用层以下代理。最常用的应用层网关是HTTP代理服务器，端口通常为80或8080。计算机硬件及网络防火墙应用代理型防火用代理型防火墙7/26/2023计算机硬件及网络防火墙应用用层网关及网关及HTTP代理代理应用层网关内部连接外部主机TelnetFT

18、P内部主机HTTP外部连接39计算机硬件及网络防火墙链路路层代理代理链路层代理(Circuit-level proxies）(也称做电路层网关）工作在传输层与应用层之间，电路层网关在网络的传输层上实施访问策略，是在内、外网络主机之间建立一个虚拟电路，链路层代理服务器常常提供网络地址翻译。意思是一台网络主机将内部网络主机的包进行修改,这样,它们就能够通过Internet发出了。最流行的链路层代理是使用协议SOCKS(SOCKS protocol）的一种代理。计算机硬件及网络防火墙SOCKS代理代理外部的外部的ftp服务器服务器计算机硬件及网络防火墙电路路层网关网关内部连接外部主机电路层网关内部主

19、机外部连接outinoutinoutin42计算机硬件及网络防火墙网网络地址地址转换防火墙的网络地址转换功能是指将内部主机的IP地址转换为某一固定或者某范围内的某个IP地址，而使从网络外部无法探测到它们。网 络 地 址 转 换（NAT，Network Address Translation），有时也称为IP伪装。43计算机硬件及网络防火墙NATNAT类型型静态NAT（Static NAT）动态地址NAT（Dynamic NAT）端口转换NAPT（Network Address Port Translation）44计算机硬件及网络防火墙静静态NATNAT把内部网络中的每个主机都永久映射成外部网

20、络中的某个合法的地址45计算机硬件及网络防火墙动态NATNAT在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络 46计算机硬件及网络防火墙端口端口转换 NATNAT把内部地址映射到外部网络的一个IP地址的不同端口上 47计算机硬件及网络防火墙代理服代理服务器的适用器的适用环境境代理服务器适用于特定的Internet服务，如HTTP、FTP等。比如http代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。

21、计算机硬件及网络防火墙应用型防火用型防火墙的配置与的配置与实现计算机硬件及网络防火墙代理服代理服务器的主要功能器的主要功能连接Internet与Intranet 充当防火墙因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务器进行互联来交换信息。节省IP开销所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。这样，局域网内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费用。计算机硬件及网络防

22、火墙代理服代理服务器的主要功能器的主要功能提高访问速度：本身带宽较小，通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。类似于网络缓存。注意：如果没有缓存，代理服务器是比较慢的。计算机硬件及网络防火墙代理服代理服务器工作模型器工作模型 52计算机硬件及网络防火墙代理服代理服务器例子器例子 （1）不使用代理，正常上网的流程浏览WEB：HTTP客户端(IE)HTTP服务器。使用QQ：QQ客户端QQ

23、服务器。（2）仅使用一级代理浏览WEB：HTTP客户端(IE)代理服务器(HTTP Proxy)HTTP服务器。使用QQ：QQ客户端代理服务器(SOCKS5 Proxy)QQ服务器。53计算机硬件及网络防火墙54计算机硬件及网络防火墙代理服务器数据包的重构过程 55计算机硬件及网络防火墙在Windows系统下的IE浏览器的配置 56计算机硬件及网络防火墙代理服代理服务器例子器例子 （3）使用二级代理浏览WEB：HTTP客户端(IE)代理服务器(HTTP Proxy)二级代理服务器(HTTP Proxy或SOCKS5 Proxy)HTTP服务器。使用QQ：QQ客户端代理服务器(SOCKS5 Pr

24、oxy)二级代理服务器(SOCKS5 Proxy)QQ服务器。57计算机硬件及网络防火墙代理技代理技术的的优点点 代理易于配置代理能生成各项记录、日志代理能灵活、完全地控制进出流量、内容代理能过滤数据内容代理可以方便地与其它安全手段集成，认证、加密58计算机硬件及网络防火墙代理技代理技术的缺点的缺点 代理速度较路由器慢代理对用户不透明对于每项服务代理可能要求不同的服务器代理服务通常要求对客户、过程之一或两者进行限制代理服务不能保证免受所有协议弱点的限制代理不能改进底层协议的安全性59计算机硬件及网络防火墙透明代理透明代理普通代理需要用户配置IE，从而指向代理服务器。用户的访问数据包的目的地址变

25、为了代理服务器的地址。透明代理，不需要用户进行手工设置，用户的访问数据包的目的地址仍是提供服务的主机IP地址。代理服务器负责自动的转换。计算机硬件及网络防火墙状状态检测计算机硬件及网络防火墙状状态检测状态检测技术是防火墙近几年才应用的新技术。状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息与传统包过滤防火墙的静态过滤规则表相比，状态检测技术具有更好的灵活性和安全性。计算机硬件及网络防火墙状状

26、态检测状态数据包过滤规则在TCP连接建立之前，仍然使用普通的包过滤。但是在使用普通包过滤的同时，建立起连接状态表。对一个已建立的连接使用连接状态表去匹配。计算机硬件及网络防火墙状状态检测通信信息：即网络协议的当前信息。防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。计算机硬件及网络防火墙状状态检测通信状态：即以前的通信信息。包过滤防火墙，如果要允许FTP通过

27、，就必须作出让步而打开许多临时端口，这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。这里，对于UDP或者RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。计算机硬件及网络防火墙状状态检测应用状态：即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集

28、状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。计算机硬件及网络防火墙状状态检测操作信息：即在数据包中能执行逻辑或数学运算的信息。状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则 计算机硬件及网络防火墙状状态检测工作在TCP/IP各层，检查由防火墙转发的包，并创建相应的结构记录连接的状态。它的检查项包括链路层、网络层、传输层、应用层的各种信息，并根据规则表或状态

29、表来决定是否允许转发包通过。计算机硬件及网络防火墙状状态检测原理原理7/26/2023计算机硬件及网络防火墙状状态检测数据链路层 在数据包到达IP层以前进行检测，如果不满足安全策略，数据包被抛弃计算机硬件及网络防火墙状状态检测IP层协议、地址和端口（如 TCP协议，UDP协议等）IP分片ICMP协议检测计算机硬件及网络防火墙IPv4IPv4版本号版本号Version(4bit)报头长报头长IHL(4bit)服务类型服务类型 ServiceType(8bit)分组总长度分组总长度Total Length(16bit)标识标识Identification(16bit)标志标志Flags(3bit)

30、片偏移片偏移Fragment Offset(13bit)生存时间生存时间Time to Live(8bit)传输层协议传输层协议Protocol(8bit)头部校验和头部校验和 Header Checksum(16bit)源源IP地址地址Source Address(32bit)宿宿IP地址地址Destination Address(32bit)可选项可选项Option有效负载有效负载Payload（0或多个字节）或多个字节）20 bytes0 4 8 16 19 31填充域填充域padding72计算机硬件及网络防火墙状状态检测TCP带有初始序列号带有初始序列号的的SYNaACK SYNa，

31、且带有初始序列，且带有初始序列号的号的SYNbACK SYNbConnection计算机硬件及网络防火墙TCPTCP头部部源端口源端口Source Port(16bit)宿端口宿端口Destination Port(16bit)序列号序列号Sequence Number(32bit)确认号确认号Acknowledgment Number(32bit)DataOffset(4bit)Reserved(6bit)URGACKPSHRSTSYNFIN窗口大小窗口大小Window size(16bit)校验和校验和Checksum(16bit)紧急指针紧急指针Urgent Pointer(16bit)

32、选项选项 Options(0或多个或多个32bit字字)数据数据Data(可选可选)74计算机硬件及网络防火墙状状态检测TCP数据包的状态SYN：初始化ACK：确认RST 连接复位FIN：关闭连接STN：同步序列号URG:紧急数据.计算机硬件及网络防火墙状状态检测UDP协议 超时检测是否有以前的UDP数据包计算机硬件及网络防火墙UDPUDP头部部UDP源端口源端口UDP宿端口宿端口UDP长度长度UDP校验和校验和16bit16bit最小值为最小值为8全全“0”：不选；：不选；全全“1”：校验和为：校验和为0。77计算机硬件及网络防火墙状状态监测应用层FTPHTTP用户认证等计算机硬件及网络防火

33、墙状状态检测数据包过滤规则行为行为源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口码子位码子位允许允许允许允许拒绝拒绝内部网络地址内部网络地址外部网络地址外部网络地址所有所有外部网络地址外部网络地址内部网络地址内部网络地址所有所有TCPTCP所有所有任意任意80所有所有801023所有所有任意任意ACK所有所有计算机硬件及网络防火墙状状态检测状态数据包过滤规则行为行为规则规则允许允许允许允许拒绝拒绝数据包是先前连接的一部分数据包是先前连接的一部分先前有出站数据包先前有出站数据包其他其他计算机硬件及网络防火墙状状态检测状态表示例：源地址源地址目的地址目的地址协议协议源端口源端口目

34、的端口目的端口超时（秒）超时（秒）码字位码字位10.1.1.2010.1.1.34202.115.2.110.34.12.1110.22.11.4510.22.11.46TCPTCPUDP23413214133222808021601.520计算机硬件及网络防火墙状状态监测优点安全强度高配置灵活缺点：速度慢管理复杂连接状态表可以使用hash算法加速搜索。计算机硬件及网络防火墙防火防火墙体系体系结构构防火墙的体系结构一般有屏蔽路由器结构双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。83计算机硬件及网络防火墙屏蔽路由器屏蔽路由器结构构84计算机硬件及网络防火墙双重宿主主机体系双重宿主主

35、机体系结构构双宿主主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦攻击者侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。此外，双宿主主机结构的安全性也受到堡垒主机本身的安全性的限制，堡垒主机本身的任何安全缺陷，都直接影响到防火墙的安全性。保卫路由器比保卫主机较易实现85计算机硬件及网络防火墙屏蔽主机体系屏蔽主机体系结构构86计算机硬件及网络防火墙屏蔽主机体系屏蔽主机体系结构构单地址堡垒主机屏蔽路由器InternetWeb服务器堡垒主机PCPCPC87计算机硬件及网络防火墙屏蔽主机体系屏蔽主机体系结构构双地址堡垒主机屏蔽路由器In

36、ternetWeb服务器堡垒主机PCPCPC88计算机硬件及网络防火墙屏蔽主机体系屏蔽主机体系结构构堡垒主机是Internet连接到内部网络的桥梁（例如，传送进来的电子邮件）。仅有某些确定类型的连接被允许。数据包过滤也允许堡垒主机开放可允许的连接到外部世界。89计算机硬件及网络防火墙屏蔽主机体系屏蔽主机体系结构构在屏蔽的路由器中数据包过滤配置可以按下列之一执行：（1）允许其它的内部主机为了某些服务与Internet上的主机连接（即允许那些已经由数据包过滤的服务）。（2）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。90计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构

37、91计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构屏蔽子网体系结构通过添加周边网络更进一步地把内部网络与Internet隔离开。屏蔽路由器InternetWeb服务器堡垒主机内部路由器内部网络92计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。93计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构周边网络如果攻击者侵入周边网络上的堡垒主机，他也仅能探听到周边网上的通信，内部网络的通信仍是安全的

38、堡垒主机堡垒主机是接受来自外界连接的主要入口内部的客户端的出站：在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器；设置代理服务器在堡垒主机上运行来允许内部的客户端间接地访问外部的服务器。94计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构内部路由器内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。内部路由器所允许的在堡垒主机和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。95计算机硬件及网络防火墙屏蔽子网体系屏蔽子网体系结构构外部路由器外部路由器有时被称为访问路由器，保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。外部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。96计算机硬件及网络防火墙