防火墙的安全性分析与配置指南（4）

　　 
　　防火墙的安全性分析与配置指南
　　四.防火墙的配置

　　防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-su.net方式。 Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omed Gateway又称为bastionhost。 这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

　　Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道 屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

　　 Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网， 称之为"停火区"（DMZ，即DemilitarizedZone）,Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

　　五.防火墙的安全措施

　　各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施。

　　1.防电子欺骗术

　　防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。

　　2.网络地址转移

　　地址转移是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。

　　3.开放式结构设计

　　开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。

　　4.路由器安全管理程序

　　它为Bay和Cisco的路由器提供集中管理和访问列表控制。

　　六.结束语

　　防火墙技术的致命弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。额外的管理负担是另外一个弱点。此外，防火墙采用滤波技术， 滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。一个普通路由器不足4000美元，而一个高速路由器的价格可能在20,000美元以上，这使滤波器无法广泛应用。而且，只装有滤波器往往还不足以保证安全，尤其无法防止防火墙内侧的攻击。因此，防火墙技术往往只作为辅助安全策略。（完）

原文转自：http://www.ltesting.net