淺析三種流行防火墻配置方案
防火墻配置幾乎是每個互聯網應用企業都要面臨的問題,如何配置一個高效的防火墻是一個企業安全管理員關注的問題。那么本篇文章就通過淺析三種典型的主流防火墻配置方案,使得網絡安全管理人員在配制自身企業防火墻是能有個更好的思路。
防火墻配置方案1、雙宿主機網關(DualHomedGateway)
這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡,又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器),可以轉發應用程序,提供服務等。雙宿主機網關有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網上用戶均可以隨便訪問有保護的內部網絡
防火墻配置方案2、屏蔽主機網關(ScreenedHostGateway)
屏蔽主機網關易于實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡,同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡,與內部網絡連接(如圖2)。通常在路由器上設立過濾規則,并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機,確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機,可以受控制地通過屏蔽主機和路由器訪問Internet.
防火墻配置方案3、屏蔽子網(ScreenedSubnet)
這種方法是在Intranet和Internet之間建立一個被隔離的子網,用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。
兩個包過濾路由器放在子網的兩端,在子網內構成一個“緩沖地帶”,兩個路由器一個控制Intranet數據流,另一個控制Internet數據流,Intranet和Internet均可訪問屏蔽子網,但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機,為內部網絡和外部網絡的互相訪問提供代理服務,但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器,像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內,這樣無論是外部用戶,還是內部用戶都可訪問。
這種結構的防火墻安全性能高,具有很強的抗攻擊能力,但需要的設備多,造價高。
當然,防火墻本身也有其局限性,如不能防范繞過防火墻的入侵,像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內部的攻擊等等。總之,防火墻只是一種整體安全防范策略的一部分,僅有防火墻是不夠的,安全策略還必須包括全面的安全準則,即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護等有關的安全策略。
【編輯推薦】
