21世纪是网络经济的时代,网络已经进入千家万户。 当我们在网络上尽情游泳的时候,很容易忘记网络的安全问题。 事实上,危险无处不在。 防火墙是保护网络和系统的网络安全的重要保护措施。 监控通过防火墙的数据,并根据管理员的要求允许和禁止特定数据包通过,以及监控和记录所有事件。
最简单的防火墙配置是直接在内部网和外部网之间安装包过滤路由器或APP应用网关。 为了更好地实现网络安全,有时也将几种防火墙技术结合起来构建防火墙系统。 现在流行的是以下三种防火墙配置方案。
1、双宿主机网关(Dual Homed Gateway ) ) ) ) )。
此配置使用两个带有两个网络适配器的宿主机作为防火墙。 双宿主机通过两个网络适配器分别连接到两个网络,也称为堡垒主机。 堡垒的主机上运行着防火墙软件(通常是代理服务器),可以传输APP和提供服务。 双宿主机网关存在致命弱点,入侵者入侵堡垒主机,使该主机仅具有路由器功能,任何网络上的用户都可以自由访问受保护的内部网络(图1 )。
图1双宿主机网关
2、切断主机网关
屏蔽网关易于实现,安全性高,应用广泛。 它又分为一宿堡主机和二宿堡主机两种。 首先,我们来看看一晚堡垒的主机类型。 包过滤路由器连接到外部网络,要塞主机设置在内部网络中。 堡垒的主体只有一个网卡,连接到内部网络(图2 )。 通常,您可以在路由器上设置过滤规则,使此堡垒的主机成为唯一可通过互联网访问的主机,从而保护内部网络免受未经授权的外部用户的攻击。 互联网内部的客户端可以通过屏蔽的主机和路由器访问互联网。
图2切断主机网关(单宿堡主机) ) )。
双层堡垒主机型和单层堡垒主机型的区别在于堡垒主机有两张网卡,一张与内部网络连接,另一张与包过滤路由器连接(图3 )。 双堡主机在APP应用层提供代理服务,与单宿型相比更安全。
图3切断主机网关(双宿堡主机) ) )。
3、屏蔽子网
该方法在互联网和互联网之间建立一个隔离的子网,通过两个包过滤路由器分别与互联网和互联网分离。 两个包过滤路由器位于子网的两端,在子网中形成“缓冲区”。 (图4 )两个路由器之一控制互联网数据流,另一个控制互联网数据流。 internet和internet都可以访问屏蔽子网,但禁止它们通过屏蔽子网进行通信。 根据需要可以在屏幕子网中设置要塞主机,为内部网络和外部网络的相互访问提供代理服务,但是来自两个网络的访问必须通过两个包过滤路由器的检查。 对于互联网公开的服务器,WWW、FTP、Mail等互联网服务器也可以安装在屏幕子网内,因此无论是外部用户还是内部用户都可以访问。 该结构防火墙安全性能高,抗攻击能力强,但所需设备多,成本高。
图4子网防火墙遮挡
当然,防火墙本身也有局限性。 例如,如果无法阻止绕过防火墙的入侵,则无法像常见的防火墙那样阻止受病毒感染的软件和文件的传输。 很难避免来自内部的攻击等。 这意味着防火墙是整体安全措施的一部分,只有防火墙是不够的。 安全策略还应包括全面的安全策略,例如网络访问、本地和远程用户身份验证、拨入呼叫、磁盘和数据加密以及防病毒。
来自“ITPUB博客”,链接: http://blog.itpub.net/10294527/view space-124305 /
3:3358 blog.itpub.net/10294527/view space-124305 /