2.3 防火墙体系结构

有人认为防火墙的部署很简单，只需要将防火墙的LAN端口与企业局域网线路连接，把防火墙的WAN端口与外部网络线路连接即可。其实这是非常错误的认识，防火墙的具体部署方法要根据实际的应用需求而定，不是一成不变的。

本节将介绍防火墙的4种典型应用体系结构，实际上也可以看作防火墙的部署方式。

● 屏蔽路由器（Screening Router）结构。

● 双宿堡垒主机（Dual-Homed Bastion Hosts）结构。

● 屏蔽主机（Screened Host）结构。

● 屏蔽子网（Screened Subnet）结构。

2.3.1 屏蔽路由器结构

如图2-16所示，这是最基本的防火墙设计结构，它不是采用专用的防火墙设备进行部署的，而是在原有的包过滤路由器上进行访问控制。具备这种包过滤技术的路由器通常称为屏蔽路由器防火墙，又称为包过滤路由器防火墙。

这种结构只需在原有的路由器设备上进行包过滤的配置，即可实现防火墙的安全策略，这不失为一种经济的又能满足一定安全性的选择。

由于包过滤路由器工作在网络层，其工作效率高，但是也因此对应用层无法提供很好的保护，包过滤规则的设置复杂，因而防护能力弱。

2.3.2 双宿堡垒主机结构

如图2-17所示，以一台堡垒主机作为防火墙系统的主体，其中包含两块网卡，分别连接到被保护的内网和外网上。在主机上运行防火墙软件，被保护的内网与外网间的通信必须通过堡垒主机，因而可以对内网提供保护。

双宿堡垒主机结构要求的硬件较少，但堡垒主机本身缺乏保护，容易受到攻击。

2.3.3 屏蔽主机结构

图2-18所示是由一台堡垒主机以及屏蔽路由器共同构成防火墙系统，屏蔽路由器提供对堡垒主机的安全防护。

屏蔽主机结构中的路由器又处于易受攻击的地位。此外，网络管理员需要协同管理路由器和堡垒主机中的访问控制表，使两者协调执行控制功能。

2.3.4 屏蔽子网结构

如图2-19所示，屏蔽子网结构将防火墙的概念扩充至一个由外部和内部屏蔽路由器包围起来的周边网络，并且将易受攻击的堡垒主机，以及组织对外提供服务的Web服务器、邮件服务器以及其他公用服务器放在该网络中。这种在内、外网之间建立的被隔离的子网常被称为隔离网络或非军事区（Demilitarized Zone，DMZ）。

在图2-19所示的体系结构中存在3道防线。除了堡垒主机的防护以外，外部屏蔽路由器防火墙用于管理所有外部网络对DMZ的访问，它只允许外部系统访问堡垒主机或是DMZ中对外开放的服务器，并防范来自外部网络的攻击。内部屏蔽路由器防火墙位于DMZ网络和内部网之间，提供第三层防御。它只接受源于堡垒主机的数据包，管理DMZ到内部网络的访问。它只允许内部系统访问DMZ网络中的堡垒主机或是服务器。

这种防火墙系统的安全性很好，因为来自外部网络将要访问内部网络的流量，必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络；可信网络内部流向外界的所有流量，也必须首先接受这个子网络的审查。

堡垒主机上运行代理服务，它是一个连接外部非信任网络和可信网络的桥梁。虽然堡垒主机容易受到侵袭，但即使堡垒主机被控制，如果采用了屏蔽子网结构，入侵者仍然不能直接侵袭内部网络，内部网络仍受到内部屏蔽路由器的保护。

【应用示例3】 屏蔽子网防火墙部署

设图2-19中外部屏蔽路由器的外部IP地址为10.20.100.1，内部IP地址为10.20.100.2；内部屏蔽路由器的外部IP地址为10.20.100.3，内部IP地址为192.168.0.1；DMZ中Web服务器的IP地址为10.20.100.6，SMTP服务器的IP地址为10.20.100.8。

要求屏蔽路由器实现以下功能。

● 不允许内部网络用户访问外网和DMZ。

● 外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。

内部屏蔽路由器过滤规则见表2-2，外部屏蔽路由器过滤规则见表2-3。