双宿主机型防火墙什么意思(有关电脑防火墙知识解读)
非军事区
为了配置和管理方便,通常将内部网中需要向外部提供服务的服务器设置在单独的网段,这个网段被称为非军事区(DeMilitarized Zone,DMZ),也被称为周边网络,图5-15是DMZ示意图。
在被屏蔽主机体系结构中,有两道屏障:一是屏蔽路由器,二是堡垒主机。屏蔽路由器位于网络最边缘,负责与外网实施连接,参与外网的路由计算。
屏蔽路由器仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全。由于屏蔽路由器的存在,堡垒主机不再是直接与外网互连的双宿主主机,增加了系统的安全性。
堡垒主机位于内部网络,是唯一可以连接到外部网络系统的主机,也是外部用户访问内部网络资源必须经过的主机设备。
本文转载自:https://www.wuzunfans.com
堡垒主机通过数据包过滤实现对内部网络的防护,并且仅仅允许通过特定的服务连接。堡垒主机可以提供代理功能,内部用户只能通过应用代理访问外部网络,堡垒主机成为外部用户唯一可以访问的内部主机。
被屏蔽主机体系结构的优点
具有更高的安全特性。由于屏蔽路由器在堡垒主机之外提供数据包过滤功能,使得堡垒主机要比双宿主主机相对安全,存在漏洞的可能性较小;同时,堡垒主机的数据包过滤功能限制外部用户只能访问特定主机上的特定服务,在提供服务的同时仍然保证了内部网络的安全。
内部网络用户访问外部网络方便、灵活。在屏蔽路由器和堡垒主机允许的情况下,用户直接访问外部网络。如果屏蔽路由器和堡垒主机不允许,内部用户通过堡垒主机代理服务访问外部资源。在实际应用中,两种方式综合运用,访问不同服务采用不同的方式。
由于堡垒主机和屏蔽路由器的同时存在,使得堡垒主机可以从部分安全事务中解脱出来,从而可以以更高的效率提供数据包过滤或代理服务。
被屏蔽主机体系结构的缺点
在被屏蔽主机体系结构中,外部用户在被允许的情况下可以访问内部网络,这样就存在着一定的安全隐患;与双宿主主机体系一样,一旦用户入侵堡垒主机,就会导致内部网络处于不安全状态;路由器和堡垒主机的过滤规则配置较为复杂,较容易形成错误和漏洞。
3. 被屏蔽子网体系结构
在双宿主主机体系结构和被屏蔽主机体系结构中,主机是最主要的安全缺陷,一旦主机被入侵,则整个内部网络都处于威胁之中,为解决这种安全隐患,出现了被屏蔽子网体系结构。
被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络,即周边网络,并且将堡垒主机都置于周边网络中,一个典型的被屏蔽子网体系结构如图5-18所示。
被屏蔽子网体系结构防火墙比较复杂,主要包括四个部件:周边网络、外部路由器、内部路由器和堡垒主机。
周边网络
周边网络是位于不可信外部网络与可信内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间通过屏蔽路由器实现逻辑隔离,因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。
一般情况下,外部用户不能访问内部网络,仅能够访问周边网络中的资源,由于内部用户间通信的数据包不通过屏蔽路由器传递至周边网络,外部用户即使入侵了周边网络中的堡垒主机,也无法监听到内部网络的信息。
外部路由器
外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了针对外网用户对周边网络和内部网络访问的过滤规则。
例如,限制外网用户仅能访问周边网络不能访问内部网络,或者仅能访问内部网络中的部分主机。
外部路由器不过滤周边网络内发出的数据包,因为数据包来自于堡垒主机或内部路由器过滤后的内部主机数据包。外部路由器复制内部路由器上的规则,以避免内部路由器失效而造成负面影响。
内部路由器
内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户对周边网络和外部网络访问的过滤规则。
例如,部分内部网络用户只能访问周边网络不能访问外部网络等。
内部路由器复制了外部路由器上的内网过滤规则,以防止外部路由器过滤功能失效而造成的严重后果。
内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问,减少堡垒主机被入侵后可以影响的内部主机数量和服务的数量。
堡垒主机
在被屏蔽子网结构中,堡垒主机位于周边网络,向外部用户提供WWW、FTP等服务,接受外部网络用户的服务资源访问谓求,同时堡垒主机也向内部网络用户提供DNS、WWW代理、FTP代理等服务,提供内部网络用户访问外部资源的接口。
被屏蔽子网体系结构的优点
外部路由器和内部路由器构成了双层防护体系,入侵者难以突破;
外部用户访问服务资源时无需进入内部网络,在保证服务的情况下提高了内部网络的安全性;
外部路由器和内部路由器过滤规则复制,避免了由于某台路由器失效产生的安全隐患;
堡垒主机由外部路由器的过滤规则和本机安全机制共同防护,用户只能访问它提供的服务;
即使入侵者通过堡垒主机的服务缺陷控制了堡垒主机,由于内部路由器将内部网络和周边网络隔离,入侵者无法通过监听周边网络获取内部网络信息。
被屏蔽子网体系结构的缺点
构建被屏蔽子网体系结构的成本较高;被屏蔽子网体系结构的配置较为复杂,容易出现配置错误导致的安全隐患。
吾尊时尚自媒体所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈!本站将在三十个工作日内改正。( T___T )
