防火墙结构之屏蔽主机体系结构

最新推荐文章于 2024-06-27 10:51:41 发布
最新推荐文章于 2024-06-27 10:51:41 发布
阅读量8.3k 收藏 24
点赞数 6
分类专栏: 防火墙技术 文章标签: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/103265149
版权

什么是屏蔽主机体系结构?
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。下面来个图解释一波:
在这里插入图片描述
在被屏蔽主机体系结构中,有两道屏障,一是屏蔽路由器,另外一个是堡垒主机。
屏蔽路由器位于网络的最边缘,负责与外网实施连接,并且参与外网的路由。屏蔽路由器不提供任何服务,仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为安全,被攻击的可能性较小。由于屏蔽路由器的存在,使得堡垒主机不再是直接与外网互连的双重宿主主机,增加了系统的安全性。
堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源必须经过的主机设备。经典的被屏蔽主机体系结构中,堡垒主机也通过数据包过滤功能实现对内部网络的防护,并且该堡垒主机仅仅允许通过特定的服务连接。主机也可以不提供数据包过滤功能,而是提供代理功能。内部用户只能通过应用层代理访问外部网络,而堡垒主机就成为外部用户唯一可以访问的内部主机。
任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。
1)允许其它的内部主机为了某些服务与Internet上的主机连接(即允许那些已经由数据包过滤的服务)。
2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。

whoim_i
关注
专栏目录
防火墙体系结构
自学编程的小白
12-25 7084
1、包过滤型防火墙 包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。 2、双宿/多宿主机防火墙 各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主 要有:双宿主主机防火墙(Dual-Homed Host Firewall),它...
防火墙技术
phoenix7670的博客
09-27 3867
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙的目的是挡住来自外部网络的攻击和入侵,保障着内部网络的安全2.防火墙作用(1)可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;(2)防止入侵者接近内部网络的防御设施,对网络攻击进行检测和告警;(3)限制内部用户访问特殊站点;(4)记录通过防火墙的信息内容和活动,为监视Internet安全提供方便。3.防火墙的优点(1)防火墙可以强化网络安全策略。
[网络工程师]-防火墙-防火墙体系
m0_58983558的博客
10-22 3532
介绍了防火墙最常见的三种体系结构
防火墙体系结构
为了生活,不得不努力奋斗!
11-22 969
堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源必须经过的主机设备。这种体系结构的优点是可以通过屏蔽路由器和堡垒主机的配合,实现对内外网络的隔离和对内网的保护,增加了系统的安全性。在这种体系结构中,外部网络能够与双重宿主主机通信,内部网络也能与双重宿主主机通信,但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。双重宿主主机体系结构的优点是可以防止内部网络和外部网络之间的直接通信,增加了网络的安全性。
网安第九章 防火墙技术
最新发布
sediment___的博客
06-27 805
1.定义:防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。核心思想:在不安全的网际网环境中构造一个相对安全的子网环境。2.内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙防火墙自身应对渗透(peneration)免疫(不受各种攻击的影响)3.功能 :“阻止”:就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或反过来)“允许” :功能与“阻止”恰好相反 防火墙必须能够识别通信量的各种类型。
北邮 网络安全 期末复习 知识点总结之防火墙
weixin_45746630的博客
01-27 3812
防火墙 访问控制 定义 访问控制(Access Control)指系统对用户身份及其所属的预先 定义的策略组限制其使用数据资源能力的手段。 两个任务 访问控制需要完成两个任务:识别和确认访问系统的用户、决定 该用户可以对某一系统资源进行何种类型的访问。 三要素 主体S(Subject) 提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者, 客体O(Object) 被访问资源的实体 控制策略A(Attribution) 主体对客体的相关访问规则集合,即属性集...
防火墙结构屏蔽子网体系结构
热门推荐
whoim_i的博客
11-27 1万+
在之前防火墙的双重宿主主机体系结构和被屏蔽主机体系结构中,堡垒主机都是最主要的安全缺陷。一旦堡垒主机被入侵,则整个内部网络部处于入侵者的威胁之中。为解决这种安全隐患,被屏蔽子网体系结构被提出。 简介 屏蔽子网 (Screened Subnet),这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子...
防火墙原理
xiaoxin
09-25 483
      防火墙原理 说实话这个词听过N遍,但是很遗憾我就是从来没有翻过,这完全是我个人的原因。我这个人就是这样,别人的东西不给看,我就不看,一根筋的跟自己过不去也行。其实我也知道这也让自己丢失了很多学习的机会,但我就是没那个想法。现在大概也了解些防火墙的基本原理了(虽然还不是很明白),不过还是没有试过。 防火墙顾名思义我觉得就可以理解为一道禁止的墙,墙内是安全的,而墙外是不安全的。不过这个...
防火墙防御体系结构 软考
09-25
防火墙防御结构主要有基于双宿主主机防火墙、基于代理主机防火墙和基于屏蔽子网的防火墙。双宿主主机结构是最基本的防火墙结构,它是一种具有两个网络接口卡的主机系统。防火墙的安全保障指标包括开发、指导性文档、...
防火墙技术及应用(二)
浮云渐渐
03-26 2278
  包过滤技术虽然简单但是安全性不高,状态监测技术安全性较高,但是又需要更多的资源用于计算。上面两种都无法针对具体的应用提供安全的保护。   应用代理技术就可以针对具体的应用提供安全的保护。 防火墙代理技术 (1)代理与代理技术 代理 (proxy)   就是帮别人获得某项服务的人或机构。 例如,保险代理、法务代理 代理技术(proxy services)   某个应用为另外一个应用获得某...
包过滤主机防火墙技术的研究
11-04
求,对包过滤防火墙这一传统的防火墙体系结构进行了分析与改 进,提出一种充分利用现有技术与实验条件的包过滤防火墙系统 的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻 留在内部网络终端的主机防火墙...
防火墙技术原理分享
weixin_45591980的博客
09-17 1582
防火墙技术原理分享 一. 防火墙技术原理 二. 防火墙的定义 三. 防火墙的核心技术 防火墙技术原理 防火墙概要 防火墙功能及原理 防火墙应用 防火墙存在问题 防火墙定义 防火墙:一种高级访问控制设备, 置于不同网络安全域之间, 它通过相关的安全策略来控制进出网络访问行为 防火墙的核心技术 包过滤: 最常用的一种技术, 工作在网络层, 根据数据包头中的IP. 端口, 协议等确定是否通过检查 应用代理; 另一种朱啊哟技术, 工作第七层应用层, 通过编写应用代理程序, 实现对应用数据的检查和分
防火墙
m0_37595954的博客
11-26 568
Linux占用的系统资源少,运行效率高,具有很好的稳定性和安全性,作为一种网络操作系统,需要部署防火墙,将内网安全地接入到Internet中。CentOS7的防火墙已经用firewalld 替代iptables。firewalld提供一个动态的管理的防火墙。支持IPV4和IPV6防火墙设置。 防火墙技术可用于可信网络(内网)和不可信网络(外网)之间建立安全屏障 防火墙技术 防火墙作用 ...
网络知识入门,Web服务器的部署地点,防火墙原理,防火墙抵御不了的攻击(十四)
ck784101777的博客
01-14 1690
Web服务器部署的地点 网络包从互联网到达服务器的过程,根据服务器部署地点的不同而不同。最简单的是图(a)中的这种情况,服务器直接部署在公司网络上, 并且可以从互联网直接访问。这种情况下,网络包通过最近的 POP 中的路由器、接入网以及服务器端路由器之后,就直接到达了服务器。其中,路由器的包转发操作,以及接入网和局域网中包的传输过程都和我们之前讲过的内容没有区别。 ...
防火墙与网络安全
WBMcurry的博客
09-14 803
总结来说,为了发动跨站脚本攻击,攻击者需要用户输入数据可用于动态生成页面,因为这提供了一个机会让攻击者将恶意脚本注入到页面中,并在用户访问页面时执行这些脚本。攻击者可以利用这个功能将恶意脚本注入到动态生成的页面中。用户内部私用网络使用的私有IP地址不能直接访问公用网络,即外部因特网,所以需要利用网络地址转换技术,将两个网络进行互转,利用转发表将私有网络与公有网络一一对应。主要是为了防止外部网络的攻击,防火墙作为外部网络数据进入内部网络数据的唯一接口,能够根据一定的访问控制策略,对出入网络的信息流进行控制。
防火墙技术详解
Yuzhanquan的专栏
04-19 5009
Internet是一个开放式和共享式网络,随着它的发展和普及,给整个社会的发展带来了巨大的推动作用,也给我们个人生活带来了便捷和快乐。但是我们也会看到,互联网上也是病毒与黑客大显身手的地方,从Internet到企业内网、从个人电脑到可上网的手机平台,没有它们不能进行攻击的地方。每一次网络的攻击,都会让家庭用户、企业用户、甚至是运营商头痛脑账。 “Internet的美妙之处在于你和每个人都能互相
防火墙结构和原理
CHEENE
06-22 1032
基本思路 : 只允许发往特定服务器上特定程序的包,其余都屏蔽。 常见实现方式: 包过滤 应用网关 电路层网关 对于包过滤是通过检测报的头部信息来实现的,字段包括: MAC头部的发送方MAC地址; IP头部的发送/接收IP,协议号; TCP/UDP头部 : 发送方/接收方的端口号; TCP 控制位(ACK,SYN,PSH,RST。FIN等) 端口限定应用程序。比如说在服务端仅仅是 80 或者8080 端口的可以进入,其余的都必须屏蔽; 控制位判断连接的方向 举例:如果禁止服务器访..
系统安全性之防火墙技术
学习日常分享
11-08 1680
用于实现防火墙功能的技术可分为两类: (1) 包过滤技术。基于该技术所构建的防火墙简单、价廉。 (2) 代理服务技术。基于该技术所构建的防火墙安全可靠。 上述两者之间有很强的互补性,因而在Intranet上经常是同时采用这两种防火墙技术来保障网络的安全。 包过滤防火墙 1. 包过滤防火墙的基本原理 所谓“包过滤技术”是指:将一个包过滤防火墙软件置于Intranet的适当位置,通常是在路由器或服务器中,使之能对进出Intranet的所有数据包按照指定的过滤规则进行检查,仅对符合指定规则的数据包才准予通行,否则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值