华华早起,一起学习,本文我们继续防火墙技术的学习。防火墙的经典体系结构有三种: 双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。本小节我们一起学习被屏蔽子网体系结构。
被屏蔽子网体系结构是把防火墙的概念扩充到一个由两台路由器包围起来的特殊网络即周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。
通常被屏蔽子网体系结构的防火墙由四个部分组成:周边网络、外部路由器、内部路由器和堡垒主机。
周边网络,它是处于非安全、不可信的外部网络与可信的内部网络之间的一个附加网络。周边网络与外部网络,周边网络与内部网络之间都是通过屏蔽路由器实现逻辑隔离的。外部用户想要访问内部网络需要通过两道屏蔽路由器才能访问内部的资源,通常仅能访问周边网络中的资源。外部用户即使入侵了周边网络中的堡垒主机,也无法监听到内部网络的信息。
外部路由器,它的主要作用是保护周边网络和内部网络,是整个屏蔽子网体系结构的第一道屏障。在外部路由器上设置了对周边网络DMZ和内部网络进行访问的过滤规则,通过这些规则可以限制外网用户只能访问周边网络不能访问内部网络,或者只允许外网用户访问内部网络的部分主机、部分服务。
内部路由器,它用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在内部路由器上设置了针对内部用户的访问过滤规则,对内部用户访问周边网络和外部网络进行了限制。一些规则可以限制内部网络用户只可以访问周边网络不允许访问外部网络。内部路由器会复制外部路由器的过滤规则,这样可以防止外部路由器过滤功能失效所带来的严重后果。内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问,这样可以减轻在堡垒主机被入侵的情况下,内部网络和服务的正常运行。
堡垒主机,它处于周边网络中,可以向外部用户提供WWW服务、FTP服务,能够接受外部网络用户的服务资源请求的访问。它也可以向内部网络用户提供DNS,电子邮件、WWW代理、FTP代理等多种服务,是内部网络用户访问外部网络资源的接口。
被屏蔽子网体系结构的防火墙与双重宿主主机体系结构和被屏蔽子网体系结构相比,安全性更高:外部路由器和内部路由器构成了双层的防护体系;外部路由器和内部路由器上的过滤规则避免了路由器失效产生的安全隐患。但是这个体系结构也有它的不足:构建被屏蔽子网体系的建设成本相对比较高;配置也比较复杂,需要维护人员的专业化程度更高,容易出现配置错误导致的安全隐患。
好,被屏蔽子网体系结构的防火墙就一起学习到这,感谢阅读。
浙公网安备 33010602011771号