第六章 防火墙技术



            有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的
            定义，而且在安全性上也超越了前两代产品。

                 四、防火墙的体系结构

                 （一）屏蔽路由器（Screening Router)

                 屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏
            蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由
            器上可以安装基于 IP 层的报文过滤软件，实现报文过滤功能。许多路由器本身

            带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危
            险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻击后
            很难发现，而且不能识别不同的用户。
                 （二）双穴主机网关（Dual Homed Gateway)
                 双穴主机网关是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自

            与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，
            提供服务等。与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护
            系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦黑客侵入堡垒主

            机并使其只具有路由功能，任何网上用户均可以随便访问内部网。
                 （三）被屏蔽主机网关（Screened Gateway)
                 屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，通
            常是在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到
            达的主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是

            一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主
            机和屏蔽路由器的配置。危险被限制在堡垒主机和屏蔽路由器。网关的基本控制
            策略由安装在上面的软件决定。如果攻击者设法登陆到它上面，内网中的其余主

            机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。
                 （四）被屏蔽子网（Screened Subnet)
                 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两
            台分组过滤路由器将这一子网分别与内部网络与外部网络分开。在很多现实中，
            两个分组过滤路由器放在子网的两端，在子网内构成一个 DNS，内部网络和外部

            网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还


                                                                                    177
                                                                                    177