計算機網路應用防火牆的體系結構

防火牆主要應用結構可以分為包過濾型結構、雙宿閘道器結構、遮蔽主機結構和遮蔽子網結構。

1．包過濾型結構

包過濾型結構是通過專用的包過濾路由器，或是安裝了包過濾功能的普通路由器來實現的。包過濾型結構對進出內部網路的所有資訊進行分析，按照一定的安全策略對這些資訊進行分析與限制，如圖11-10所示。

圖11-10 包過濾型結構

包過濾型結構處理速度快、費用低且對使用者透明，結構簡單，便於管理。但是，包過濾型結構對於包過濾的判斷只限於資料報的頭資訊，並不涉及包的內容，所以它只能阻止部分ip欺騙的資料報。另外，包過濾結構的日誌功能有限，不能從日誌中發現黑客的攻擊記錄，並且配置比較煩瑣。

2．雙宿閘道器結構

連線了兩個網路的多宿主機（具有多個網路連線的主機）稱為雙宿主機。多宿主機是具有多個網路介面卡的主機，每個介面都可以和乙個網路連線。因為它能在不同的網路之間進行資料交換，因此也稱為閘道器。

雙宿閘道器結構是用一台裝有兩塊網絡卡的主機作為防火牆，將外部網路與內部網路實現物理上的隔開，這台處於防火牆關鍵部位且執行應用級閘道器軟體的計算機系統稱為堡壘主機。如圖11-11所示，為雙宿閘道器結構。

圖11-11 雙宿閘道器結構

雙宿閘道器的結構的安全性較高，但入侵者一旦得到了雙宿閘道器的訪問權，即可入侵內部網路。所以在設定該應用級閘道器時應該注意以下幾點：

● 在該應用級閘道器的硬體系統上執行安全可信任的安全作業系統。

● 安全應用**軟體，保留dns、ftp、smtp等必要的服務，刪除不必要的服務與應用軟體。

● 設計應用級閘道器的防攻擊方法與被破壞後的應急方案。

3．遮蔽主機結構

遮蔽主機結構將所有的外部主機強制與乙個堡壘主機相連，從而不允許它們直接與內部網路的主機相連，如圖11-12所示。因此，遮蔽主機結構是由包過濾路由器和堡壘主機組成的。遮蔽主機可以實現了網路層和應用層的安全，並且安全性較高。

但是堡壘主機一旦被繞過，則堡壘主機和其他內部網路的主機之間沒有任何保護網路安全的措施，內網將暴露。

圖11-12 遮蔽主機結構

外部某主機想要訪問內部網路，該主機傳送了乙個請求包。該請求包被包過濾路由器接收到以後，先從資料報中得到目的位址，檢查這個ip位址是否合法。如果合法，再查詢**路由表，得到該ip位址相應的**目的位址即為堡壘主機ip位址，則將該資料報**到這個堡壘主機。

然後，再通過其判斷這個請求的主機是否位於該內部網路的合法使用者。如果合法，則將該請求資料報**到內網。這個資料報實際的**路徑應為「客戶主機-包過濾路由器-堡壘主機-被請求的內網計算機」。

如果內部網路的主機要訪問外部網路的伺服器，也要經過堡壘主機與包過濾路由器的檢查。

4．遮蔽子網結構

遮蔽子網結構使用了兩個遮蔽路由器和兩個堡壘主機。在該系統中，從外部包過濾由器開始的部分是由網路系統所屬的單位組建的，屬於內部網路，也稱為「dmz網路」。其中，外部包過濾路由器與外部堡壘主機構成了防火牆的過濾子網。

而內部包過濾路由器和內部堡壘主機則用於對內部網路進行進一步的保護。如圖11-13所示，為遮蔽子網結構，其優點是支援網路層和應用層的安全功能。

圖11-13 遮蔽子網結構