非军事区
为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段,这个网段被称为非军事区(DeMilitarized Zone,DMZ),也被称为周边网络,图5-15是DMZ示意图。
DMZ是周边网络,是指在内部网络、外部网络之间增加的一个网络,对外提供服务的各种服务器都可以放在这个网络里。DMZ隔离内外网络,并为内外网之间的通信起到缓冲作用。
周边网络的存在,使得外部用户访问服务器时不需要进入内部网络,而内部网络用户对服务器维护工作导致的信息传递也不会泄露至外部网络;
同时,周边网络与外部网络或内部网络之间都存在着数据包过滤,这样为外部用户的攻击设置了多重障碍,确保了内部网络的安全。
堡垒主机
在防火墙体系结构中,经常提到堡垒主机(Bastion Host,如图5-15所示)。
堡垒主机得名于古代战争中用于防守的坚固堡垒,它位于内部网络的最外层,像堡垒一样对内部网络进行保护。
堡垒主机是一种配置了安全防范措施的网络上的计算机,为网络之间的通信提供了一个阻塞点。如果没有堡垒主机,网络之间将不能相互访问。
堡垒主机是指可能直接面对外部用户攻击的主机系统,在防火墙体系结构中,堡垒主机要高度暴露,是网络上最容易遭受非法入侵的设备。
所以防火墙设计者和管理人员需要致力于堡垒主机的安全,而且在运行期间对堡垒主机的安全要给予特别的注意。
一般来说,堡垒主机上提供的服务越少越好,因为每增加一种服务就增加了被攻击的可能性。
双重宿主主机
双重宿主主机是指至少拥有两个以上网络接口且每个网络接口连接不同的网络的计算机系统,因此也称为多穴主机系统。
一般来说,双重宿主主机是实现多个网络之间互连的关键设备,如网桥是在数据链路层实现互连的双重宿主主机,路由器是在网络层实现互连的双重宿主主机,应用层网关是在应用层实现互连。
1. 双宿主主机体系结构
双宿主主机(Dual-Homed Host)体系结构如图5-16所示。
双宿主主机位于内部网和Internet之间,一般来说,是用一台装有两块网卡的堡垒主机做防火墙。
这两块网卡各自与受保护网和外部网相连,分别属于内外两个不同的网段。
堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
双宿主机网关堡垒主机的系统软件可用于维护系统日志。
双宿主主机这种体系结构非常简单,一般通过代理(Proxy)来实现,或者通过用户直接登录到该主机来提供服务。
双宿主主机体系结构的特点
防火墙主体是带有内部网络和外部网络接口主机系统,双宿主主机具备成为内部网络和外部网络之间路由器的条件。但是,在内部网络与外部网络之间,数据包转发进程是被禁止运行的。
为了达到防火墙的基本效果,在双宿主主机系统中,任何路由功能是禁止的。双宿主主机采用应用代理防火墙技术,内部网络用户通过客户端代理软件访问外部网络资源,或者直接登录双宿主主机成为一个用户,利用该主机直接访问外部资源。
双宿主主机体系结构的优点
网络结构比较简单,由于内、外网络之间没有直接的数据交互而较为安全;内部用户账号可以有效控制外部资源;由于应用代理机制的采用方便地形成应用层的数据与信息过滤。
双宿主主机体系结构的缺点
用户需要登录到主机才能访问外部资源,主机资源消耗较大,用户访问外部资源较为复杂;用户机制存在安全隐患,并且内部用户无法借助于该体系结构访问新的服务;一旦外部用户入侵双宿主主机,则导致内部网络处于不安全状态。
2. 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤技术实现内、外网络的隔离和对内网的保护,一个典型的被屏蔽的主机体系结构如图5-17所示。
在被屏蔽主机体系结构中,有两道屏障:一是屏蔽路由器,二是堡垒主机。屏蔽路由器位于网络最边缘,负责与外网实施连接,参与外网的路由计算。
屏蔽路由器仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全。由于屏蔽路由器的存在,堡垒主机不再是直接与外网互连的双宿主主机,增加了系统的安全性。
堡垒主机位于内部网络,是唯一可以连接到外部网络系统的主机,也是外部用户访问内部网络资源必须经过的主机设备。
堡垒主机通过数据包过滤实现对内部网络的防护,并且仅仅允许通过特定的服务连接。堡垒主机可以提供代理功能,内部用户只能通过应用代理访问外部网络,堡垒主机成为外部用户唯一可以访问的内部主机。
被屏蔽主机体系结构的优点
具有更高的安全特性。由于屏蔽路由器在堡垒主机之外提供数据包过滤功能,使得堡垒主机要比双宿主主机相对安全,存在漏洞的可能性较小;同时,堡垒主机的数据包过滤功能限制外部用户只能访问特定主机上的特定服务,在提供服务的同时仍然保证了内部网络的安全。
内部网络用户访问外部网络方便、灵活。在屏蔽路由器和堡垒主机允许的情况下,用户直接访问外部网络。如果屏蔽路由器和堡垒主机不允许,内部用户通过堡垒主机代理服务访问外部资源。在实际应用中,两种方式综合运用,访问不同服务采用不同的方式。
由于堡垒主机和屏蔽路由器的同时存在,使得堡垒主机可以从部分安全事务中解脱出来,从而可以以更高的效率提供数据包过滤或代理服务。
被屏蔽主机体系结构的缺点
在被屏蔽主机体系结构中,外部用户在被允许的情况下可以访问内部网络,这样就存在着一定的安全隐患;与双宿主主机体系一样,一旦用户入侵堡垒主机,就会导致内部网络处于不安全状态;路由器和堡垒主机的过滤规则配置较为复杂,较容易形成错误和漏洞。
3. 被屏蔽子网体系结构
在双宿主主机体系结构和被屏蔽主机体系结构中,主机是最主要的安全缺陷,一旦主机被入侵,则整个内部网络都处于威胁之中,为解决这种安全隐患,出现了被屏蔽子网体系结构。
被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络,即周边网络,并且将堡垒主机都置于周边网络中,一个典型的被屏蔽子网体系结构如图5-18所示。
被屏蔽子网体系结构防火墙比较复杂,主要包括四个部件:周边网络、外部路由器、内部路由器和堡垒主机。
周边网络
周边网络是位于不可信外部网络与可信内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间通过屏蔽路由器实现逻辑隔离,因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。
一般情况下,外部用户不能访问内部网络,仅能够访问周边网络中的资源,由于内部用户间通信的数据包不通过屏蔽路由器传递至周边网络,外部用户即使入侵了周边网络中的堡垒主机,也无法监听到内部网络的信息。
外部路由器
外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了针对外网用户对周边网络和内部网络访问的过滤规则。
例如,限制外网用户仅能访问周边网络不能访问内部网络,或者仅能访问内部网络中的部分主机。
外部路由器不过滤周边网络内发出的数据包,因为数据包来自于堡垒主机或内部路由器过滤后的内部主机数据包。外部路由器复制内部路由器上的规则,以避免内部路由器失效而造成负面影响。
内部路由器
内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户对周边网络和外部网络访问的过滤规则。
例如,部分内部网络用户只能访问周边网络不能访问外部网络等。
内部路由器复制了外部路由器上的内网过滤规则,以防止外部路由器过滤功能失效而造成的严重后果。
内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问,减少堡垒主机被入侵后可以影响的内部主机数量和服务的数量。
堡垒主机
在被屏蔽子网结构中,堡垒主机位于周边网络,向外部用户提供WWW、FTP等服务,接受外部网络用户的服务资源访问谓求,同时堡垒主机也向内部网络用户提供DNS、WWW代理、FTP代理等服务,提供内部网络用户访问外部资源的接口。
被屏蔽子网体系结构的优点
外部路由器和内部路由器构成了双层防护体系,入侵者难以突破;
外部用户访问服务资源时无需进入内部网络,在保证服务的情况下提高了内部网络的安全性;
外部路由器和内部路由器过滤规则复制,避免了由于某台路由器失效产生的安全隐患;
堡垒主机由外部路由器的过滤规则和本机安全机制共同防护,用户只能访问它提供的服务;
即使入侵者通过堡垒主机的服务缺陷控制了堡垒主机,由于内部路由器将内部网络和周边网络隔离,入侵者无法通过监听周边网络获取内部网络信息。
被屏蔽子网体系结构的缺点
构建被屏蔽子网体系结构的成本较高;被屏蔽子网体系结构的配置较为复杂,容易出现配置错误导致的安全隐患。