|
|
|
9-2 防火牆架構
9-2-1 防火牆設備 防火牆架構的型態是安全防護能力的主要關鍵,這是一般網路管理者必須詳細研究的課題。不安全的防火牆架構除了浪費許多精神維護之外,說不定連最基本的安全性也無法達成。但話又說回來,也不可能存在百分之百的安全架構,如欲達到一定的安全性,仍需仰賴維護人員隨時摸索,尋找網路的破綻以防止被攻擊。再說,各私有網路的情況不同,所面臨的挑戰也不會相同,因此,毫無標準規範可循。在介紹防火牆架構之前,首先介紹一些相關名詞及其所需的設備:
接下來,我們將介紹三種防火牆的基本架構,一般私有網路的防火牆措施多半是由這三種基本架構演變而來。 9-2-2 防火牆架構 (A) 雙介面主機架構 雙介面主機(Dual-homed Host)是表示某一主機上安裝有兩片網路卡,其中一片網路卡連結自己的網路系統,以達到隔離兩邊網路之目的;主機依照安全策略決定是否允許封包由某一網路轉送到另一個網路卡,因此,雙介面主機就好像是護城牆中的城門一樣,負責過濾或轉送人民進出的功能。至於雙介面主機可以是路由器、網路閘門、以及防禦主機等等。網路型態如圖 9-4 所示。它利用一部雙介面主機作為隔離外部網路與內部網路(受保護網路),並依照防火牆的安全保護層次,決定雙介面主機是『屏蔽路由器』或『防禦主機』。
圖 9-4 雙介面主機式架構 (B) 屏蔽主機架構 屏蔽主機架構包含兩樣設施: n 『防禦主機』(Bastion Host):防禦主機是進出封包的轉驛站,直接暴露於外部網路上,並且公告週知由此主機可以和內部網路通訊。防禦主機上可能安裝有封包過濾或代理程式,可依照防火牆架構決定是雙介面或單介面主機。防禦主機就好像辦公大樓的大廳一樣,任何人想與大樓內的人員從事交易行為,都必須先到大廳和管理人員交涉,再決定是過濾或代理。 n 屏蔽路由器(Screening Router):某一路由器具有封包過濾功能,並直接暴露於外部網路上,又稱為外部路由器。 此架構會比雙介面主機的安全性高一點,也是目前私有網路中普遍採用的型態。屏蔽主機架構是由一部屏蔽路由器及一部防禦主機所構成,如圖 9-5 所示,其中屏蔽路由器的功能是過濾封包,限制封包進出私有網路,至於防禦主機則是扮演代理伺服器的功能,代理外部使用者存取內部伺服器,或代理內部使用者存取外部伺服器。
圖 9-5 屏蔽主機架構 (C) 屏蔽網路架構 在防火牆概念中,並無所謂百分之百的安全架構,而是設法架設一種讓攻擊者較不容易擊破的防護措施,也就是說,『建立一種讓攻擊者必須耗費多時難以擊破的防火牆』。上述兩種架構只築一面城牆(或城門)從事安全措施,攻擊者祇要突破這個城門便可長驅直入內部網路。為了延長被攻擊進入內部網路的時間,簡單的方法就是多建立幾道城牆。多建立幾道城門(或城牆)之後,城牆和城牆之間稱為『周圍網路』(Perimeter Network),一般將周圍網路稱為『非軍事區網路』(DMZ 網路,De-Militarized Zone),如南北韓之間的停戰區。但在防火牆措施上稱之為『屏蔽式子網路』(Screened Subnet,簡稱屏蔽網路)架構,網路基礎型態如圖 9-6 所示。
圖 9-6 屏蔽網路架構 |
翻轉工作室:粘添壽
網路規劃與管理技術:
翻轉電子書系列:
|
