雙宿主機(jī)型防火墻什么意思（有關(guān)電腦防火墻知識(shí)解讀）

發(fā)布時(shí)間：2025-08-18 | 來(lái)源：互聯(lián)網(wǎng)轉(zhuǎn)載和整理

非軍事區(qū)

為了配置和管理方便，通常將內(nèi)部網(wǎng)中需要向外部提供服務(wù)的服務(wù)器設(shè)置在單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段被稱為非軍事區(qū)（DeMilitarized Zone，DMZ），也被稱為周邊網(wǎng)絡(luò)，圖5-15是DMZ示意圖。

DMZ是周邊網(wǎng)絡(luò)，是指在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)之間增加的一個(gè)網(wǎng)絡(luò)，對(duì)外提供服務(wù)的各種服務(wù)器都可以放在這個(gè)網(wǎng)絡(luò)里。DMZ隔離內(nèi)外網(wǎng)絡(luò)，并為內(nèi)外網(wǎng)之間的通信起到緩沖作用。

周邊網(wǎng)絡(luò)的存在，使得外部用戶訪問(wèn)服務(wù)器時(shí)不需要進(jìn)入內(nèi)部網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)用戶對(duì)服務(wù)器維護(hù)工作導(dǎo)致的信息傳遞也不會(huì)泄露至外部網(wǎng)絡(luò)；

同時(shí)，周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)之間都存在著數(shù)據(jù)包過(guò)濾，這樣為外部用戶的攻擊設(shè)置了多重障礙，確保了內(nèi)部網(wǎng)絡(luò)的安全。

堡壘主機(jī)

在防火墻體系結(jié)構(gòu)中，經(jīng)常提到堡壘主機(jī)（Bastion Host，如圖5-15所示）。

堡壘主機(jī)得名于古代戰(zhàn)爭(zhēng)中用于防守的堅(jiān)固堡壘，它位于內(nèi)部網(wǎng)絡(luò)的最外層，像堡壘一樣對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)。

堡壘主機(jī)是一種配置了安全防范措施的網(wǎng)絡(luò)上的計(jì)算機(jī)，為網(wǎng)絡(luò)之間的通信提供了一個(gè)阻塞點(diǎn)。如果沒(méi)有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問(wèn)。

堡壘主機(jī)是指可能直接面對(duì)外部用戶攻擊的主機(jī)系統(tǒng)，在防火墻體系結(jié)構(gòu)中，堡壘主機(jī)要高度暴露，是網(wǎng)絡(luò)上最容易遭受非法入侵的設(shè)備。

所以防火墻設(shè)計(jì)者和管理人員需要致力于堡壘主機(jī)的安全，而且在運(yùn)行期間對(duì)堡壘主機(jī)的安全要給予特別的注意。

一般來(lái)說(shuō)，堡壘主機(jī)上提供的服務(wù)越少越好，因?yàn)槊吭黾右环N服務(wù)就增加了被攻擊的可能性。

雙重宿主主機(jī)

雙重宿主主機(jī)是指至少擁有兩個(gè)以上網(wǎng)絡(luò)接口且每個(gè)網(wǎng)絡(luò)接口連接不同的網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)，因此也稱為多穴主機(jī)系統(tǒng)。

一般來(lái)說(shuō)，雙重宿主主機(jī)是實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間互連的關(guān)鍵設(shè)備，如網(wǎng)橋是在數(shù)據(jù)鏈路層實(shí)現(xiàn)互連的雙重宿主主機(jī)，路由器是在網(wǎng)絡(luò)層實(shí)現(xiàn)互連的雙重宿主主機(jī)，應(yīng)用層***是在應(yīng)用層實(shí)現(xiàn)互連。

1. 雙宿主主機(jī)體系結(jié)構(gòu)

雙宿主主機(jī)（Dual-Homed Host）體系結(jié)構(gòu)如圖5-16所示。

雙宿主主機(jī)位于內(nèi)部網(wǎng)和Internet之間，一般來(lái)說(shuō)，是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。

這兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，分別屬于內(nèi)外兩個(gè)不同的網(wǎng)段。

堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。

雙宿主機(jī)***堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志。

雙宿主主機(jī)這種體系結(jié)構(gòu)非常簡(jiǎn)單，一般通過(guò)代理（Proxy）來(lái)實(shí)現(xiàn)，或者通過(guò)用戶直接登錄到該主機(jī)來(lái)提供服務(wù)。

雙宿主主機(jī)體系結(jié)構(gòu)的特點(diǎn)

防火墻主體是帶有內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)接口主機(jī)系統(tǒng)，雙宿主主機(jī)具備成為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間路由器的條件。但是，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，數(shù)據(jù)包轉(zhuǎn)發(fā)進(jìn)程是被禁止運(yùn)行的。

為了達(dá)到防火墻的基本效果，在雙宿主主機(jī)系統(tǒng)中，任何路由功能是禁止的。雙宿主主機(jī)采用應(yīng)用代理防火墻技術(shù)，內(nèi)部網(wǎng)絡(luò)用戶通過(guò)客戶端代理軟件訪問(wèn)外部網(wǎng)絡(luò)資源，或者直接登錄雙宿主主機(jī)成為一個(gè)用戶，利用該主機(jī)直接訪問(wèn)外部資源。

雙宿主主機(jī)體系結(jié)構(gòu)的優(yōu)點(diǎn)

網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，由于內(nèi)、外網(wǎng)絡(luò)之間沒(méi)有直接的數(shù)據(jù)交互而較為安全；內(nèi)部用戶賬號(hào)可以有效控制外部資源；由于應(yīng)用代理機(jī)制的采用方便地形成應(yīng)用層的數(shù)據(jù)與信息過(guò)濾。

雙宿主主機(jī)體系結(jié)構(gòu)的缺點(diǎn)

用戶需要登錄到主機(jī)才能訪問(wèn)外部資源，主機(jī)資源消耗較大，用戶訪問(wèn)外部資源較為復(fù)雜；用戶機(jī)制存在安全隱患，并且內(nèi)部用戶無(wú)法借助于該體系結(jié)構(gòu)訪問(wèn)新的服務(wù)；一旦外部用戶入侵雙宿主主機(jī)，則導(dǎo)致內(nèi)部網(wǎng)絡(luò)處于不安全狀態(tài)。

2. 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過(guò)數(shù)據(jù)包過(guò)濾技術(shù)實(shí)現(xiàn)內(nèi)、外網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)，一個(gè)典型的被屏蔽的主機(jī)體系結(jié)構(gòu)如圖5-17所示。

在被屏蔽主機(jī)體系結(jié)構(gòu)中，有兩道屏障：一是屏蔽路由器，二是堡壘主機(jī)。屏蔽路由器位于網(wǎng)絡(luò)最邊緣，負(fù)責(zé)與外網(wǎng)實(shí)施連接，參與外網(wǎng)的路由計(jì)算。

屏蔽路由器僅提供路由和數(shù)據(jù)包過(guò)濾功能，因此屏蔽路由器本身較為安全。由于屏蔽路由器的存在，堡壘主機(jī)不再是直接與外網(wǎng)互連的雙宿主主機(jī)，增加了系統(tǒng)的安全性。

堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)，是唯一可以連接到外部網(wǎng)絡(luò)系統(tǒng)的主機(jī)，也是外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源必須經(jīng)過(guò)的主機(jī)設(shè)備。

堡壘主機(jī)通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的防護(hù)，并且僅僅允許通過(guò)特定的服務(wù)連接。堡壘主機(jī)可以提供代理功能，內(nèi)部用戶只能通過(guò)應(yīng)用代理訪問(wèn)外部網(wǎng)絡(luò)，堡壘主機(jī)成為外部用戶唯一可以訪問(wèn)的內(nèi)部主機(jī)。

被屏蔽主機(jī)體系結(jié)構(gòu)的優(yōu)點(diǎn)

具有更高的安全特性。由于屏蔽路由器在堡壘主機(jī)之外提供數(shù)據(jù)包過(guò)濾功能，使得堡壘主機(jī)要比雙宿主主機(jī)相對(duì)安全，存在漏洞的可能性較小；同時(shí)，堡壘主機(jī)的數(shù)據(jù)包過(guò)濾功能限制外部用戶只能訪問(wèn)特定主機(jī)上的特定服務(wù)，在提供服務(wù)的同時(shí)仍然保證了內(nèi)部網(wǎng)絡(luò)的安全。

內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外部網(wǎng)絡(luò)方便、靈活。在屏蔽路由器和堡壘主機(jī)允許的情況下，用戶直接訪問(wèn)外部網(wǎng)絡(luò)。如果屏蔽路由器和堡壘主機(jī)不允許，內(nèi)部用戶通過(guò)堡壘主機(jī)代理服務(wù)訪問(wèn)外部資源。在實(shí)際應(yīng)用中，兩種方式綜合運(yùn)用，訪問(wèn)不同服務(wù)采用不同的方式。

由于堡壘主機(jī)和屏蔽路由器的同時(shí)存在，使得堡壘主機(jī)可以從部分安全事務(wù)中解脫出來(lái)，從而可以以更高的效率提供數(shù)據(jù)包過(guò)濾或代理服務(wù)。

被屏蔽主機(jī)體系結(jié)構(gòu)的缺點(diǎn)

在被屏蔽主機(jī)體系結(jié)構(gòu)中，外部用戶在被允許的情況下可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)，這樣就存在著一定的安全隱患；與雙宿主主機(jī)體系一樣，一旦用戶入侵堡壘主機(jī)，就會(huì)導(dǎo)致內(nèi)部網(wǎng)絡(luò)處于不安全狀態(tài)；路由器和堡壘主機(jī)的過(guò)濾規(guī)則配置較為復(fù)雜，較容易形成錯(cuò)誤和漏洞。

3. 被屏蔽子網(wǎng)體系結(jié)構(gòu)

在雙宿主主機(jī)體系結(jié)構(gòu)和被屏蔽主機(jī)體系結(jié)構(gòu)中，主機(jī)是最主要的安全缺陷，一旦主機(jī)被入侵，則整個(gè)內(nèi)部網(wǎng)絡(luò)都處于威脅之中，為解決這種安全隱患，出現(xiàn)了被屏蔽子網(wǎng)體系結(jié)構(gòu)。

被屏蔽子網(wǎng)體系結(jié)構(gòu)將防火墻的概念擴(kuò)充至一個(gè)由兩臺(tái)路由器包圍起來(lái)的特殊網(wǎng)絡(luò)，即周邊網(wǎng)絡(luò)，并且將堡壘主機(jī)都置于周邊網(wǎng)絡(luò)中，一個(gè)典型的被屏蔽子網(wǎng)體系結(jié)構(gòu)如圖5-18所示。

被屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻比較復(fù)雜，主要包括四個(gè)部件：周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器和堡壘主機(jī)。

周邊網(wǎng)絡(luò)

周邊網(wǎng)絡(luò)是位于不可信外部網(wǎng)絡(luò)與可信內(nèi)部網(wǎng)絡(luò)之間的一個(gè)附加網(wǎng)絡(luò)。周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間通過(guò)屏蔽路由器實(shí)現(xiàn)邏輯隔離，因此外部用戶必須穿越兩道屏蔽路由器才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

一般情況下，外部用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，僅能夠訪問(wèn)周邊網(wǎng)絡(luò)中的資源，由于內(nèi)部用戶間通信的數(shù)據(jù)包不通過(guò)屏蔽路由器傳遞至周邊網(wǎng)絡(luò)，外部用戶即使入侵了周邊網(wǎng)絡(luò)中的堡壘主機(jī)，也無(wú)法**到內(nèi)部網(wǎng)絡(luò)的信息。

外部路由器

外部路由器的主要作用在于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第一道屏障。在其上設(shè)置了針對(duì)外網(wǎng)用戶對(duì)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)訪問(wèn)的過(guò)濾規(guī)則。

例如，限制外網(wǎng)用戶僅能訪問(wèn)周邊網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，或者僅能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的部分主機(jī)。

外部路由器不過(guò)濾周邊網(wǎng)絡(luò)內(nèi)發(fā)出的數(shù)據(jù)包，因?yàn)閿?shù)據(jù)包來(lái)自于堡壘主機(jī)或內(nèi)部路由器過(guò)濾后的內(nèi)部主機(jī)數(shù)據(jù)包。外部路由器復(fù)制內(nèi)部路由器上的規(guī)則，以避免內(nèi)部路由器失效而造成負(fù)面影響。

內(nèi)部路由器

內(nèi)部路由器用于隔離周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系結(jié)構(gòu)的第二道屏障。在其上設(shè)置了針對(duì)內(nèi)部用戶對(duì)周邊網(wǎng)絡(luò)和外部網(wǎng)絡(luò)訪問(wèn)的過(guò)濾規(guī)則。

例如，部分內(nèi)部網(wǎng)絡(luò)用戶只能訪問(wèn)周邊網(wǎng)絡(luò)不能訪問(wèn)外部網(wǎng)絡(luò)等。

內(nèi)部路由器復(fù)制了外部路由器上的內(nèi)網(wǎng)過(guò)濾規(guī)則，以防止外部路由器過(guò)濾功能失效而造成的嚴(yán)重后果。

內(nèi)部路由器還要限制周邊網(wǎng)絡(luò)的堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)，減少堡壘主機(jī)被入侵后可以影響的內(nèi)部主機(jī)數(shù)量和服務(wù)的數(shù)量。

堡壘主機(jī)

在被屏蔽子網(wǎng)結(jié)構(gòu)中，堡壘主機(jī)位于周邊網(wǎng)絡(luò)，向外部用戶提供WWW、FTP等服務(wù)，接受外部網(wǎng)絡(luò)用戶的服務(wù)資源訪問(wèn)謂求，同時(shí)堡壘主機(jī)也向內(nèi)部網(wǎng)絡(luò)用戶提供DNS、WWW代理、FTP代理等服務(wù)，提供內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外部資源的接口。

被屏蔽子網(wǎng)體系結(jié)構(gòu)的優(yōu)點(diǎn)

外部路由器和內(nèi)部路由器構(gòu)成了雙層防護(hù)體系，入侵者難以突破；

外部用戶訪問(wèn)服務(wù)資源時(shí)無(wú)需進(jìn)入內(nèi)部網(wǎng)絡(luò)，在保證服務(wù)的情況下提高了內(nèi)部網(wǎng)絡(luò)的安全性；

外部路由器和內(nèi)部路由器過(guò)濾規(guī)則復(fù)制，避免了由于某臺(tái)路由器失效產(chǎn)生的安全隱患；

堡壘主機(jī)由外部路由器的過(guò)濾規(guī)則和本機(jī)安全機(jī)制共同防護(hù)，用戶只能訪問(wèn)它提供的服務(wù)；

即使入侵者通過(guò)堡壘主機(jī)的服務(wù)缺陷控制了堡壘主機(jī)，由于內(nèi)部路由器將內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)隔離，入侵者無(wú)法通過(guò)**周邊網(wǎng)絡(luò)獲取內(nèi)部網(wǎng)絡(luò)信息。

被屏蔽子網(wǎng)體系結(jié)構(gòu)的缺點(diǎn)

構(gòu)建被屏蔽子網(wǎng)體系結(jié)構(gòu)的成本較高；被屏蔽子網(wǎng)體系結(jié)構(gòu)的配置較為復(fù)雜，容易出現(xiàn)配置錯(cuò)誤導(dǎo)致的安全隱患。