开发学院数据库MSSQL Server 防火墙系列连载之三—建立堡垒主机的技术 阅读

防火墙系列连载之三—建立堡垒主机的技术

 2007-11-11 07:04:34 来源:WEB开发网   
核心提示:一、 堡垒主机的种类堡垒主机目前一般有以下三种类型:(1) 无路由双重宿主主机;(2) 牺牲品主机;(3) 内部堡垒主机,1.无路由双重宿主主机无路由双重宿主主机有为一个防火墙,防火墙系列连载之三—建立堡垒主机的技术,也可以作为类同于其它堡垒主机,但是防火墙,2) 若堡垒主机被破坏低档的堡垒主机对于入侵者进入,因为它编
一、 堡垒主机的种类
  堡垒主机目前一般有以下三种类型:                       
  (1) 无路由双重宿主主机;                         
  (2) 牺牲品主机;                             
  (3) 内部堡垒主机。                            
  1.无路由双重宿主主机                            
  无路由双重宿主主机有
为一个防火墙,也可以作为
类同于其它堡垒主机,但是
防火墙,那么它可以运行堡
多个网络接口,但这些接口间没
一个更复杂的防火墙的一部分。
用户必须确保它没有路由。如果
垒主机的例行程序。
有信息流,这种主机本身就可以作
无路由双重宿主主机的大部分配置
某台无路由双重宿主主机就是一个

  2.牺牲品主机                                
  有些用户可能想用一些
对其安全性没有把握的服务
机)。牺牲品主机是一种上
用的主机相连。用户只有在
无论使用代理服务还是包过滤都
。针对这种情况,使用牺牲品主
面没有任何需要保护信息的主机
使用某种特殊服务时才需要用到
难以保障安全的网络服务或者一些
机就是非常有用的(也称替罪羊主
,同时它又不与任何入侵者想要利
它。
  牺牲品主机除了可让用
在堡垒主机上存有尽可能多
用户的要求,否则会使用户
的主要特点是它易于被管理
户随意登录外,其配置基本上与
的服务与程序。但是牺牲品主机
越来越信任牺牲品主机而违反设
,即使被侵袭也无碍内部网的安
其它堡垒主机一样。用户总是希望
出于安全性的考虑,不可随意满足
置牺牲品主机的初衷。牺牲品主机
全。
  3.内部堡垒主机                               
  在大多数配置中,堡垒主机可与某些
邮件给内部主机的邮件服务器、传送Usen
。这些内部主机其实是有效的次级堡垒主
可以在它的上面多放一些服务,但对它们
内部主机有特殊的交互。例如,堡垒主机可传送电子
et新闻给新闻服务器、与内部域名服务器协同工作等
机,对它们就应象保护堡垒主机一样加以保护。我们
的配置必须遵循与堡垒主机一样的过程。

  二、 堡垒主机建设的诸因素的选择

  建设堡垒主机时,有下列因素是我们必须考虑的:                 
  (1) 选择操作系统;                            
  (2) 对机器的速度的要求;                         
  (3) 堡垒主机的硬件配置;                         
  (4) 堡垒主机的物理位置。                         
  1. 选择操作系统                              
  应该选择较为熟悉的、较为安全的操
主机是一个具有高度限制性的操作环境的
器上完成后再移植。这样做也为在开发时
作系统作为堡垒主机的操作系统。一个配置好的堡垒
软件平台,对它的进一步开发与完善最好应在其它机
与内部网的其它外设与机器交换信息时提供方便。
  用户需要能够可靠地提
,如果用户的网点全部使用
平台(或是UNIX、Windows
最流行操作系统,当堡垒主
没有发现更好的操作系统之
于找到建立堡垒主机的工具
响。
供一系列Internet服务的机器,
MS- DOS、Windows或者Macinto
NT等)作为用户的堡垒主机。由
机在UNIX操作系统运行时,有大
前,可选用UNIX作为堡垒主机的
软件。当然还可以选择其它操作

这些服务能够为多个用户同时工作
sh系统,这时便发现还需要其它的
于,UNIX是能提供Internet服务的
量现成的工具可以使用。因此,在
操作系统。同时,在UNIX下面也易
系统,但要考虑对以后的工作的影

  2. 对机器速度的要求                            
  作为堡垒主机的计算机并不要求有很
为堡垒主机反而更好。除了经费问题外,
的服务运算量并不很大。
高的速度。实际上,选用功能并不十分强大的机器作
选择机器只要物尽其用即可,因为在堡垒主机上提供

  人们经常使用速度介于
机。这些机种对普通的使用
主要由它的内部网和外部网
DNS、FTP和代理服务并不占
的软件(如NNTP)和搜索服
更高速的机器了。如果站点
较快的机器来充当堡垒主机
种连接服务的大公司一般均
机主要出于下列考虑:
2-5MIPS的机器(如Sun-3、38
已经足够了。堡垒主机上的运算
的速度决定。网络在56KB/S(T1
用很多CPU资源。但是如果在堡
务(如WWW)或有可能同时为几
在Internet上非常受欢迎,那么
。针对这种情况,也可使用多堡
有多台高速、大型的堡垒主机。

6或486的UNIX 平台)作为堡垒主
量并不很大。对其运算速度的要求
干线)速度下,处理电子邮件、
垒主机上运行具有压缩/解压功能
十个用户提供代理服务,那就需要
对外的服务也很多,也就需要速度
垒主机结构。在Internet上提供多
不使用功能过高的机器充当堡垒主

  1) 低档的机器对入侵者的吸引力要小一些。入侵者往往以入侵高档计算机为荣。  

2) 若堡垒主机被破坏低档的堡垒主机对于入侵者进入,
因为它编译较慢,运行一些有助于入侵的破密码程序也侵入我们的内部网络的兴趣减少,

也容易被用户发现。


1 2 3 4 5 6  下一页

Tags:防火墙 系列 连载

编辑录入:coldstar [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接