防火墙体系结构与安全设计要点.pdfVIP

◼掌握的体系结构

◼了解分布式与嵌入式的特点

◼8.3.1双重宿主主机结构

◼8.3.2主机结构

◼8.3.3子网结构

◼8.3.4的组合结构

双重宿主主机结构是围绕双宿主机来构筑的。

◼双宿主机（Dual-homedhost），又称堡垒主机（Bastionhost

），是一台至少配有两个网络接口的主机，它可以充当与这

些接口相连的网络之间的路由器，在网络之间发送数据包。

◼一般情况下双宿主机的路由功能是被的，这样可以

网络与外部网络之间的直接通信，从而达到保护网

络的作用。

◼一台装有两块网卡的堡垒主机做，两块网卡各自与内

部网络和外部网络相连，堡垒主机上运行软件。

◼图8-2

双重宿主主机结构

Internet

双重宿主主机

网

服务器

特点

◼双宿主机由于路由器的地方是它的系统软件

可以用于系统日志，便于日后的安全检查

◼缺点：一旦者侵入堡垒主机并使器具有路由

功能则任何用户均可以内网

◼设计原则

◼尽可能简单，保留最少服务，关闭路由功能

◼随时做好准备，修复损害的堡垒主机

◼主机结构（ScreenedHosteway），又称主机过

滤结构。

◼主机结构需要配备一台堡垒主机和一个有过滤功能

的路由器；

◼路由器连接外部网络，堡垒主机安装在网络上

；

◼通常在路由器上设立过滤规则，并使这个堡垒主机成为

从外部网络唯一可直接到达的主机；

◼者要想网络，必须过路由器和堡垒主

机两道屏障，所以主机结构比双重宿主主机结构具

有更好的安全性和可用性。

堡垒主机是连接到Internet

网络的桥梁，并且

某些确定类型的连接被

允许。

堡垒主机需要拥有高等路由器

级的安全。

网

堡垒主机

◼路由器中数据滤规则设置（选一）

◼允许其他的主机为了某些服务与主机连

接

◼不允许来自主机的所有连接（使用堡垒主机

的服务）

◼缺点：

◼如果者侵入堡垒主机，且堡垒主机和其他内

部主机没有安全保护措施，则整个