防火墻技術(shù)現(xiàn)狀

　　自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)后，提出了防火墻的概念，防火墻技術(shù)得到了飛速的發(fā)展。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級的控制，起到外部網(wǎng)絡(luò)向被保護的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用，這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對每一層的數(shù)據(jù)包進行檢測和監(jiān)控。隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代的功能更強大、安全性更強的防火墻已經(jīng)問世，這個階段的防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng)，我們稱之為第四代防火墻，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。

　　防火墻的定義和描述

　　“防火墻”這個術(shù)語參考來自應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻，用來隔離不同的公司或房間，盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。然而，多數(shù)防火墻里都有一個重要的門，允許人們進入或離開大樓。因此，雖然防火墻保護了人們的安全，但這個門在提供增強安全性的同時允許必要的訪問。

　　在計算機網(wǎng)絡(luò)中，一個網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動的屏障，并可通過一個”門”來允許人們在你的安全網(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信。原來，一個防火墻是由一個單獨的機器組成的，放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來，防火墻機制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主機。它現(xiàn)在涉及到整個從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域，由一系列復(fù)雜的機器和程序組成。簡單來說，今天防火墻的主要概念就是多個組件的應(yīng)用。到現(xiàn)在你要準(zhǔn)備實施你的防火墻，需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對于內(nèi)部用戶和外部用戶都是有效的。

　　防火墻的任務(wù)

　　防火墻在實施安全的過程中是至關(guān)重要的。一個防火墻策略要符合四個目標(biāo)，而每個目標(biāo)通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下四個目標(biāo)

　　實現(xiàn)一個公司的安全策略

　　防火墻的主要意圖是強制執(zhí)行你的安全策略。在前面的課程提到過在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。舉個例子，也許你的安全策略只需對MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。

　　創(chuàng)建一個阻塞點

　　防火墻在一個公司私有網(wǎng)絡(luò)和分網(wǎng)問建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較少的方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網(wǎng)絡(luò)邊界。

　　記錄Internet活動

　　防火墻還能夠強制日志記錄，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。

　　限制網(wǎng)絡(luò)暴露

　　防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。并且對于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠程節(jié)點偵測你的網(wǎng)絡(luò)時，他們僅僅能看到防火墻。遠程設(shè)備將不會知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進來的流量時行源檢查，以限制從外部發(fā)動的攻擊。

　　防火墻術(shù)語

　　在我們繼續(xù)討論防火墻技術(shù)前，我們需要對一些重要的術(shù)語有一些認(rèn)識

　　網(wǎng)關(guān)

　　網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口(CGI)到在兩臺主機間處理流量的防火墻網(wǎng)關(guān)。這個術(shù)語是非常常見的，而且在本課會用于一個防火墻組件里，在兩個不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。

　　電路級網(wǎng)關(guān)

　　電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個“安全”的 IP地址，這個地址是由防火墻使用的。有兩種方法來實現(xiàn)這種類型的網(wǎng)關(guān)，一種是由一臺主機充當(dāng)篩選路由器而另一臺充當(dāng)應(yīng)用級防火墻。另一種是在第一個防火墻主機和第二個之間建立安全的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時能提供容錯功能。

　　應(yīng)用級網(wǎng)關(guān)

　　應(yīng)用級網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細的注冊。通常是在特殊的服務(wù)器上安裝軟件來實現(xiàn)的。

　　包過濾

　　包過濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。包過濾設(shè)備允許或阻止包，典型的實施方法是通過標(biāo)準(zhǔn)的路由器。包過濾是幾種不同防火墻的類型之一，在本課后面我們將做詳細地討論。

　　代理服務(wù)器

　　代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器這個術(shù)語通常是指一個應(yīng)用級的網(wǎng)關(guān)，雖然電路級網(wǎng)關(guān)也可作為代理服務(wù)器的一種。

　　網(wǎng)絡(luò)地址翻譯(NAT)

　　網(wǎng)絡(luò)地址解釋是對Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。對于NAT的另一個名字是IP地址隱藏。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機制，以下地址作為保留地址:

　　10.0.0.0 - 10.55.55.55

　　17.16.0.0 - 17.1.55.55

　　19.168.0.0 - 19.168.55.55

　　如果你選擇上述例表中的網(wǎng)絡(luò)地址，不需要向任何互聯(lián)網(wǎng)授權(quán)機構(gòu)注冊即可使用。使用這些網(wǎng)絡(luò)地址的一個好處就是在互聯(lián)網(wǎng)上永遠不會被路由?；ヂ?lián)網(wǎng)上所有的路由器發(fā)現(xiàn)源或目標(biāo)地址含有這些私有網(wǎng)絡(luò)ID時都會自動地丟棄。

　　堡壘主機

　　堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，以達到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。從堡壘主機的定義我們可以看到，堡壘主機是網(wǎng)絡(luò)中最容易受到侵害的主機。所以堡壘主機也必須是自身保護最完善的主機。你可以使用單宿主堡壘主機。多數(shù)情況下，一個堡壘主機使用兩塊網(wǎng)卡，每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接你公司的內(nèi)部網(wǎng)絡(luò)用來管理、控制和保護，而另一塊連接另一個網(wǎng)絡(luò)，通常是公網(wǎng)也就是Internet。堡壘主機經(jīng)常配置網(wǎng)關(guān)服務(wù)。網(wǎng)關(guān)服務(wù)是一個進程來提供對從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。在一個應(yīng)用級的網(wǎng)關(guān)里，你想使用的每一個應(yīng)用程協(xié)議都需要一個進程。因此，你想通過一臺堡壘主機來路由Email，Web和FTP服務(wù)時，你必須為每一個服務(wù)都提供一個守護進程。

　　強化操作系統(tǒng)

　　防火墻要求盡可能只配置必需的少量的服務(wù)。為了加強操作系統(tǒng)的穩(wěn)固性，防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。多數(shù)的防火墻產(chǎn)品，包括Axent Raptor(www.axent.com)，CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前較流行的操作系統(tǒng)上運行。如Axent Raptor防火墻就可以安裝在Windows NT Server.0，Solaris及HP-UX操作系統(tǒng)上。理論上來講，讓操作系統(tǒng)只提供最基本的功能，可以使利用系統(tǒng)BUG來攻擊的方法非常困難。最后，當(dāng)你加強你的系統(tǒng)時，還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。

　　非軍事化區(qū)域(DMZ)

　　DMZ是一個小型網(wǎng)絡(luò)存在于公司的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。這個網(wǎng)絡(luò)由篩選路由器建立，有時是一個阻塞路由器。DMZ用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。DMZ另一個名字叫做Service Network，因為它非常方便。這種實施的缺點在于存在于DMZ區(qū)域的任何服務(wù)器都不會得到防火墻的完全保護。

　　篩選路由器

　　篩選路由器的另一個術(shù)語就是包過濾路由器并且至少有一個接口是連向公網(wǎng)的，如Internet。它是對進出內(nèi)部網(wǎng)絡(luò)的所有信息進行分析，并按照一定的安全策略——信息過濾規(guī)則對進出內(nèi)部網(wǎng)絡(luò)的信息進行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)的。采用這種技術(shù)的防火墻優(yōu)點在于速度快、實現(xiàn)方便，但安全性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號所代表的應(yīng)用服務(wù)協(xié)議類型有所不同，故兼容性差。

　　阻塞路由器

　　阻塞路由器(也叫內(nèi)部路由器)保護內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)絡(luò)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器所允許的在堡壘主機(在周邊網(wǎng)上)和用戶的內(nèi)部網(wǎng)之間服務(wù)可以不同于內(nèi)部路由器所允許的在Internet和用戶的內(nèi)部網(wǎng)之間的服務(wù)。限制堡壘主機和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機侵襲的機器的數(shù)量。

　　防火墻默認(rèn)的配置

　　默認(rèn)情況下，防火墻可以配置成以下兩種情況:

　　·拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進入和出去的流量的一些類型。

　　·允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。

　　可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP和SMTP的進程。

　　防火墻的一些高級特性

　　今天多數(shù)的防火墻系統(tǒng)組合包過濾，電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的功能。它們檢查單獨的數(shù)據(jù)包或整個信息包，然后利用事先訂制的規(guī)則來強制安全策略。只有那些可接受的數(shù)據(jù)包才能進出整個網(wǎng)絡(luò)。當(dāng)你實施一個防火墻策略時，這三種防火墻類型可能都需要。更高級的防火墻提供額外的功能可以增強你的網(wǎng)絡(luò)的安全性。盡管不是必需，每個防火墻都應(yīng)該實施日志記錄，哪怕是一些最基本的。

　　認(rèn) 證

　　防火墻是一個合理的放置提供認(rèn)證方法來避開特定的IP包。你可以要求一個防火墻令牌(firewall token)，或反向查詢一個IP地址。反向查詢可以檢查用戶是否真正地來自它所報告的源位置。這種技術(shù)有效地反擊IP欺騙的攻擊。防火墻還允許終端用戶認(rèn)證。應(yīng)用級網(wǎng)關(guān)或代理服務(wù)器可以工作在TCP/IP四層的每一層上。多數(shù)的代理服務(wù)器提供完整的用戶帳號數(shù)據(jù)庫。結(jié)合使用這些用戶帳號數(shù)據(jù)庫和代理服務(wù)器自定義的選項來進行認(rèn)證。代理服務(wù)器還可以利用這些帳號數(shù)據(jù)庫來提供更詳細的日志。

　　日志和警報

　　包過濾或篩選路由器一般在默認(rèn)情況下為了不降低性能是不進行日志記錄的。永遠不要認(rèn)為你的防火墻會自動地對所有活動創(chuàng)建日志。篩選路由器只能記錄一些最基本的信息，而電路級網(wǎng)關(guān)也只能記錄相同的信息但除此之外還包括任何NAT解釋信息。因為你要在防火墻上創(chuàng)建一個阻塞點，潛在的黑客必須要先穿過它。如果你放置全面記錄日志的設(shè)備并在防火墻本身實現(xiàn)這種技術(shù)，那么你有可能捕獲到所有用戶的活動包括那些黑客。你可以確切地知道黑客在做些什么并得到這些活動信息代審計。一些防火墻允許你預(yù)先配置對不期望的活動做何響應(yīng)。防火墻兩種最普通的活動是中斷TCP/IP連接或自動發(fā)出警告。相關(guān)的警報機制包括可見的和可聽到的警告。

　　建立一個防火墻

　　在準(zhǔn)備和建立一個防火墻設(shè)備時要高度重視。以前，堡壘主機這個術(shù)語是指所有直接連入公網(wǎng)的設(shè)備?，F(xiàn)在，它經(jīng)常汲及到的是防火墻設(shè)備。堡壘主機可以是三種防火墻中的任一種類型:包過濾，電路級網(wǎng)關(guān)，應(yīng)用級網(wǎng)關(guān)。

　　當(dāng)建設(shè)你的堡壘主機時要特別小心。堡壘主機的定義就是可公共訪問的設(shè)備。當(dāng)Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時，首先進入的機器就是堡壘主機。因為堡壘主機是直接連接到Internet上的，其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準(zhǔn)備好強制阻止進入。同樣地，堡壘主機必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準(zhǔn)備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。

　　設(shè)計規(guī)則

　　當(dāng)構(gòu)造防火墻設(shè)備時，經(jīng)常要遵循下面兩個主要的概念。第一，保持設(shè)計的簡單性。第二，要計劃好一旦防火墻被滲透應(yīng)該怎么辦。

　　保持設(shè)計的簡單性

　　一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要刪除堡壘主機上所有不必需的服務(wù)或守護進程。在堡壘主機上運行少量的服務(wù)給潛在的黑客很少的機會穿過防火墻。

　　安排事故計劃

　　如果你已設(shè)計好你的防火墻性能，只有通過你的防火墻才能允許公共訪問你的網(wǎng)絡(luò)。當(dāng)設(shè)計防火墻時安全管理員要對防火墻主機崩潰或危及的情況作出計劃。如果你僅僅是用一個防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開，那么黑客滲透進你的防火墻后就會對你內(nèi)部的網(wǎng)絡(luò)有著完全訪問的權(quán)限。為了防止這種滲透，要設(shè)計幾種不同級別的防火墻設(shè)備。不要依賴一個單獨的防火墻保護惟獨的網(wǎng)絡(luò)。如果你的安全受到損害，那你的安全策略要確定該做些什么。采取一些特殊的步驟，包括

　　· 創(chuàng)建同樣的軟件備份

　　· 配置同樣的系統(tǒng)并存儲到安全的地方

　　· 確保所有需要安裝到防火墻上的軟件都容易，這包括你要有恢復(fù)磁盤。

　　堡壘主機的類型

　　當(dāng)創(chuàng)建堡壘主機時，要記住它是在防火墻策略中起作用的。識別堡壘主機的任務(wù)可以幫助你決定需要什么和如何配置這些設(shè)備。下面將討論三種常見的堡壘主機類型。這些類型不是單獨存在的，且多數(shù)防火墻都屬于這三類中的一種。

　　單宿主堡壘主機

　　單宿主堡壘主機是有一塊網(wǎng)卡的防火墻設(shè)備。單宿主堡壘主機通常是用于應(yīng)用級網(wǎng)關(guān)防火墻。外部路由器配置把所有進來的數(shù)據(jù)發(fā)送到堡壘主機上，并且所有內(nèi)部客戶端配置成所有出去的數(shù)據(jù)都發(fā)送到這臺堡壘主機上。然后堡壘主機以安全方針作為依據(jù)檢驗這些數(shù)據(jù)。這種類型的防火墻主要的缺點就是可以重配置路由器使信息直接進入內(nèi)部網(wǎng)絡(luò)，而完全繞過堡壘主機。還有，用戶可以重新配置他們的機器繞過堡壘主機把信息直接發(fā)送到路由器上。

　　雙宿主堡壘主機

　　雙宿主堡壘主機結(jié)構(gòu)是圍繞著至少具有兩塊網(wǎng)卡的雙宿主主機而構(gòu)成的。雙宿主主機內(nèi)外的網(wǎng)絡(luò)均可與雙宿主主機實施通信，但內(nèi)外網(wǎng)絡(luò)之間不可直接通信，內(nèi)外部網(wǎng)絡(luò)之間的數(shù)據(jù)流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓用戶直接注冊到其上來提供很高程度的網(wǎng)絡(luò)控制。它采用主機取代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻。雙宿主機即一臺配有多個網(wǎng)絡(luò)接口的主機，它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行尋址。當(dāng)一個黑客想要訪問你內(nèi)部設(shè)備時，他 (她)必須先要攻破雙宿主堡壘主機，這有希望讓你有足夠的時間阻止這種安全侵入和作出反應(yīng)。

　　單目的堡壘主機

　　單目的堡壘主機既可是單堡壘也可是多堡壘主機。經(jīng)常，根據(jù)公司的改變，需要新的應(yīng)用程序和技術(shù)。很多時候這些新的技術(shù)不能被測試并成為主要的安全突破口。你要為這些需要創(chuàng)建特定的堡壘主機。在上面安裝未測試過的應(yīng)用程序和服務(wù)不要危及到你的防火墻設(shè)備。使用單目的堡壘主機允許你強制執(zhí)行更嚴(yán)格的安全機制。舉個例子，你的公司可能決定實施一個新類型的流程序，假設(shè)公司的安全策略需要所有進出的流量都要通過一個代理服務(wù)器送出，你要為這個表的流程序單獨地創(chuàng)建一個新代理服務(wù)器。在這個新的代理服務(wù)器上，你要實施用戶認(rèn)證和拒絕IP地址。使用這個單獨的代理服務(wù)器，不要危害到當(dāng)前的安全配置并且你可以實施更嚴(yán)格的安全機制如認(rèn)證。

　　內(nèi)部堡壘主機

　　內(nèi)部堡壘主機是標(biāo)準(zhǔn)的單堡壘或多堡壘主機存在于公司的內(nèi)部網(wǎng)絡(luò)中。它們一般用作應(yīng)用級網(wǎng)關(guān)接收所有從外部堡壘主機進來的流量。當(dāng)外部防火墻設(shè)備受到損害時提供額外的安全級別。所有內(nèi)部網(wǎng)絡(luò)設(shè)備都要配置成通過內(nèi)部堡壘主機通信，這樣當(dāng)外部堡壘主機受到損害時不會造成影響。

　　四種常見的防火墻設(shè)計都提供一個確定的安全級別，一個簡單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這四種防火墻的實施都是建立一個過濾的距陣和能夠執(zhí)行和保護信息的點。這四種選擇是:

　　·篩選路由器

　　·單宿主堡壘主機

　　·雙宿主堡壘主機

　　·屏蔽子網(wǎng)

　　篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬件已經(jīng)投入使用。用于創(chuàng)建篩選主機防火墻的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應(yīng)用級網(wǎng)關(guān)的配置都要求所有的流量通過堡壘主機。最后一個常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達到另一個安全的級別。