当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:防火墙技术(6)

安全基础
威胁同样巨大 基于Telnet协议的攻击
基础知识 XST攻击理论及手法讲解
黑客破解Email账号常用的三种方法
攻防技术:动态IP地址的捕获及其应用
踏雪无痕 浅析黑客避开检测的手段
黑客必学—开启肉鸡终端全攻略
黑客入侵实例 记对Discuz论坛的入侵
浅析无线入侵检测系统 的应用及优缺点
黑客种植木马新方法及防范策略
小规模DDoS(拒绝服务)用Freebsd+IPFW搞定
一次意外的入侵经历-黑冰防火墙溢出攻击
利用“http暗藏通道”大举攻破局域网
黑客如何利用Ms05002溢出找“肉鸡”
看我谋取特权 用漏洞提升计算机控制权限
互联网的巨大威胁 ICMP洪水攻击浅析
实例讲解 黑客入侵论坛各种手段大暴光
入侵技巧 通过“鼠洞”控制你的电脑
黑客攻击揭密-分析选定的网络攻击
打破常规 构造特殊字符进行渗透入侵
安全必知:黑客入侵无线网络常用手段

安全基础 中的 网络安全讲座之:防火墙技术(6)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 62 ::
收藏到网摘: n/a

双宿主堡垒主机

  双宿主堡垒主机结构是围绕着至少具有两块网卡的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。它采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻址。当一个黑客想要访问你内部设备时,他(她)必须先要攻破双宿主堡垒主机,这有希望让你有足够的时间阻止这种安全侵入和作出反应。

  单目的堡垒主机

  单目的堡垒主机既可是单堡垒也可是多堡垒主机。经常,根据公司的改变,需要新的应用程序和技术。很多时候这些新的技术不能被测试并成为主要的安全突破口。你要为这些需要创建特定的堡垒主机。在上面安装未测试过的应用程序和服务不要危及到你的防火墙设备。使用单目的堡垒主机允许你强制执行更严格的安全机制。举个例子,你的公司可能决定实施一个新类型的流程序,假设公司的安全策略需要所有进出的流量都要通过一个代理服务器送出,你要为这个表的流程序单独地创建一个新代理服务器。在这个新的代理服务器上,你要实施用户认证和拒绝IP地址。使用这个单独的代理服务器,不要危害到当前的安全配置并且你可以实施更严格的安全机制如认证。

  内部堡垒主机

  内部堡垒主机是标准的单堡垒或多堡垒主机存在于公司的内部网络中。它们一般用作应用级网关接收所有从外部堡垒主机进来的流量。当外部防火墙设备受到损害时提供额外的安全级别。所有内部网络设备都要配置成通过内部堡垒主机通信,这样当外部堡垒主机受到损害时不会造成影响。

  四种常见的防火墙设计都提供一个确定的安全级别,一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略,这四种防火墙的实施都是建立一个过滤的距阵和能够执行和保护信息的点。这四种选择是:

  ·筛选路由器

  ·单宿主堡垒主机

  ·双宿主堡垒主机

  ·屏蔽子网

  筛选路由器的选择是最简单的,因此也是最常见的,大多数公司至少使用一个筛选路由器作为解决方案,因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙,利用额外的包过滤路由器来达到另一个安全的级别。