防火墙系列连载之一—防火墙的基本概念

核心提示：一、 防火墙由于Internet的迅速发信息破坏的危险, 人们为了种保护装置，它保护的是数展, 提供了发布信息和检索信息保护其数据和资源的安全, 出现据、资源和用户的声誉，防火墙系列连载之一—防火墙的基本概念，的场所, 但它也带来了信息污染和了防火墙，防火墙从本质上说是一1. Internet防火墙防火墙原是建筑物大厦

一、 防火墙

由于Internet的迅速发 信息破坏的危险, 人们为了 种保护装置。它保护的是数

展, 提供了发布信息和检索信息 保护其数据和资源的安全, 出现 据、资源和用户的声誉。

的场所, 但它也带来了信息污染和 了防火墙。防火墙从本质上说是一

1. Internet防火墙

防火墙原是建筑物大厦 讲Internet防火墙服务也属 到你的网络内部。而事实上 护城河。它服务于多个目的

设计来防止火灾从大厦的一部分 于类似目的。它防止Internet上 Internet防火墙不象一座现代化 ：

传播到另一部分的设施。从理论上 的危险（病毒、资源盗用等）传播 大厦中的防火墙，更象北京故宫的

（1） 限制人们从一个特别的控制点进入；

（2） 防止侵入者接近你的其它防御设施；

（3） 限定人们从一个特别的点离开；

（4） 有效的阻止破坏者对你的计算机系统进行破坏。

因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上

 

2.防火墙的优点

（1） 防火墙能强化安全策略

因为Internet上每天都 德不良的人，或违反规则的 的安全策略，仅仅容许“认

有上百万人在那里收集信息、交 人，防火墙是为了防止不良现象 可的”和符合规则的请求通过。

换信息，不可避免地会出现个别品 发生的“交通警察”，它执行站点

（2） 防火墙能有效地记录Internet上的活动

因为所有进出信息都必须通过防火墙 用的信息。作为访问的唯一点，防火墙能

，所以防火墙非常适用收集关于系统和网络使用和误 在被保护的网络和外部网络之间进行记录。

（3） 防火墙限制暴露用户点

防火墙能够用来隔开网络中一个网段 通过整个网络传播。

与另一个网段。这样，能够防止影响一个网段的问题

（4） 防火墙是一个安全策略的检查站

所有进出的信息都必须 绝于门外。

通过防火墙，防火墙便成为安全

问题的检查点，使可疑的访问被拒

3.防火墙的不足之处

上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在：

（1） 不能防范恶意的知情者

防火墙可以禁止系统用户经过网络连 磁带上，放在公文包中带出去。如果入侵 户偷窃数据，破坏硬件和软件，并且巧妙 只能要求加强内部管理，如主机安全和用

接发送专有的信息，但用户可以将数据复制到磁盘、 者已经在防火墙内部，防火墙是无能为力的。内部用 地修改程序而不接近防火墙。对于来自知情者的威胁 户教育等。

（2） 不能防范不通过它的连接

防火墙能够有效地防止 ，如果站点允许对防火墙后 进行拨号入侵。

通过它进行传输信息，然而不能 面的内部系统进行拨号访问，那

防止不通过它而传输的信息。例如 么防火墙绝对没有办法阻止入侵者

（3） 不能防备全部的威胁

防火墙被用来防备已知 但没有一个防火墙能自动防

的威胁，如果是一个很好的防火 御所有的新的威胁。

墙设计方案，可以防备新的威胁，

（4） 防火墙不能防范病毒

防火墙不能消除网络上的PC机的病毒。

 

二、 防火墙体系结构

 

目前,防火墙的体系结构一般有以下几种:

（1） 双重宿主主机体系结构；

（2） 被屏蔽主机体系结构；

（3） 被屏蔽子网体系结构。

1. 双重宿主主机体系结构

双重宿主主机体系结构 网络接口。这样的主机可以 一个网络发送IP数据包。然 ，IP数据包从一个网络（例 的网络）。防火墙内部的系 能与双重宿主主机通信，但

是围绕具有双重宿主的主机计算 充当与这些接口相连的网络之间 而，实现双重宿主主机的防火墙 如，因特网）并不是直接发送到 统能与双重宿主主机通信，同时 是这些系统不能直接互相通信。

机而构筑的，该计算机至少有两个 的路由器；它能够从一个网络到另 体系结构禁止这种发送功能。因而 其它网络（例如，内部的、被保护 防火墙外部的系统（在因特网上） 它们之间的IP通信被完全阻止。

双重宿主主机的防火墙体系结构是相 到因特网和内部的网络。

当简单的：双重宿主主机位于两者之间，并且被连接

 

2. 屏蔽主机体系结构

双重宿主主机体系结构提供来自与多 主机体系结构使用一个单独的路由器提供 系结构中,主要的安全由数据包过滤，其

个网络相连的主机的服务(但是路由关闭),而被屏蔽 来自仅仅与内部的网络相连的主机的服务。在这种体 结构如图3所示。

 

在屏蔽的路由器上的数 能连接到内部网络上的系统 定类型的连接被允许。任何 机上。因此，堡垒主机需要

据包过滤是按这样一种方法设置 的桥梁（例如，传送进来的电子 外部的系统试图访问内部的系统 拥有高等级的安全。

的: 即堡垒主机是因特网上的主机 邮件）。即使这样，也仅有某些确 或者服务将必须连接到这台堡垒主

数据包过滤也允许堡垒 策略决定）到外部世界。

主机开放可允许的连接（什么是

“可允许”将由用户的站点的安全

在屏蔽的路由器中数据包过滤配置可以按下列之一执行：

•允许其它的内部主机为了某 据包过滤的服务）。

些服务与因特网上的主机连接（即允许那些已经由数

•不允许来自内

部主机的所有连接（强迫那些主

机经由堡垒主机使用代理服务）。

用户可以针对不同的服 而其它服务可以被允许仅仅

务混合使用这些手段；某些服务 间接地经过代理。这完全取决于

可以被允许直接经由数据包过滤， 用户实行的安全策略。

因为这种体系结构允许数据包从因特 包能到达内部网络的双重宿主主机体系结 体系结构在防备数据包从外部网络穿过内 出乎预料的，不大可能防备黑客侵袭）。 提供非常有限的服务组。多数情况下，被 有更好的安全性和可用性。

网向内部网的移动，所以，它的设计比没有外部数据 构似乎是更冒风险。话说回来，实际上双重宿主主机 部的网络也容易产生失败（因为这种失败类型是完全 进而言之，保卫路由器比保卫主机较易实现，因为它 屏蔽的主机体系结构提供比双重宿主主机体系结构具

然而，比较其它体系结 如果侵袭者没有办法侵入堡 络安全的东西存在的情况下 侵袭者是开放的。

构，如在下面要讨论的屏蔽子网 垒主机时，而且在堡垒主机和其 ，路由器同样出现一个单点失效

体系结构也有一些缺点。主要的是 余的内部主机之间没有任何保护网 。如果路由器被损害，整个网络对