建造防火墙时，一般很少采用单一的技术，通常是采用多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级的风险。采用哪种技术还取决于投资的大小、设计人员的技术、时间等因素。

防火墙的控制主要包括服务控制、方向控制、用户控制和行为控制等。根据安全需要，在不同的系统环境下，防火墙可以被设计成多种形式。在一般情况下，防火墙可以设计成双宿主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构3种基本结构，其他各种结构和形式基本上都是上述3种基本结构的变形。

（一）防火墙的基本结构

1.双宿主机结构

双宿主机体系结构是让双宿主机充当与其接口相连的网络之间的路由器而构造起来的，其作用是能够把IP数据包从一个网络发送到另一个网络。双宿主机结构中，防火墙内部的网络系统和外部的网络系统都与双宿主机通信。由于双宿主机位于内、外系统之间，互联网和内部的网络被双宿主机隔离，所以，防火墙内外的系统不能直接互相通信，它们之间的IP通信被完全阻止。

双宿主机的防火墙体系结构是非常简单的一种防火墙体系，其体系结构如图7-13所示。

2.屏蔽主机结构

图7-13　双宿主机的防火墙体系结构

图7-14　屏蔽主机结构

屏蔽主机体系结构使用一个单独的路由器提供来自仅与内部的网络相连的主机的服务。这种体系结构中，堡垒主机位于内部的网络上，主要的数据安全由数据包过滤提供。屏蔽主机结构如图7-14所示。

屏蔽主机结构中，堡垒主机是互联网上的主机连接到内部网络上的系统的桥梁，任何外部的系统试图访问内部的系统或者服务都必须连接到这台堡垒主机上，只有确定类型的连接被允许，从而达到数据包过滤的目的。在多数情况下，屏蔽主机体系结构提供比双宿主机体系结构更高的安全性和可用性。

屏蔽主机体系结构的缺点主要表现在：如果堡垒主机被入侵，则在堡垒主机和其余的内部主机之间没有任何网络安全措施的保护，路由器会出现一个单点失效。如果路由器被损害，整个网络对侵袭者就全面开放了。

屏蔽主机结构中，屏蔽的路由器进行数据包过滤配置可以按下列之一执行：

（1）允许其他的内部主机为了某些服务与互联网上的主机连接，即允许那些已经由数据包过滤的服务。

（2）不允许来自内部主机的所有连接。

（3）屏蔽子网结构。

屏蔽子网体系结构添加了额外的安全层到被屏蔽主机体系结构中，即通过添加周边网络更进一步地把内部网络与互联网隔离开。

堡垒主机是用户的网络上最容易受侵袭的主体。虽然用户尽最大的努力进行保护，它仍是最有可能被侵袭的。因为堡垒主机的本质决定了它是最容易被侵袭的对象。如果在屏蔽主机体系结构中，用户的内部网络在没有其他的防御手段时，一旦入侵者成功地侵入屏蔽主机体系结构中的堡垒主机，那就可以毫无阻挡地进入内部系统了。

图7-15　屏蔽子网体系结构

在周边网络上隔离堡垒主机，能减少堡垒主机被侵入后对内部系统的影响。屏蔽子网体系结构的最简单的形式为两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间，其结构如图7-15所示。

如果想侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他仍然需要通过内部路由器。在此情况下，网络内部的单一的易受侵袭点便不会存在了。

（1）周边网络。

周边网络是在外部网络与用户的被保护的内部网络之间的附加网络，它是一个安全层。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在侵袭者与用户的内部系统之间提供了一个附加的保护层。

对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。所以，即使堡垒主机被损害，内部的通信仍将是安全的。(www.daowen.com)

（2）堡垒主机。

在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网，这台主机便是接受来自外界连接的主要入口。例如：

1）接受进来的电子邮件，传送电子邮件到站点。

2）将进来的文件传输协议的连接，转接到站点的匿名文件传输服务器。

3）对进来的域名服务（DNS）站点查询等。

4）对于出站服务，即从内部的客户端到在互联网上的服务器，按如下任一方法处理：

①在外部和内部的路由器上设置数据包过滤，以允许内部的客户端直接访问外部的服务器。

②如果用户的防火墙使用代理软件，设置代理服务器在堡垒主机上运行，以允许内部的客户端间接地访问外部的服务器。也可以设置数据包过滤来允许内部的客户端或外部系统在堡垒主机上同代理服务器交谈。

不论哪一种情况，数据包过滤允许堡垒主机连接到互联网上的主机，并且接受来自互联网上主机的连接。但是，哪一台主机允许什么服务，由站点的安全策略决定。

许多堡垒主机可以为各种各样的服务充当代理服务器。

（二）内部路由器和外部路由器

1.内部路由器

内部路由器（有时也称为阻塞路由器）的作用主要是保护内部的网络，使之免受外部网和周边网的侵犯。

内部路由器为用户的防火墙执行大部分的数据包过滤工作，它允许从内部网到互联网的有选择的出站服务。用户允许的服务完全取决于自身需要和业务。

内部路由器所允许的堡垒主机（在周边网上）和用户的内部网之间的服务可以不同于内部路由器所允许的外部网和用户的内部网之间的服务。限制堡垒主机和内部网之间的服务，是为了当堡垒主机受到侵袭时，减少内部网上受到侵犯机器的数量及服务的数量。

用户应该将堡垒主机和内部网之间所允许的服务限制在实际所需的范围，如堡垒主机可传送进来的电子邮件，堡垒主机可回答来自内部机器的查询，或接受外部网络的访问等，这些取决于用户的配置。用户还可以通过仅允许它们来往于特定的内部主机，进一步限制这些服务。用户必须密切关注其他的内部主机的安全和通过堡垒主机联系的服务的安全，因为那些主机与服务都将是侵袭者追逐的目标。

2.外部路由器

外部路由器又称访问路由器，其主要作用是保护周边网和内部网，使之免受来自外部网的侵犯。实际上，外部路由器允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上是一样的，因此在规则中会有允许侵袭者同时访问内部路由器和外部路由器的错误情况出现。

外部路由器一般由外部群组提供，外部群组通常放入一些通用型数据包过滤规则来维护路由器。在外部路由器上唯一确实特殊的数据包过滤规则是那些在周边网上保护机器（即堡垒主机和内部的路由器）的规则。但因为在周边网上的主机主要是通过主机安全被保护的，所以许多的保护是冗余的。

用户可以放在外部路由器上的其余规则，是内部路由器规则的复制。它们是防止内部主机与互联网之间不安全通信的规则。为了支持代理服务，内部路由器将让内部的主机发送一些协议使它们能与堡垒主机交谈，外部路由器可以让所有来自堡垒主机的协议通过。这些规则对额外的安全等级是理想的，由于数据包已经被内部路由器阻止，所以，外部路由器只是阻止了不存在的数据包。如果数据包的确存在，那就是路由器失效，或者有主机连接到了周边网络。