分析三種主流防火牆配置方案利弊

2021-05-25 00:37:41 字數 2030 閱讀 7547

雙宿主機閘道器(dual homed gateway)

這種配置是用一台裝有兩個網路介面卡的雙宿主機做防火牆。雙宿主機用兩個網路介面卡分別連線兩個網路,又稱堡壘主機(bastion host)。堡壘主機上執行著防火牆軟體(通常是**伺服器),可以**應用程式,提供服務等。

雙宿主機閘道器有乙個致命弱點:一旦入侵者侵入堡壘主機並使該主機只具有路由器功能,則任何網上使用者均可以隨便訪問有保護的內部網路。

雙宿主機體系結構提供來自與多個網路相連的主機的服務(但是路由關閉),它圍繞雙宿主計算機構築。該計算機至少有兩個網路介面,位於網際網路與內部網之間,並被連線到網際網路和內部網。兩個網路都可以與雙宿主機通訊,但相互之間不行,它們之間的ip通訊被完全禁止,僅能通過**或使用者直接登入到雙宿主機來提供服務。它能提供級別非常高的控制,並保證內部網上沒有外部的ip包。但這種體系結構中使用者訪問網際網路的速度會較慢,也會因為雙重宿主主機的被侵襲而失效。

遮蔽主機閘道器(screened host gateway)

遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。

乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線。通常在路由器上設立過濾規則,並使這個單宿堡壘主機成為從internet惟一可以訪問的主機,確保了內部網路不受未被授權的外部使用者的攻擊。而intranet內部的客戶機,可以受控制地通過遮蔽主機和路由器訪問internet。

雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網絡卡,一塊連線內部網路,一塊連線包過濾路由器。雙宿堡壘主機在應用層提供**服務,與單宿型相比更加安全。

被遮蔽主機體系結構使用乙個單獨的路由器提供來自僅僅與內部網路相連的主機的服務。遮蔽路由器位於網際網路與內部網之間,提供資料報過濾功能。堡壘主機是乙個高度安全的計算機系統,通常因為它暴露於網際網路之下,作為聯結內部網路使用者的橋梁,易受到侵襲損害。這裡它位於內部網上,資料報過濾規則設定它為網際網路上唯一能連線到內部網路上的主機系統。

它也可以開放一些連線(由站點安全策略決定)到外部網路。在遮蔽路由器中,資料報過濾配置可以按下列之一執行:①允許其他內部主機,為了某些服務而開放到網際網路上的主機連線(允許那些經由資料報過濾的服務)。②不允許來自內部主機的所有連線(強迫這些主機經由堡壘主機使用**服務)。

這種體系結構通過資料報過濾來提供安全,而保衛路由器比保衛主機較易實現,因為它提供了非常有限的服務組,因此這種體系結構提供了比雙宿主機體系結構更好的安全性和可用性。弊端是,若是侵襲者設法入侵堡壘主機,則在堡壘主機與其他內部主機之間無任何保護網路安全的東西存在;路由器同樣可能出現單點失效,若被損害,則整個網路對侵襲者開放。

遮蔽子網(screened subnet)

這種方法是在intranet和internet之間建立乙個被隔離的子網,用兩個包過濾路由器將這一子網分別與intranet和internet分開。兩個包過濾路由器放在子網的兩端,在子網內構成乙個「緩衝地帶」,兩個路由器乙個控制intranet資料流,另乙個控制internet資料流,intranet和internet均可訪問遮蔽子網,但禁止它們穿過遮蔽子網通訊。可根據需要在遮蔽子網中安裝堡壘主機,為內部網路和外部網路的互相訪問提供**服務,但是來自兩網路的訪問都必須通過兩個包過濾路由器的檢查。對於向internet公開的伺服器,像www、ftp、mail等internet伺服器也可安裝在遮蔽子網內,這樣無論是外部使用者,還是內部使用者都可訪問。

換句話說,遮蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器(因為它可被網際網路上使用者訪問),新增額外的安全層到被遮蔽主機體系結構中,將堡壘主機放在額外的安全層,構成了這種體系結構。這種在被保護的網路和外部網之間增加的網路,為系統提供了安全的附加層,稱之為周邊網(peripheral nets)。這種體系結構有兩個遮蔽路由器,每乙個都連線到周邊網。乙個位於周邊網與內部網之間,稱為內部路由器,另乙個位於周邊網與外部網之間,稱之為外部路由器。堡壘主機位於周邊網上。侵襲者若想侵襲內部網路,必須通過兩個路由器,即使他侵入了堡壘主機,仍無法進入內部網。因此這種結構沒有損害內部網路的單一易受侵襲點。

這種結構的防火牆安全效能高,具有很強的抗攻擊能力,但需要的裝置多,造價高。

防火牆五個安全域和三種工作模式

報文從低階別的安全區域向高階別的安全區域流動時為入方向 inbound 報文從由高階別的安全區域向低階別的安全區域流動時為出方向 outbound 低階安全區域,安全優先順序為5 通常用來定義internet等不安全的網路,用於網路入口線的接入。中級安全區域,安全優先順序為50 通常用來定義內部伺服...

三種常見新型防火牆技術 各自有優缺點

常見防火牆的型別主要有三種 包過濾 電路層閘道器 應用層閘道器,每種都有各自的優缺點。包過濾是第一代防火牆技術,它按照安全規則,檢查所有進來的資料報,而這些安全規則大都是基於底層協議的,如ip tcp。如果乙個資料報滿足以上所有規則,過濾路由器把資料向上層提交,或 此資料報,否則就丟棄此包。包過濾的...

SpringBoot主流讀取配置檔案三種方式

data component private string name 複製 區別在於讀取yml檔案時候支援中文編碼,peoperties需要轉碼 data configurationproperties prefix developer component public class develope...