第9章 计算机网络安全与管理.ppt

9.4.4 防火墙系统结构 屏蔽子网结构 屏蔽子网结构防火墙系统在屏蔽主机结构的基础上，增加了一个周边防御网段，用以进一步隔离内部网络与外部网络。 9.4.4 防火墙系统结构 周边防御网段是位于内部网络与外部网络之间的另一层安全网段，分别由内、外两个屏蔽路由器与它们相连。周边防御网段所构成的安全子网又称为“非军事区”(DMZ，Demilitarized Zone)或停火区，又称“参数子网”。这一网段所受到的安全威胁不会影响到内部网络。 跨越防火墙的数据流必须经过外部屏蔽路由器、壁垒主机与内部屏蔽路由器，在两个路由器上都可以设置过滤规则，壁垒主机运行应用代理服务软件。同时，企业对外的信息服务器，如WWW、FTP服务器等，可以放在DMZ内。 9.4.4 防火墙系统结构 使用屏蔽子网防火墙系统的优点 ： Internet上的攻击者要达到内部网络，必须突破外部屏蔽路由器，壁垒主机和内部屏蔽路由器三道防卫设备，对内部网来说，能获得很好的安全防卫性能。 由于外部屏蔽路由器只能向Internet通告DMZ的存在，即保证了内部网络对Internet说来是不可见的，即使在DMZ上也只有选定的系统才向Internet开放(通过路由表和DNS)。 由于内部屏蔽路由器只向内部网络通告DMZ的存在，保证了内部网络上的用户必须通过驻留在壁垒主机上的代理服务才能访问Internet。 9.4.4 防火墙系