屏蔽子网体系结构

1、房蔽子网体系结构 屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构， 即通过添 加周边网络更进一步地把内部网络与 InternetInternet 隔离开。在这种结构下，即使攻 破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。 图9.4屏蔽子网体系结构 堡垒主机是用户的网络上最容易受侵袭的机器。 任凭用户尽最大的力气去保 护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。 如果 在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开， 那么用户的堡垒主机是非常诱人的攻击目标。 在它与用户的其它内部机器之间没 有其它的防御手段时（除了它

2、们可能有的主机安全之外，这通常是非常少的）。 如果有人成功地侵入屏蔽主机体系结构中的堡垒主机, 那就毫无阻挡地进入了内 部系统。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说， 它只给入侵者一些访问的机会，但不是全部。屏蔽子网体系结构的最简单的形式 为，两个屏蔽路由器，每一个都连接到周边网。一个位丁周边网与内部的网络之 问，另一个位丁周边网与外部网络之间（通常为 Internet Internet ）。为了侵入用这种 类型的体系结构构筑的内部网络， 侵袭者必须要通过两个路由器。即使侵袭者设 法侵入堡垒主机，他将仍然必须通过内部路由器。 在此情况下，没有损害内部网 络的单一

3、的易受侵袭点。作为入侵者，只是进行了一次访问。 （1 1）周边网络 周边网络是另一个安全层，是在外部网络与用户的被保护的内部网络之间的 附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域， 周边网络在那个 侵袭者与用户的内部系统之间提供一个附加的保护层。 在许多网络结构中，用给定网络上的任何机器来查看这个网络上的每一台机 器的通信是可能的，如以太网、令牌环和 FDDFDDI I。探听者可以监听 TelnetTelnet、FTP FTP 以及rloginrlogin 会话期间使用过的口令，偷看敏感信息等；探听者能完全监视何人 在使用网络。 对于周边网络，如果攻击者侵入周边网络上的堡垒主机，

4、他也仅能探听到周 边网上的通信，内部网络的通信仍是安全的。 (2)(2) 堡垒主机 在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接 受来自外界连接的主要入口。例如：对于进来的电子邮件(SMTPSMTP 会话，传送电 子邮件到站点；对于进来的 FTPFTP 连接，转接到站点的匿名 FTPFTP 服务器；对于进来 的域名服务(DNSDNS 站点查询等等。 从内部的客户端到在 InternetInternet 上的服务器的出站服务按如下任一方法处理： 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的 服务器；设置代理服务器在堡垒主机上运行来允许内部的客户端间接

5、地访问外部 的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理 服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信 (即拨 号入网方式)。 (3)(3) 内部路由器 内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受 InternetInternet 和周边网的侵犯。 内部路由器为用户的防火墙执行大部分的数据包过滤工作。 它允许从内部网 到 InternetInternet 的有选择的出站服务。 内部路由器所允许的在堡垒主机和用户的内部网之间服务可以不同于内部 路由器所允许的在 InternetInternet 和用户的内部网之间的服务。限制堡垒主机和内

6、部 网之间服务的理由是减少了堡垒主机被攻破时对内部网的危害。 (4)(4) 外部路由器 夕卜部路由器有时被称为访问路由器，保护周边网和内部网使之免受来自 InternetInternet 的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站， 并且它们通常只执行非常少的数据包过滤。 保护内部机器的数据包过滤规则在内 部路由器和外部路由器上基本上应该是一样的; 如果在规则中有允许侵袭者访问 的错误，错误就可能出现在两个路由器上。 一般，外部路由器由外部群组提供(例如用户的 InternetInternet 供应商)，同时 用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则

7、来维 护路由器，但是不愿意使用维护复杂或者频繁变化的规则组。 外部路由器能有效地执行的安全任务之一是：阻止从 InternetInternet 上伪造源地 址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自 Internet Internet 。 建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术 的组合。这种组合主要取决于网管中心向用户提供什么样的服务， 以及网管中心 能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的 技术、时间等因素。一般有以下几种形式： 使用多堡垒主机； 合并内部路由器与外部路由器； 合并堡垒主机与外部路由器; 合并堡垒主机与内部路由器; 使用多台内部路由器； 使用多台外部路由器； 使用多个周边网络； 使用双重宿主主机与屏蔽子网。 通常建立防火墙的目的在于保护内部网免受外部网的侵扰， 但内部网络中每 个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样。 例如，财务部分与其它部分分开，人事档案部分与办公管理分开等