屏蔽子网体系结构

1、屏蔽子网体系结构屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开。在这种结构下，即使攻破了堡垒主机，也不能直接侵入内部网络（他将仍然必须通过内部路由器）。图9.4屏蔽子网体系结构堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时（除了它们可能有的主机安全之外，这通常是非常少的）。如

2、果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之问，另一个位于周边网与外部网络之间（通常为Internet）。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。（1）周边网络周边网络是另一个安全层，是在外部

3、网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。在许多网络结构中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，如以太网、令牌环和FDDI0探听者可以监听Telnet、FTP以及rlogin会话期间使用过的口令，偷看敏感信息等；探听者能完全监视何人在使用网络。对于周边网络，如果攻击者侵入周边网络上的堡垒主机，他也仅能探听到周边网上的通信，内部网络的通信仍是安全的。(2)堡垒主机在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如

4、：对于进来的电子邮件(SMTP会话，传送电子邮件到站点；对于进来的FTP连接，转接到站点的匿名FTP服务器；对于进来的域名服务(DNS站点查询等等。从内部的客户端到在Internet上的服务器的出站服务按如下任一方法处理：在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器；设置代理服务器在堡垒主机上运行来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。(3)内部路由器内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受Interne

5、t和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。内部路由器所允许的在堡垒主机和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少了堡垒主机被攻破时对内部网的危害。(4)外部路由器外部路由器有时被称为访问路由器，保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有

6、允许侵袭者访问的错误，错误就可能出现在两个路由器上。一般，外部路由器由外部群组提供(例如用户的Internet供应商)，同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使用维护复杂或者频繁变化的规则组。外部路由器能有效地执行的安全任务之一是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：使用多堡垒主机；合并内部路由器与外部路由器；合并堡垒主机与外部路由器；合并堡垒主机与内部路由器；使用多台内部路由器；使用多台外部路由器；使用多个周边网络；使用双重宿主主机与屏蔽子网。通常建立防火墙的目的在于保护内部网免受外部网的侵扰，但内部网络中每个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样。例如，财务部分与其它部分分开，人事档案部分与办公管理分开等。我们还需要