防火墙工作原理及应用.ppt

内部路由器 内部路由器也称作阻塞路由器、扼流路由器。它的任务是保护内部网使之免受来自Internet和DMZ的侵犯，并承担防火墙数据包过滤的任务。它允许从内部网到Internet的有选择的出站服务。为了减少堡垒主机受侵袭的数量，要限制堡垒主机给内部网提供的服务。 外部路由器 外部路由器也称作访问路由器，保护DMZ和内部网使之免受来自Internet的侵犯。它几乎允许任何通信从DMZ出站，并且通常只执行非常少的数据包过滤；但它要阻止从Internet上任何伪造源地址进来的数据包，这样的数据包自称来自内部的网络，但实际上是来自Internet。 7.2.7 组合体系结构 建造防火墙时，一般很少采用单一的技术，通常采用解决不同问题的多种技术的组合。 1）多堡垒主机 2）合并内部路由器与外部路由器 3）合并堡垒主机与外部路由器 7）合并堡垒主机与内部路由器 5）使用多台外部路由器 6）使用多个周边网络 图7.21 DMZ 内路路由器 外部路由器 Internet 内部网 有两个堡垒主机的子网过滤体系结构 内/外部路由器 DMZ 图7.22 Internet 内部网 单个路由器的子网过滤体系结构 图7.23 DMZ 堡垒主机 Inter