雙宿主機網關(Dual Homed Gateway)
這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火牆。雙宿主機用兩個網絡適配器分別連接兩個網絡,又稱堡壘主機(Bastion Host)。堡壘主機上運行着防火牆軟件(通常是代理服務器),可以轉發應用程序,提供服務等。
雙宿主機網關有一個致命弱點:一旦***者侵入堡壘主機並使該主機只具有路由器功能,則任何網上用戶均可以隨便訪問有保護的內部網絡。
雙宿主機體系結構提供來自與多個網絡相連的主機的服務(但是路由關閉),它圍繞雙宿主計算機構築。該計算機至少有兩個網絡接口,位於因特網與內部網之間,並被連接到因特網和內部網。兩個網絡都可以與雙宿主機通信,但相互之間不行,它們之間的IP通信被完全禁止,僅能通過代理或用戶直接登錄到雙宿主機來提供服務。它能提供級別非常高的控制,並保證內部網上沒有外部的IP包。但這種體系結構中用戶訪問因特網的速度會較慢,也會因爲雙重宿主主機的被侵襲而失效。
屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易於實現,安全性好,應用廣泛。它又分爲單宿堡壘主機和雙宿堡壘主機兩種類型。
一個包過濾路由器連接外部網絡,同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡,與內部網絡連接。通常在路由器上設立過濾規則,並使這個單宿堡壘主機成爲從Internet惟一可以訪問的主機,確保了內部網絡不受未被授權的外部用戶的***。而Intranet內部的客戶機,可以受控制地通過屏蔽主機和路由器訪問Internet。
雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網卡,一塊連接內部網絡,一塊連接包過濾路由器。雙宿堡壘主機在應用層提供代理服務,與單宿型相比更加安全。
被屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部網絡相連的主機的服務。屏蔽路由器位於因特網與內部網之間,提供數據包過濾功能。堡壘主機是一個高度安全的計算機系統,通常因爲它暴露於因特網之下,作爲聯結內部網絡用戶的橋樑,易受到侵襲損害。這裏它位於內部網上,數據包過濾規則設置它爲因特網上唯一能連接到內部網絡上的主機系統。
它也可以開放一些連接(由站點安全策略決定)到外部網絡。在屏蔽路由器中,數據包過濾配置可以按下列之一執行:①允許其他內部主機,爲了某些服務而開放到因特網上的主機連接(允許那些經由數據包過濾的服務)。②不允許來自內部主機的所有連接(強迫這些主機經由堡壘主機使用代理服務)。
這種體系結構通過數據包過濾來提供安全,而保衛路由器比保衛主機較易實現,因爲它提供了非常有限的服務組,因此這種體系結構提供了比雙宿主機體系結構更好的安全性和可用性。弊端是,若是侵襲者設法***堡壘主機,則在堡壘主機與其他內部主機之間無任何保護網絡安全的東西存在;路由器同樣可能出現單點失效,若被損害,則整個網絡對侵襲者開放。
屏蔽子網(Screened Subnet)
這種方法是在Intranet和Internet之間建立一個被隔離的子網,用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端,在子網內構成一個“緩衝地帶”,兩個路由器一個控制Intranet數據流,另一個控制Internet數據流,Intranet和Internet均可訪問屏蔽子網,但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機,爲內部網絡和外部網絡的互相訪問提供代理服務,但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對於向Internet公開的服務器,像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內,這樣無論是外部用戶,還是內部用戶都可訪問。
換句話說,屏蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器(因爲它可被因特網上用戶訪問),添加額外的安全層到被屏蔽主機體系結構中,將堡壘主機放在額外的安全層,構成了這種體系結構。這種在被保護的網絡和外部網之間增加的網絡,爲系統提供了安全的附加層,稱之爲周邊網(Peripheral Nets)。這種體系結構有兩個屏蔽路由器,每一個都連接到周邊網。一個位於周邊網與內部網之間,稱爲內部路由器,另一個位於周邊網與外部網之間,稱之爲外部路由器。堡壘主機位於周邊網上。侵襲者若想侵襲內部網絡,必須通過兩個路由器,即使他侵入了堡壘主機,仍無法進入內部網。因此這種結構沒有損害內部網絡的單一易受侵襲點。
這種結構的防火牆安全性能高,具有很強的抗***能力,但需要的設備多,造價高。