从体系结构角度考虑,防火墙主要包括双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。
1、双宿/多宿主机模式双宿/多宿主机模式(Dual-Homed/Multi-Homed Host Firewall)是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,如下图所示。通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,一般采用代理服务的方法,必须禁止网络层的路由功能。
屏蔽主机防火墙(Screened Host Fireawll)由包过滤路由器和堡垒主机完成,其工作如下图所示:
屏蔽主机模式的主要特点是:在防火墙中堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内网完全暴露。
3、屏蔽子网模式屏蔽子网模式(Screened Subnet Mode)采用两个包过滤路由器和一个堡垒主机,在内部网络之间建立一个被隔离的子网,定义为DMZ网络,有时也称周边网(Perimeter Network),如下图所示:
屏蔽子网模式的特点是:
(1)网络管理员将堡垒主机、web服务器、mail服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。在这一配置中,即使堡垒主机被入侵者控制,内部网仍能受到内部包过滤路由器的保护。
(2)多个堡垒主机运行各种代理服务,可以更有效地提供服务。
当然防火墙还可能存在着其他的结构模式,如一个堡垒主机和一个非军事区,合并DMZ的内部路由器和外部路由器结构,使用多个堡垒主机,使用多重宿主主机与屏蔽子网等。防火墙必须按照实际网络环境的要求而构造。
,
