房乐
2
CISAW
CISP-PTE
官方采纳
房乐2
CISAW
CISP-PTE
基于屏蔽子网的防火墙结构的特点如下:
应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。
两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。
安全级别最高。
成本高,配置复杂。
屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。周边网络隔离堡垒主机与内部网,减轻攻击者攻破堡垒主机时对内部网络的冲击力。攻击者即使攻破了堡垒主机,也不能侦听到内部网络的信息,不能对内部网络直接操作。
子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽结构,即通过添加网络更进一步地把内部网络与外网隔离。增加的安全层次包括一台堡垒主机和路由器。两台路由器之间是一个被周围网络或参数网络的安全子网,也叫DMZ(隔离区或军事区)。使得内部和外部网络之间有了两层隔断。
通常,堡垒主机是网络上最容易受攻击的机器,任凭用户如何保护它,它仍有可能被突破或入侵,因为没有任何主机是绝对安全。
在主机屏蔽体系中,用户的内部网络对堡垒主机没有任何防御措施,如果黑客成功入侵到主机屏蔽体系结构的堡垒主机,那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会,但不是全部。
屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。周边网络是在内部和外部之间另外加一层安全保护,相当于一个应用网关,堡垒主机运行代理服务软件。同时企业的对外信息服务器(www、ftp服务器等)也可设置在周边网内。若入侵者试图想要破坏防火墙,它必须重新配置连接三个网的路由,既不切断连接,同时又不使自己被发现,难度系数极高。
内、外路由器上建立的包过滤都设置包过滤规则。两者的包过滤规则基本上相同。内部路由器完成防火墙的大部分工作,它允许某些站点的包过滤系统认为符合安全规则的服务在内、外部网之间互传。内部路由器的主要功能是保护内网免受来自外部网与周边网额侵略。外部路由器既可以保护周边网,有又可以保护内部网。
Andrew
2
CISP-PTE
CISM-WSE
官方采纳
Andrew2
CISP-PTE
CISM-WSE
基于屏蔽子网的防火墙结构的特点如下:
应用代理位于被屏蔽子网中,内部网络向外公开的服务器也放在被屏蔽子网中,外部网络只能访问被屏蔽子网,不能直接进入内部网络。
两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。
安全级别最高。
成本高,配置复杂。
推荐文章
