网络安全讲义第7节.pptVIP

第 7 章 防火墙技术 7.1 防火墙概述 7.2 防火墙的功能 7.3 防火墙技术 7.4 防火墙的不足 7.5 防火墙产品介绍 7.6 防火墙应用典型案例（方案设计） 反弹端口木马： 单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。 双宿堡垒主机类型。堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。 3 屏蔽子网体系机构 在屏蔽主机体系结构上再加一个过滤路由器，两个路由器形成了一个隔离带，将堡垒主机安装在此隔离带中。 隔离带也称停火区或非军事区（DMZ）。 屏蔽子网是在内网和外网之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与内网和外网分开。 两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带” （DMZ），两个路由器一个控制内网数据流，另一个控制外网据流，内网和外网均可访问DMZ，但禁止它们直接穿过DMZ通信。在DMZ中的堡垒主机，为内、外网络的互相访问提供代理服务，而且来自两网络的访问都必须通过两