防火墙防御体系结构类型
目录
- 防火墙防御体系结构类型-基于双宿主主机防火墙结构
- 防火墙防御体系结构类型-基于代理型防火墙结构
- 防火墙防御体系结构类型-基于屏蔽子网的防火墙结构
基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙,安全性从上到下依次增强,最弱的是第一个双宿主主机防火墙
防火墙防御体系结构类型-基于双宿主主机防火墙结构
这种系统至少具有两个网络接口卡的主机系统。内部网络和外部网络分别连接在不同的网卡,使内外网不能直接通信。从一块网卡上送来的IP包,经过一个安全检查模块检查后,如果是合法的,则转发到另一块网卡上,实现网络的正常通信;如果不合法,则阻止通信。
就是纯粹的一台设备,多网卡来实现,它的安全性相对而言会比较低,这种结构叫双宿主主机防火墙结构
防火墙防御体系结构类型-基于代理型防火墙结构
基于代理型防火墙结构:由一台主机同外部网连接,该主机代理内部网和外部网的通信代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构
过滤路由器可按如下规则配置:
允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。
任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接。
任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要有较全面的安全保护。
优点:代理型结构比双宿主主机结构提供更好的安全保护,同时操作也更加简便。
缺点:攻击者攻破代理主机,攻击者变成了内部合法用户,可以侦听到内部网络上的所有信息。
防火墙防御体系结构类型-基于屏蔽子网的防火墙结构
一个代理服务器有两个过滤路由器,相当于三个设备,我们从直观的图形上面看,设备越多,就越安全,基于屏蔽子网的防火墙是最安全的
就是它在我们的内网和外网之间搞一个屏蔽子网出来,这是一个单独的网络,这个网络跟内网是不同的一个网段,然后跟互联网是不同的网段,通过两个过滤路由器来隔离的,攻击者即使攻破了我们的堡垒机,也就是代理服务器主机,也不能直接增添到内部网络的信息,因为中间隔了两个路由器,我们的屏蔽子网跟内网不是同一个网段,不同网段要攻击的话,有点麻烦,如果是同网段,直接就能访问了
应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。
包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问,都必须经过应用代理服务器的检查和认证。
优点:安全级别最高。缺点:成本高,配置复杂。
第一个一种设备,第二个两种设备,第三个三种设备,安全性依次增强