雙宿主機型防火墻什么意思（有關電腦防火墻知識解讀）

非軍事區

為了配置和管理方便，通常將內部網中需要向外部提供服務的服務器設置在單獨的網段，這個網段被稱為非軍事區（DeMilitarized Zone，DMZ），也被稱為周邊網絡，圖5-15是DMZ示意圖。

DMZ是周邊網絡，是指在內部網絡、外部網絡之間增加的一個網絡，對外提供服務的各種服務器都可以放在這個網絡里。DMZ隔離內外網絡，并為內外網之間的通信起到緩沖作用。

周邊網絡的存在，使得外部用戶訪問服務器時不需要進入內部網絡，而內部網絡用戶對服務器維護工作導致的信息傳遞也不會泄露至外部網絡；

同時，周邊網絡與外部網絡或內部網絡之間都存在著數據包過濾，這樣為外部用戶的攻擊設置了多重障礙，確保了內部網絡的安全。

堡壘主機

在防火墻體系結構中，經常提到堡壘主機（Bastion Host，如圖5-15所示）。

堡壘主機得名于古代戰爭中用于防守的堅固堡壘，它位于內部網絡的最外層，像堡壘一樣對內部網絡進行保護。

堡壘主機是一種配置了安全防范措施的網絡上的計算機，為網絡之間的通信提供了一個阻塞點。如果沒有堡壘主機，網絡之間將不能相互訪問。

堡壘主機是指可能直接面對外部用戶攻擊的主機系統，在防火墻體系結構中，堡壘主機要高度暴露，是網絡上最容易遭受非法入侵的設備。

所以防火墻設計者和管理人員需要致力于堡壘主機的安全，而且在運行期間對堡壘主機的安全要給予特別的注意。

一般來說，堡壘主機上提供的服務越少越好，因為每增加一種服務就增加了被攻擊的可能性。

雙重宿主主機

雙重宿主主機是指至少擁有兩個以上網絡接口且每個網絡接口連接不同的網絡的計算機系統，因此也稱為多穴主機系統。

一般來說，雙重宿主主機是實現多個網絡之間互連的關鍵設備，如網橋是在數據鏈路層實現互連的雙重宿主主機，路由器是在網絡層實現互連的雙重宿主主機，應用層網關是在應用層實現互連。

1. 雙宿主主機體系結構

雙宿主主機（Dual-Homed Host）體系結構如圖5-16所示。

雙宿主主機位于內部網和Internet之間，一般來說，是用一臺裝有兩塊網卡的堡壘主機做防火墻。

這兩塊網卡各自與受保護網和外部網相連，分別屬于內外兩個不同的網段。

堡壘主機上運行著防火墻軟件，可以轉發應用程序，提供服務等。

雙宿主機網關堡壘主機的系統軟件可用于維護系統日志。

雙宿主主機這種體系結構非常簡單，一般通過代理（Proxy）來實現，或者通過用戶直接登錄到該主機來提供服務。

雙宿主主機體系結構的特點

防火墻主體是帶有內部網絡和外部網絡接口主機系統，雙宿主主機具備成為內部網絡和外部網絡之間路由器的條件。但是，在內部網絡與外部網絡之間，數據包轉發進程是被禁止運行的。

為了達到防火墻的基本效果，在雙宿主主機系統中，任何路由功能是禁止的。雙宿主主機采用應用代理防火墻技術，內部網絡用戶通過客戶端代理軟件訪問外部網絡資源，或者直接登錄雙宿主主機成為一個用戶，利用該主機直接訪問外部資源。

雙宿主主機體系結構的優點

網絡結構比較簡單，由于內、外網絡之間沒有直接的數據交互而較為安全；內部用戶賬號可以有效控制外部資源；由于應用代理機制的采用方便地形成應用層的數據與信息過濾。

雙宿主主機體系結構的缺點

用戶需要登錄到主機才能訪問外部資源，主機資源消耗較大，用戶訪問外部資源較為復雜；用戶機制存在安全隱患，并且內部用戶無法借助于該體系結構訪問新的服務；一旦外部用戶入侵雙宿主主機，則導致內部網絡處于不安全狀態。

2. 被屏蔽主機體系結構

被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻，主要通過數據包過濾技術實現內、外網絡的隔離和對內網的保護，一個典型的被屏蔽的主機體系結構如圖5-17所示。

在被屏蔽主機體系結構中，有兩道屏障：一是屏蔽路由器，二是堡壘主機。屏蔽路由器位于網絡最邊緣，負責與外網實施連接，參與外網的路由計算。

屏蔽路由器僅提供路由和數據包過濾功能，因此屏蔽路由器本身較為安全。由于屏蔽路由器的存在，堡壘主機不再是直接與外網互連的雙宿主主機，增加了系統的安全性。

堡壘主機位于內部網絡，是唯一可以連接到外部網絡系統的主機，也是外部用戶訪問內部網絡資源必須經過的主機設備。

堡壘主機通過數據包過濾實現對內部網絡的防護，并且僅僅允許通過特定的服務連接。堡壘主機可以提供代理功能，內部用戶只能通過應用代理訪問外部網絡，堡壘主機成為外部用戶唯一可以訪問的內部主機。

被屏蔽主機體系結構的優點

具有更高的安全特性。由于屏蔽路由器在堡壘主機之外提供數據包過濾功能，使得堡壘主機要比雙宿主主機相對安全，存在漏洞的可能性較小；同時，堡壘主機的數據包過濾功能限制外部用戶只能訪問特定主機上的特定服務，在提供服務的同時仍然保證了內部網絡的安全。

內部網絡用戶訪問外部網絡方便、靈活。在屏蔽路由器和堡壘主機允許的情況下，用戶直接訪問外部網絡。如果屏蔽路由器和堡壘主機不允許，內部用戶通過堡壘主機代理服務訪問外部資源。在實際應用中，兩種方式綜合運用，訪問不同服務采用不同的方式。

由于堡壘主機和屏蔽路由器的同時存在，使得堡壘主機可以從部分安全事務中解脫出來，從而可以以更高的效率提供數據包過濾或代理服務。

被屏蔽主機體系結構的缺點

在被屏蔽主機體系結構中，外部用戶在被允許的情況下可以訪問內部網絡，這樣就存在著一定的安全隱患；與雙宿主主機體系一樣，一旦用戶入侵堡壘主機，就會導致內部網絡處于不安全狀態；路由器和堡壘主機的過濾規則配置較為復雜，較容易形成錯誤和漏洞。

3. 被屏蔽子網體系結構

在雙宿主主機體系結構和被屏蔽主機體系結構中，主機是最主要的安全缺陷，一旦主機被入侵，則整個內部網絡都處于威脅之中，為解決這種安全隱患，出現了被屏蔽子網體系結構。

被屏蔽子網體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的特殊網絡，即周邊網絡，并且將堡壘主機都置于周邊網絡中，一個典型的被屏蔽子網體系結構如圖5-18所示。

被屏蔽子網體系結構防火墻比較復雜，主要包括四個部件：周邊網絡、外部路由器、內部路由器和堡壘主機。

周邊網絡

周邊網絡是位于不可信外部網絡與可信內部網絡之間的一個附加網絡。周邊網絡與外部網絡、周邊網絡與內部網絡之間通過屏蔽路由器實現邏輯隔離，因此外部用戶必須穿越兩道屏蔽路由器才能訪問內部網絡。

一般情況下，外部用戶不能訪問內部網絡，僅能夠訪問周邊網絡中的資源，由于內部用戶間通信的數據包不通過屏蔽路由器傳遞至周邊網絡，外部用戶即使入侵了周邊網絡中的堡壘主機，也無法監聽到內部網絡的信息。

外部路由器

外部路由器的主要作用在于保護周邊網絡和內部網絡，是屏蔽子網體系結構的第一道屏障。在其上設置了針對外網用戶對周邊網絡和內部網絡訪問的過濾規則。

例如，限制外網用戶僅能訪問周邊網絡不能訪問內部網絡，或者僅能訪問內部網絡中的部分主機。

外部路由器不過濾周邊網絡內發出的數據包，因為數據包來自于堡壘主機或內部路由器過濾后的內部主機數據包。外部路由器復制內部路由器上的規則，以避免內部路由器失效而造成負面影響。

內部路由器

內部路由器用于隔離周邊網絡和內部網絡，是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶對周邊網絡和外部網絡訪問的過濾規則。

例如，部分內部網絡用戶只能訪問周邊網絡不能訪問外部網絡等。

內部路由器復制了外部路由器上的內網過濾規則，以防止外部路由器過濾功能失效而造成的嚴重后果。

內部路由器還要限制周邊網絡的堡壘主機和內部網絡之間的訪問，減少堡壘主機被入侵后可以影響的內部主機數量和服務的數量。

堡壘主機

在被屏蔽子網結構中，堡壘主機位于周邊網絡，向外部用戶提供WWW、FTP等服務，接受外部網絡用戶的服務資源訪問謂求，同時堡壘主機也向內部網絡用戶提供DNS、WWW代理、FTP代理等服務，提供內部網絡用戶訪問外部資源的接口。

被屏蔽子網體系結構的優點

外部路由器和內部路由器構成了雙層防護體系，入侵者難以突破；

外部用戶訪問服務資源時無需進入內部網絡，在保證服務的情況下提高了內部網絡的安全性；

外部路由器和內部路由器過濾規則復制，避免了由于某臺路由器失效產生的安全隱患；

堡壘主機由外部路由器的過濾規則和本機安全機制共同防護，用戶只能訪問它提供的服務；

即使入侵者通過堡壘主機的服務缺陷控制了堡壘主機，由于內部路由器將內部網絡和周邊網絡隔離，入侵者無法通過監聽周邊網絡獲取內部網絡信息。

被屏蔽子網體系結構的缺點

構建被屏蔽子網體系結構的成本較高；被屏蔽子網體系結構的配置較為復雜，容易出現配置錯誤導致的安全隱患。