两种过滤结构的商用防火墙介绍(1)

　　目前常用的防火墙有两种结构：即子网过滤结构的防火墙和主机过滤的防火墙。对于这两种结构的防火墙我们所提供的基本服务包括：终端访问、文件传输、电子邮件、Usenet新闻、www（万维网）浏览以及域名服务DNS。

　　一、子网过滤结构的防火墙

　　子网过滤结构的防火墙有双路由器和单路由器等不同形式的结构，也可以使用两个双端口的路由器或者一个三端口的路由器。对于单路由器子网过滤结构与双路由器子网过滤结构的防火墙工作原理是一样的，其效果都很好，但单路由器子网过滤结构在价格上要便宜一些。我们从使用双路由器子网过滤结构为例，因为它在概念上要简单一些。

　　双路由器结构的子网过滤结构防火墙结构如图1所示。这种结构提供了良好的安全性（包括多层次冗余），而且已被大多数用户采用。

　　1）参数网络——将堡垒主机与内部网络隔离开来，这样，即使堡垒主机出现安全缺口，也不会马上影响内部网络；

　　2）外部路由器——将屏蔽连接到外部世界。如有可能，外部路由器也提供对堡垒主机、内部路由器和内部网络的某些保护；

　　3）内部路由器——保护内部网络，使之不受来自外部世界、及来自堡垒主机（当堡垒主机被侵袭后）的攻击；

　　4）堡垒主机——作为屏蔽与外界的主要接触点。除了构成防火墙本身的机器外，假定在内部网络中的计算机（内部主机）还担任如下角色（任意一台内部计算机都可能担负如下的任意一种、甚至全部的任务）：

　　邮件服务器；

　　Usenet新闻服务器；

　　DNS域名服务器；

　　各种因特网服务的客户。

　　每一种内部服务都可直接提供（通过包过滤）或间接提供（通过运行在堡垒主机上的代理服务器）。

　　提供服务的条件：

　　假定系统中的内部用户是可信的，他们不会故意去试图绕过防火墙，并且也没有必要去监视和记录他们的因特网活动；

　　在屏蔽的内部网和参数网中，使用的是被授权赋予的正确的IP地址，并且已通过恰当的路由来引导（即屏蔽被授予地址，而且被网络服务供应商恰当地路由和通告到因特网），如果没有这样的授权地址，那么唯一的选择是通过代理服务，因为不能允许具有未授权IP地址的包被发到因特网上，即使它们已被发出了，相应的回答也没办法返回；