返回
第5章 访问控制与防火墙la

第5章 访问控制与防火墙la

ID:10017982

大小:1.98 MB

页数:74页

时间:2018-05-12

第5章 访问控制与防火墙la_第1页
第5章 访问控制与防火墙la_第2页
第5章 访问控制与防火墙la_第3页
第5章 访问控制与防火墙la_第4页
第5章 访问控制与防火墙la_第5页
资源描述:

《第5章 访问控制与防火墙la》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、5.5防火墙的体系结构防火墙可以设置成许多不同的结构,并提供不同级别的安全,而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构:筛选路由器、双网主机式体系结构~屏蔽主机式体系结构和屏蔽子网式体系结构。在介绍之前,先了解几个相关的基本概念:堡垒主机:高度暴露于Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者,把敌人的火力吸引到自己身上,从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。堡垒主机必须

2、有严格的安防系统,因其最容易遭到攻击。1屏蔽主机:被放置到屏蔽路由器后面网络上的主机称为屏蔽主机,该主机能被访问的程度取决于路由器的屏蔽规则。屏蔽子网:位于屏蔽路由器后面的子网,子网能被访问的程度取决于路由器的屏蔽规则。筛选路由式体系结构这种体系结构极为简单,路由器作为内部网和外部网的唯一过滤设备,如下图所示。2防火墙的体系结构内部网外部网筛选路由器式体系结构包过滤筛选路由器3双网主机式体系结构这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信,

3、防火墙外面的系统(Internet上的系统)也可以与这台双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。另外,使用此结构,必须关闭双网主机上的路由分配功能,这样就不会通过软件把两个网络连接在一起了。图6双网主机式体系结构内部网外部网双网主机4屏蔽主机式体系结构此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。堡垒主机位于内部网络,屏蔽路由器联接Internet和内部网络,构成防火墙的第一道防线。(参见下页图7)图7屏蔽主机

4、式体系结构5防火墙的体系结构屏蔽主机式体系结构Internet堡垒主机防火墙屏蔽路由器6屏蔽路由器必须进行适当的配置,使所有外部到内部的连接都路由到了堡垒主机上,并且实现外部到内部的主动连接。此类型防火墙的安全级别较高,因为它实现了网络层安全(屏蔽路由器——包过滤)和应用层安全(堡垒主机——代理服务)。入侵者在破坏内部网络的安全性之前,必须首先渗透两种不同的安全系统。即使入侵了内部网络,也必须和堡垒主机相竞争,而堡垒主机是安全性很高的机器,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。此类型防火墙中屏蔽路由器的配

5、置十分重要,如果路由表遭到破坏,则数据包不会路由到堡垒主机上,使堡垒主机被越过。7屏蔽子网(ScreenedSubNet)式体系结构这种体系结构本质上与屏蔽主机体系结构一样,但是增加了一层保护体系——周边网络,而堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开。由前可知,当堡垒主机被入侵之后,整个内部网络就处于危险之中,堡垒主机是最易受侵袭的,虽然其很坚固,不易被入侵者控制,但万一被控制,仍有可能侵袭内部网络。如果采用了屏蔽子网(ScreenedSubNet)式体系结构,入侵者将不能直接侵袭内部网络,因为内部网络受到了

6、内部屏蔽路由器的保护。屏蔽子网式体系结构如下图所示。图8屏蔽子网式体系结构8防火墙的体系结构屏蔽子网式体系结构Internet堡垒主机屏蔽路由器屏蔽路由器周边网络9非军事区(DMZ)网络非军事区(DMZ)网络与防火墙体系结构非常相似。防火墙可以布置成非军事区(DMZ)。组织要提供让外部访问的服务器(如Web服务器或FTP服务器)时才需要用到非军事区(DMZ)。为此,防火墙至少有三个网络接口。一个接口连接内部专用网,一个连接外部公网(即Internet),一个连接公用服务器(构成非军事区(DMZ)网络),如图9.19所示。1011这种

7、模式的主要优点是可以限制非军事区(DMZ)中任何服务的访问。例如,如果惟一需要的服务是Web服务器,则可以将进出非军事区网络的通信流限制为HTTP与HTTPS协议(分别为端口80和443),过滤所有其他通信流。更重要的是,内部专用网并不直接连接非军事区,因此,即使敌人能攻进非军事区,内部专用网也是安全的,无法访问的。125.6防火墙的构筑原则构筑防火墙主要从以下几个方面考虑:体系结构的设计;安全策略的制订;安全策略的实施。131.网络策略影响Firewall系统设计、安装和使用的网络策略可分为2级,高级的网络策略定义允许和禁止服务以

8、及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。2.服务访问策略服务访问策略集中在因特网访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。服务访问策略必须是可行的和合理的。可行的策

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。