常见术语

首先介绍防火墙体系结构中常见的术语:堡垒主机、双重宿主主机和周边网络。

①堡垒主机（BastionHost) ：堡垒主机是指可能直接面对外部用户攻击的主板系统。在防火墙体系结构中，特指那些处于内部网络的边缘，并且暴露于外部网络用户面前的主机系统。一般来说，堡垒主机上提供的服务越少越好，因为每增加一种服务就增加了被攻击的可能性。

②双重宿主主机(Dual-HomedHost)：双重宿主主机是指至少拥有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。一般来说，双重宿主主机是实现多个网络之间互连的关键设备，比如网桥是在数据链路层实现互连的双重宿主主机，路由器是在网络层实现互连的双重宿主主机，应用层网关是在应用层实现互连。

③周边网络(DMZ)：周边网络是指在内部网络、外部网络之间增加的一个网络。一般来说，对外提供服务的各种服务器都可以放在这个网络里。周边网络也被称为DMZ(DemilitarizedZone，非军事区)，其含义来自于朝鲜战争期间，在南北朝鲜之间的非军事地带。周边网络的存在，使得外部用户访问服务器时不需要进入内部网络，而内部网络用户对服务器维护工作导致的信息传递也不会泄露至外部网络。同时，周边网络与外部网络之间、与内部网络之间都存在着数据包过滤，这样为外部用户的攻击设置了多重障碍，确保了内部网络的安全。周边网络工作原理如图3-50所示。

防火墙的体系结构

防火墙的经典体系结构主要有三种形式：双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。

1.双重宿主主机体系结构(Dual-Homed Host Architecture)

防火墙的双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体，执行分离外部网络与内部网络的任务。

一个典型的双重宿主主机体系结构如图3-51所示。

在基于双重宿主主机体系机构的防火墙中，带有内部网络和外部网络接口主机系统就构成了防火墙的主体。该台双重宿主主机具备了成为内部网络和外部网络之间路由器的条件，但是在内部网络与外部网络之间进行数据包转发的进程是被禁止运行的。

为了达到防火墙的基本效果，在双重宿主主机系统中，任何路由功能是禁止的，甚至前面介绍的数据包过滤技术也是不允许在双重宿主主机上实现的。双重宿主主机唯一可以采用的防火墙技术就是应用层代理。内部网络用户可以通过客户端代理软件以代理方式访问外部网络资源，或者直接登录至双重宿主主机成为一个用户，再利用该主机直接访问外部资源。

双重宿主主机体系结构防火墙的优点在于：网络结构比较简单；由于内外网络之间没有直接的数据交互而较为安全，内部用户的存在可以保证对外部资源进行有效控制；最后由于应用层代理机制的采用，可以方便地形成应用层的数据过滤。其缺点在于：用户访问外部资源较为复杂，如果用户需要登录到主机上才能访问外部资源则主机的资源消耗较大；用户机制存在着安全隐患，并且内部用户无法借助于该体系结构访问新的服务或者特殊服务；最后一旦外部用户入侵了双重宿主主机，则导致内部网络处于不安全状态。

2.被屏蔽主机体系结构(Screened Host Architecture)

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内外网络的隔离和对内网的保护。一个典型的被屏蔽主机体系结构如图3-52所示。在被屏蔽主机体系结构中，有两道屏障，一是屏蔽路由器，另外一个是堡垒主机。

屏蔽路由器位于网络的最边缘，负责与外网实施连接，并且参与外网的路由。屏蔽路由器不提供任何服务，仅提供路由和数据包过滤功能，因此屏蔽路由器本身较为安全，被攻击的可能性较小。由于屏蔽路由器的存在，使得堡垒主机不再是直接与外网互连的双重宿主主机，增加了系统的安全性。

堡垒主机存放在内部网络中，是内部网络中唯一可以连接到外部网络的主机，也是外部用户访问内部网络资源必须经过的主机设备。经典的被屏蔽主机体系结构中，堡垒主机也通过数据包过滤功能实现对内部网络的防护，并且该堡垒主机仅仅允许通过特定的服务连接。主机也可以不提供数据包过滤功能，而是提供代理功能。内部用户只能通过应用层代理访问外部网络，而堡垒主机就成为外部用户唯一可以访问的内部主机。

在被屏蔽主机体系结构中，外部用户在被允许的情况下可以访问内部网络，一旦用户入侵堡垒主机，就会导致内部网络处于不安全状态。此外，路由器和堡垒主机的过滤规则配置较为复杂。

3.被屏蔽子网体系结构(Screened Subnet Architecture)

在防火墙的双重宿主主机体系结构和被屏蔽主机体系结构中，堡垒主机都是最主要的安全缺陷。一旦堡垒主机被入侵，则整个内部网络部处于入侵者的威胁之中。为解决这种安全隐患，被屏蔽子网体系结构被提出。

被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络，并且将容易受到攻击的堡垒主机都置于这个周边网络中。一个典型的屏蔽子网体系结构如图3-53所示。

被屏蔽子网体系结构的防火墙比较复杂，主要自四个部件构成，分别为：周边网络、外部路由器、内部路由器以及堡垒主机。

（1）周边网络

周边网络是位于非安全、不可信的外部网络与安全、可信的内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间都是通过屏蔽路由器实现逻辑隔离的，因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。

（2）外部路由器

外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户。例如限制外网用户仅能访问周边网络而不能访问内部网络，或者仅能访问内部网络中的部分主机。

（3）内部路由器

内部路由器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划，对内部用户访问周边网络和外部网络进行限制。例如部分内部网络用户只能访问周边网络而不能访问外部网络等。

（4）堡垒主机

在被屏蔽子网结构中，堡垒主机位于周边网络，可以向外部用户提供WWW、FTP等服务，接受来自外部网络用户的服务资源访问请求。同时堡垒主机也可以向内部网络用户提供DNS 、电子邮件、WWW代理、FTP代理等多种服务，提供内部网络用户访问外部资源的接口。

构建被屏蔽子网体系结构的成本较高，被屏蔽子网体系结构的配置较为复杂。