4、IP通道(IP Tunnels)

　　如果一个大公司的两个子公司相隔较远，通过Internet通信。这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚拟的企业网。

　　5、网络地址转换器(NAT Network Address Translate)

　　当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

　　6、隔离域名服务器(Split Domain Name Server )

　　这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

　　7、邮件技术(Mail Forwarding)

　　当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

　　应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程，这样安全性有所提高。然而，它们是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每一个代理需要一个不同的应用进程，或一个后台运行的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则不能使用该种服务，可伸缩性差。 基于这种工作机制，应用网关防火墙有以下缺陷：

　　连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受到限制;

　　技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理;

　　性能：实现应用网关防火墙牺牲了一些系统性能。

防火墙的体系结构及组合形式

　　1、屏蔽路由器(Screening Router)

　　这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。

　　单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。

　　2、双宿主机网关(Dual Homed Gateway)

　　任何拥有多个接口卡的系统都被称为多宿的，双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件，可以转发应用程序，提供服务等。

　　双宿主机网关优于屏蔽路由器的地方是：堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。

　　双宿主机网关的一个致命弱点是：一旦入侵者侵入堡垒主机并使其只具有路由功能，则任何网上用户均可以随便访问内网。

　　3、被屏蔽主机网关(Screened Host Gateway)

　　屏蔽主机网关易于实现也很安全，因此应用广泛。例如，一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。

　　如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

　　4、被屏蔽子网 (Screened Subnet)

　　这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。

　　如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，整个过程中不能引发警报。

　　建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：

　　1、使用多堡垒主机;

　　2、合并内部路由器与外部路由器;

　　3、合并堡垒主机与外部路由器;

　　4、合并堡垒主机与内部路由器;

　　5、使用多台内部路由器;

　　6、使用多台外部路由器;

　　7、使用多个周边网络;

　　8、使用双重宿主主机与屏蔽子网。

    随着人们对网络安全意识的提高，防火墙的应用越来越广泛。有钱的用高级硬件防火墙，没钱的用免费的软件防火墙。那么，硬件防火墙和软件防火墙相比，有哪些优点呢?

上一页 [1] [2] [3] 下一页