QQ在线支持
商务支持电话
13906050680
技术支持电话
0592-2651619
首页->局域网监控-> 防火墙体系结构及组合形式,屏蔽路由器,免费的软件防火墙
  • 摘要:防火墙体系结构及组合形式,屏蔽路由器,免费的软件防火墙,网络防火墙,过滤路由器,软件路由器

     

    防火墙体系结构及组合形式,屏蔽路由器,免费的软件防火墙

    一、防火墙的体系结构及组合形式

    1、屏蔽路由器(Screening Router)

    这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。

    2、双宿主机网关(Dual Homed Gateway)

    任何拥有多个接口卡的系统都被称为多宿的,双宿主机网关是用一台装有两块网卡的主机做防火墙。两块网卡各自与受保护网和外部网相连。主机上运行着防火墙软件,可以转发应用程序,提供服务等。 双宿主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。 双宿主机网关的一个致命弱点是:一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。

    3、被屏蔽主机网关(Screened Host Gateway)

    屏蔽主机网关易于实现也很安全,因此应用广泛。例如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。 如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。

    4、被屏蔽子网 (Screened Subnet)

    这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。 建造防火墙时,一般很少采用单一的技术,通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费,投资的大小或技术人员的技术、时间等因素。由于客户平台的多样性,软件防火墙需支持多操作系统,如Unix、Linux、SCO-Unix、Windows等,代码庞大、安装成本高、售后支持成本高、效率低。一般有以下几种形式:

        1、使用多堡垒主机;
        2、合并内部路由器与外部路由器;
        3、合并堡垒主机与外部路由器;
        4、合并堡垒主机与内部路由器;
        5、使用多台内部路由器;
        6、使用多台外部路由器;
        7、使用多个周边网络;
        8、使用双重宿主主机与屏蔽子网。

     1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps,从几十M到几百M不等,还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。

     2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上,当数据流量较大时,CPU占用率将是主机的杀手,将拖跨主机。

     3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大的功夫和研发经费。


    作者: anyview(网络警)网络监控软件   时间: 2022-11-23 10:19:22   点击:     

    相关资讯:
    [局域网监控软件相关之网络关键技术] 局域网网络管理局域网网管法宝之网络防火墙配置方法实例讲解
    [局域网监控软件相关之网络关键技术] 深入解析网络防火墙,防火墙原理,防火墙分类,防火墙实现
    [局域网监控软件相关之网络关键技术] 局域网监控,网络防火墙工作原理,防火墙安全,防火墙功能
    [局域网监控软件相关之网络关键技术] 深入浅出谈网络防火墙工作原理,网络防火墙分类,网络防火墙架构
    [局域网监控软件相关之网络关键技术] 网络防火墙原理,防火墙分类,防火墙优缺点,防火墙渗透技术
    [局域网监控软件相关之网络关键技术] 全方位讲解网络防火墙原理,防火墙技术,防火墙产品对比
    [局域网监控软件相关之网络关键技术] 全方位讲解怎样选购合适的网络硬件防火墙
    [局域网监控软件相关之网络关键技术] 局域网监管,局域网控制,网络管理技术,防火墙安装技巧
    [局域网网络监控软件相关产业之动态] 网络防护,局域网管理,网络防火墙技术发展详细解析
    [局域网网络监控软件相关产业之动态] 辩证看待网络防火墙,正确使用网络防火墙,做好网络攻击防御
■ AnyView(网络警)网络监控软件--功能检索
  • 服务电话:0592-2651619 / 13906050680 ; 钉钉:15359220936;微信:15359220936;Skype:Amoisoft;
  • 服务邮箱: Sales@amoisoft.com;Order@amoisoft.com;Tech@amoisoft.com;
  • 支持QQ:9908430(综合),850753251(购买1),573982850(购买2),969263561(技术1),53864605(技术2),332056791(技术3)
■ 联系我们获得支持和服务 ■ 信息留言反馈