屏蔽子網(wǎng)體系結(jié)構

1、屏蔽子網(wǎng)體系結(jié)構屏蔽子網(wǎng)體系結(jié)構通過添加額外的安全層到被屏蔽主機體系結(jié)構，即通過 添加周邊網(wǎng)絡更進一步地把內(nèi)部網(wǎng)絡與 Internet 隔離開。在這種結(jié)構下，即使攻破了堡壘主機，也不能直接侵入內(nèi)部網(wǎng)絡（他將仍 然必須通過內(nèi)部路由器）。圖9.4 屏蔽子網(wǎng)體系結(jié)構堡壘主機是用戶的網(wǎng)絡上最容易受侵襲的機器。任憑用戶盡最大的力氣去保護它，它仍是最有可能被侵襲的機器，因為它 本質(zhì)上是能夠被侵襲的機器。如果在屏蔽主機體系結(jié)構中，用戶的內(nèi)部網(wǎng)絡對來自用戶的堡壘主機的侵 襲門戶洞開，那么用戶的堡壘主機是非常誘人的攻擊目標。在它與用戶的其它內(nèi)部機器之間沒有其它的防御手段時（除了它們可能有 的主機安全之外，這通常

2、是非常少的）。如果有人成功地侵入屏蔽主機體系結(jié)構中的堡壘主機，那就毫無阻擋地進 入了內(nèi)部系統(tǒng)。通過在周邊網(wǎng)絡上隔離堡壘主機，能減少在堡壘主機上侵入的影響。可以說，它只給入侵者一些訪問的機會，但不是全部。屏蔽子網(wǎng)體系結(jié)構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到 周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部的網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡之間 （通常為 Internet ）。為了侵入用這種類型的體系結(jié)構構筑的內(nèi)部網(wǎng)絡，侵襲者必須要通過兩個 路由器。即使侵襲者設法侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。在此情況下，沒有損害內(nèi)部網(wǎng)絡的單一的易受侵襲點。 作為入侵者，只是進行了一次訪問。（1）周邊網(wǎng)絡是

3、另一個安全層，是在外部網(wǎng)絡與用戶的被保護的內(nèi)部網(wǎng)絡 之間的附加的網(wǎng)絡。如果侵襲者成功地侵入用戶的防火墻的外層領域，周邊網(wǎng)絡在那個侵襲者 與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護層。在許多網(wǎng)絡結(jié)構中，用給定網(wǎng)絡上的任何機器來查看這個網(wǎng)絡上的每一臺 機器的通信是可能的，如以太網(wǎng)、令牌環(huán)和 FDDI。探聽者可以監(jiān)聽Telnet、FTP以及rlogin會話期間使用過的口令，偷看敏感 信息等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡。對于周邊網(wǎng)絡，如果攻擊者侵入周邊網(wǎng)絡上的堡壘主機，他也僅能探聽到 周邊網(wǎng)上的通信，內(nèi)部網(wǎng)絡的通信仍是安全的。（2）堡壘主機在屏蔽的子網(wǎng)體系結(jié)構中，用戶把堡壘主機連接到周邊網(wǎng)； 這臺主機

4、便是接受來自外界連接的主要入口。例如：對于進來的電子郵件（SMTP會話，傳送電子郵件到站點；對于進來的FTP連接，轉(zhuǎn)接到站點的匿名FTP服務器；對于進來的域名服務（DNS站點查從內(nèi)部的客戶端到在 Internet 上的服務器的出站服務按如下任一方法處 理：在外部和內(nèi)部的路由器上設置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外 部的服務器；設置代理服務器在堡壘主機上運行來允許內(nèi)部的客戶端間接地訪 問外部的服務器。用戶也可以設置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機上同代理服務 器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信（即撥號入網(wǎng)方式）。（ 3）內(nèi)部路由器有時被稱為阻塞路由器，它保護

5、內(nèi)部的網(wǎng)絡使之免受 Internet 和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到 Internet 的有選擇的出站服務。內(nèi)部路由器所允許的在堡壘主機和用戶的內(nèi)部網(wǎng)之間服務可以不同于內(nèi)部 路由器所允許的在 Internet 和用戶的內(nèi)部網(wǎng)之間的服務。限制堡壘主機和內(nèi)部網(wǎng)之間服務的理由是減少了堡壘主機被攻破時對內(nèi)部 網(wǎng)的危害。（ 4）外部路由器有時被稱為訪問路由器，保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來 自 Internet 的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通 常只執(zhí)行非常少的數(shù)據(jù)包過濾。保護內(nèi)部機器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器

6、和外部路由器上基本上應該 是一樣的；如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路 由器上。一般，外部路由器由外部群組提供（例如用戶的 Internet 供應商），同時 用戶對它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護路由器，但是不 愿意使用維護復雜或者頻繁變化的規(guī)則組。外部路由器能有效地執(zhí)行的安全任務之一是：阻止從 Internet 上偽造源地址進來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡，但實際上是來自 Internet 。建造防火墻時，一般很少采用單一的技術，通常是多種解決不同問題的技 術的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務，以及網(wǎng)管中心能 接受什么等級風險。采用哪種技術主要取決于經(jīng)費，投資的大小或技術人員的技術、時間等因 素。一般有以下幾種形式：使用多堡壘主機；合并內(nèi)部路由器與外部路由器；合并堡壘主機與外部路 由器；合并堡壘主機與內(nèi)部路由器；使用多臺內(nèi)部路由器；使用多臺外部路由 器；使用多個周邊網(wǎng)絡；使用雙重宿主主機與屏蔽子網(wǎng)。通常建立防火墻的目的在于保護內(nèi)部網(wǎng)免受外部網(wǎng)的侵擾，但內(nèi)部網(wǎng)絡中 每個用戶所需要的服務和信息經(jīng)常是不一樣的，它們對安全保障的要求也不一 樣。例如，財務部分與其它部分分開，人事檔案部分與辦公管理分開等。我們還需要