当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 因地制宜配置三种防火墙方案(2)

安全产品
ARP攻击解决方案 ARP卫士防范效果测试
微软Forefront Client Security概述 Microsoft
128M内存如何安装并使用卡巴斯基7.0
为Solaris服务器配置款安全的防火墙
巧用Tcpreplay让攻击流量瞒天过海
15款免费好用的安全软件推荐
六款免费杀毒软件对比测试
6种在线杀毒扫描软件大比拼
网管秘籍 审核网络安全的十大必备工具
超级巡警2008试用:专杀高危流行病毒
6款文件加密软件残酷测试
企业选购指南:国内防火墙系统大比拼
2008年初优秀安全软件大比拼
病毒精准查杀“超级巡警”防病毒功能评测
企业内网安全产品选型问题
ESETNOD32安全套装的使用
网络安全的两个产品方案:防火墙和免疫墙
判断Web安全网关的性能
移动硬盘的数据安全问题
金山与索尼影视结盟 借终结者4推娱乐杀毒

安全产品 中的 因地制宜配置三种防火墙方案(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 41 ::
收藏到网摘: n/a

 2、屏蔽主机网关(Screened Host Gateway)

  屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。



  双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。

 3、屏蔽子网(Screened Subnet)

  这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图4),两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。





  当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。