华华早起,一起学习,本文我们继续防火墙技术的学习。防火墙的经典体系结构有三种: 双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。本小节我们一起学习被屏蔽主机体系结构。
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。在这样的体系结构中有两道保护的屏障:一道是屏蔽路由器,另一道是堡垒主机。
屏蔽路由器位于网络的最边缘,它主要负责与外部网络连接,参与外网的路由计算。它不提供任何服务,只提供路由和数据包过滤的功能。有了屏蔽路由器,堡垒主机不再是直接与外部网络互连的双重宿主主机,这就增加了系统的安全性。
堡垒主机在内部网络中,它是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源和数据必须要经过的主机设备。堡垒主机提供代理的功能,内部网络的用户只能通过应用层代理访问外部网络,堡垒主机是外部网用户唯一可以访问的内部主机。有的堡垒主机也会提供数据包过滤的功能,实现对于内部网络的保护,它只允许通过特定的服务连接。
被屏蔽主机体系结构比双重宿主主机体系结构更安全。在堡垒主机之外提供了数据包过滤的功能,使得堡垒主机存在漏洞的可能性更小,被攻击的可能性也更小;内部网络用户访问外部网络也比较方便,用户可以通过堡垒主机提供的代理服务访问外部网络。这个结构也存在不足,例如:和双重宿主主机结构一样,一旦用户入侵了堡垒主机,那么内部网络就处于不安全的状态;而且路由器和堡垒主机的过滤规则配置也比较复杂,容易形成错误或者漏洞。
好,被屏蔽主机体系结构的防火墙就一起学习到这,感谢阅读。
浙公网安备 33010602011771号