防火墙技术及其体系结构研究
图
1 双重宿主主机体系结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。
图
2 被屏蔽主机体系结构
数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
·允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由
数据包过滤的服务)
·不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)
图2 被屏蔽主机体系结构
3.3被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。如图3。
图
《防火墙技术及其体系结构研究(第4页)》