防火墙的系统模型是指防火墙系统实现所采用的架构及其实现所采用的方法。它决定着防火墙的功能、性能及使用范围。

防火墙可以被设置成许多不同的结构，并提供不同级别的安全，当然不同的结构维护运行的费用也各个相同。各种组织机构应该根据不同的风险评估来确定防火墙类型。

常见的防水墙的系统模型有分组过滤路由器防火墙（Packet Filtering Router Firewall）、双宿堡垒主机防火墙（Multihomed Bastion Hosts Firewall）、屏蔽主机防火墙（Screened Host Firewall）、屏蔽子网防火墙（Screened Subnet Firewall）和其他系统模型。

1. 分组过滤路由器防火墙

分组过滤路由器防火墙，是众多防火墙中最基本、最简单的一种。它可以由厂家专门生产的路由器实现，也可以用主机来实现。分组过滤路由器作为内部网络与外部网络连接的唯一通道，要求所有的报文都必须在此进行检查，如图5-12所示。

分组过滤路由器根据协议的一些属性来设置过滤策略，协议属性包括源或目标地址、协议类型、源或目标端口或某些其他特定于协议的属性。

图5-12　分组过滤路由器

2. 双宿堡垒主机防火墙

这种防火墙不使用分组过滤规则，而是在被保护网络和外部网络之间设置一个具有双网卡的堡垒主机，用来隔断TCP/IP的直接传输，两个网络中的主机不能直接通过，从而达到保护内部网络的作用，如图5-13所示。

图5-13　双宿堡垒主机

通常情况下，防火墙由一个运行代理服务软件的主机实现时，这种主机称为堡垒主机。具有两个网络接口的堡垒主机称为双宿主机。

堡垒主机上安装的操作系统一般是此操作系统的安全版本，这样使它成为一个可信系统。堡垒主机通常作为应用层网关和电路层网关的服务平台，堡垒主机上只安装网络管理员认为必需的服务，如Telnet、DNS、FTP、SNMP和用户验证方法等服务的代理应用程序。每个用户在访问代理服务之前，堡垒主机要对其进行额外的验证。另外每代理在用户对其访问之前也可以对其进行验证。各个代理设置为只能支持标准应用程序指令集的一个子集。各个代理只允许对特殊主机的访问，这样这些有限的指令/功能只能应用在受保护网络的内部分主机上。各个代理通过对通信、连接及连接持续时间的日志管理，取得详细的审查信息，并从中发现和终结入侵者的攻击。堡垒主机的代理彼此之间是独立的，如果对某个代理的操作出现问题，或者潜在的弱点被发现，那么完全可以卸载这个代理而不会影响到其他代理的使用。另一方面，如果用户需要新的服务，网络管理员可以在堡垒主机上安装所需的代理。

双宿堡垒主机的两个接口分别连接内部网络和外部网络，双宿堡垒主机位于内外网络之间，它充当内部网络与外部网络之间的网关，但是双宿堡垒主机的路由功能是被禁止的。内部网络与外部网络之间不能直接建立连接，必须通过堡垒主机上的代理服务才能进行通信，外部用户只能看到堡垒主机，而不能看到内部网的实际服务器和其他资源。

这种体系结构是存在漏洞的，如双重宿主主机是整个网络的屏障，一旦被黑客攻破，那么内部网络就会对攻击者敞开大门，所以一般双重宿主机会要求有强大的身份验证系统来阻止外部非法登录的可能性。

3. 屏蔽主机防火墙

屏蔽主机防火墙，由一台过滤路由器和一台堡垒主机构成。分组过滤路由器连接外部网络，堡垒主机安装在内部网络上，包过滤路由器提供了网络层和传输层的安全，堡垒主机提供了应用层的安全。通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，堡垒主机上提供指定的代理服务，外部用户只能与堡垒主机建立连接，并通过堡垒主机上的代理访问内部网络提供的服务。这确保了内部网络不受未被授权的外部用户的攻击，如图5-14所示。

图5-14　屏蔽主机防火墙(www.daowen.com)

在屏蔽的路由器中数据包过滤配置按下列方式之一执行：

（1）允许其他的内部主机为了某些服务与外部网络上的主机连接（即允许那些已经有数据包过滤的服务）。

（2）不允许来自内部主机的所有连接（强迫那些主机经由堡垒主机使用代理服务）。

4. 屏蔽子网防火墙

屏蔽子网防火墙，由两个分组过滤路由器和两个路由器之间的子网构成，如图5-15所示。

图5-15　屏蔽子网防火墙

屏蔽子网络防火墙结构相对复杂，主要由5个部件组成，分别是周边网络、外部路由器、内部路由器、堡垒主机及信息服务器。

周边网络，指位于非安全不可信的外部网络与安全可信的内部网络之间的一个附加网络。即屏蔽子网防火墙在内部网络和外部网络之间，通过分组过滤路由器构建出一个被隔离的子网。在周边网络中主要会放置一些可以让外部网络访问的信息服务器，如WWW、FTP、Mail等服务器，由于周边网络可能会受到攻击，因此又被称为非军事区（DMZ）。

外部路由器，用于保护周边网络和内部网络，是屏蔽子网结构的第一道屏障。外部路由器上设置了对周边网络和内部网络进行访问的过滤规则，该规则主要针对外网用户，例如，限制外网用户仅能访问周边网络而不能访问内部网络，或者仅能访问内部网络的部分主机。外部路由器基本上对周边网络发出的数据包不进行过滤，因为周边网络发送的数据包都来自堡垒主机或由内部路由器过滤后的内部主要数据包。外部路由器上应该复制内部服务器上的规则，以避免内部路由器失效的负面影响。

内部路由器，主要用于隔离周边网络和内部网络，是屏蔽子网结构的第二道屏障。在其上设置了针对内部用户的访问过滤规则，对内部用户访问周边网络和外部网络进行限制，例如，部分内部网络用户只能访问周边网络而不能访问外部网络等。内部路由器复制了外部路由器的内网过滤规则，以防止外部路由器的过滤功能失效的严重后果。内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问，以减轻在堡垒主机被入侵后可能影响的内部主机数量和服务的数量。

堡垒主机，负责执行屏蔽子网防火墙的应用层访问控制操作。在堡垒主机上要安装相应的代理服务器组件，可以向外部用户提供WWW、FTP等服务，接受来自外部网络用户的资源访问请求。同时，堡垒主机也可以向内部网络用户提供DNS、电子邮件、WWW代理和FTP代理等多种服务，提供内部网络用户访问外部资源的接口。

信息服务器，主要是为了面向外部网络提供信息服务而设立的，如WWW服务器、FTP服务器等。每一台信息服务器只提供必要的服务而不允许向内部网络转发信息。

屏蔽子网防火墙对内部网络的安全防护更加严密。屏蔽子网防火墙通过屏蔽子网实现了内部网络与外部网络的隔离，外部网络只能看到外部路由器或非军事区的存在，而不知道内部路由器的存在，也就无法探测到内部网络路由器后的内部网络。这样降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将用户网络的信息流量明确地分为不同的等级，通过内部路由器的隔离作用，机密信息流受到严密的保护，减少了信息泄露现象的发生。

5. 其他系统模型的防火墙

构建防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：使用多堡垒主机、合并内部路由器与外部路由器、合并堡垒主机与外部路由器、合并堡垒主机与内部路由器等。现在市场上的硬件防火墙产品就是集成了多种技术，其网络连接方式如图5-16所示。

图5-16　市场上的一般硬件防火墙网络连接图