原创力文档屏蔽主机体系结构(2) 屏蔽路由器可按如下规则之一进行配置: 允许内部主机为了某些服务请求与外部网上的主机建立直接连接(即允许那些经过过滤的服务)。 不允许所有来自外部主机的直接连接。 安全性更高,双重保护:实现了网络层安全(包过滤)和应用层安全(代理服务)。 缺点:过滤路由器能否正确配置是安全与否的关键。如果路由器被损害,堡垒主机将被穿过,整个网络对侵袭者是开放的。 …… 屏蔽主机体系结构 因特网 屏蔽子网体系结构(1) 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。 原因:堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机,能减少在堡垒主机被侵入的影响。 Internet 周边网络 内部网络 …… 外部路由器 堡垒主机 内部路由器 屏蔽子网体系结构 屏蔽子网体系结构(2) 周边网络是一个防护层,在其上可放置一些信息服务器,它们是牺牲主机,可能会受到攻击,因此又被称为非军事区(DMZ)。 周边网络的作用:即使堡垒主机被入侵者控制,它仍可消除对内部网的侦听。例: netxray等的工作原理。 屏蔽子网体系结构(3) 堡垒主机 堡垒主机位于周边网络,是整个防御体系的核心。 堡垒主机可被认为是应用层网关,可以运行各种代理服务程序。 对于出站服务不一定要求所有的服
文档评论(0)