防火墙与入侵检测(三)主流防火墙的部署与实现.pptVIP

屏蔽子网 内部路由器 内部路由器部署在内联网络和DMZ交界处，又称为阻塞路由器。 保护内联网络免遭来自外联网络和DMZ的攻击。它执行屏蔽子网防火墙的大部分包过滤工作。 允许从内联网络到外联网络有选择的出站服务，这些服务将只使用发出请求的内部主机提供的包过滤功能，而不使用安全代理网关提供的安全代理功能。 内部路由器将限制与非军事区中安全代理网关堡垒主机进行连接的内部主机数目，而且需要对能够连接到安全代理网关堡垒主机的内部主机进行重点保护。 屏蔽子网 外部路由器 外部路由器部署在DMZ与外联网络的交界处，又称访问路由器或者接触路由器。 理论上同样执行网络层的包过滤功能，为DMZ和内联网络提供第一层保护。但实际上内部路由器和外部路由器的规则基本上是相同的，而且基本上是通用规则。因此，外部路由器只执行了一小部分过滤功能。 真正作用：防止源IP地址欺骗攻击和源路由攻击。限制内联网络和外联网络之间的连接。 屏蔽子网 堡垒主机 堡垒主机负责执行屏蔽子网防火墙的应用层访问控制操作。在堡垒主机上要安装相应的代理服务器组件，对于从内部服务器或内部主机发来的请求要进行应用层检查，符合允许条件后再由相应代理服务程序代为转发至外联网络的目的主机处。堡垒主机的这种安全代理网关功能可以由三叉防火墙代替以获得更高的安全性并简化了管理行为。 公用信息服务器 公共信息服务器主要是为了面向外联网络提供信息服务而设立