[网络工程师]-防火墙-防火墙体系

        从体系结构角度考虑，防火墙主要包括双宿/多宿主机模式、屏蔽主机模式和屏蔽子网模式。

1、双宿/多宿主机模式

        双宿/多宿主机模式（Dual-Homed/Multi-Homed Host Firewall）是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，如下图所示。通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连，一般采用代理服务的方法，必须禁止网络层的路由功能。

                         

2、屏蔽主机模式

        屏蔽主机防火墙（Screened Host Fireawll）由包过滤路由器和堡垒主机完成，其工作如下图所示：

                 

         屏蔽主机模式的主要特点是：在防火墙中堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内网完全暴露。

3、屏蔽子网模式

        屏蔽子网模式（Screened Subnet Mode）采用两个包过滤路由器和一个堡垒主机，在内部网络之间建立一个被隔离的子网，定义为DMZ网络，有时也称周边网（Perimeter Network），如下图所示：

        屏蔽子网模式的特点是：

        （1）网络管理员将堡垒主机、web服务器、mail服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍能受到内部包过滤路由器的保护。

        （2）多个堡垒主机运行各种代理服务，可以更有效地提供服务。

        当然防火墙还可能存在着其他的结构模式，如一个堡垒主机和一个非军事区，合并DMZ的内部路由器和外部路由器结构，使用多个堡垒主机，使用多重宿主主机与屏蔽子网等。防火墙必须按照实际网络环境的要求而构造。