什么是屏蔽主机体系结构?
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。下面来个图解释一波:
在被屏蔽主机体系结构中,有两道屏障,一是屏蔽路由器,另外一个是堡垒主机。
屏蔽路由器位于网络的最边缘,负责与外网实施连接,并且参与外网的路由。屏蔽路由器不提供任何服务,仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全,被攻击的可能性较小。由于屏蔽路由器的存在,使得堡垒主机不再是直接与外网互连的双重宿主主机,增加了系统的安全性。
堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源必须经过的主机设备。经典的被屏蔽主机体系结构中,堡垒主机也通过数据包过滤功能实现对内部网络的防护,并且该堡垒主机仅仅允许通过特定的服务连接。主机也可以不提供数据包过滤功能,而是提供代理功能。内部用户只能通过应用层代理访问外部网络,而堡垒主机就成为外部用户唯一可以访问的内部主机。
任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。
1)允许其它的内部主机为了某些服务与Internet上的主机连接(即允许那些已经由数据包过滤的服务)。
2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
防火墙结构之屏蔽主机体系结构
最新推荐文章于 2024-06-27 10:51:41 发布