信息系统项目管理师_2024年软考学习应考交流_信息系统项目管理师考试

标题: 修复:三种流行防火墙配置方案分析与对比 [打印本页]

作者: 退隐网络 时间: 2006-3-9 11:40
标题: 修复:三种流行防火墙配置方案分析与对比
出处：中国电脑教育报 <div class="prod-news-content-text"><p><strong>1、双宿主机网关（Dual Homed Gateway）<descript></descript></strong> <br/><br/>这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图1）。 <br/><br/><descript></descript></p><div align="center"><img src="http://www.rhutech.net/article/rhuupfile/2005510111726295.jpg" alt=""/></div><p><descript></descript><br/><br/><descript></descript><b>2、屏蔽主机网关（Screened Host Gateway）</b><descript></descript> <br/><br/>屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图2）。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。 <br/><br/><descript></descript></p><div align="center"><img src="http://www.rhutech.net/article/rhuupfile/2005510111729307.jpg" alt=""/></div><p><descript></descript><br/><br/>双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3）。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。 <br/><br/><descript></descript></p><div align="center"><img src="http://www.rhutech.net/article/rhuupfile/2005510111729670.jpg" alt=""/></div><p><descript></descript><br/><br/><descript></descript><b>3、屏蔽子网（Screened Subnet）</b><descript></descript> <br/><br/>这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”（如图4），两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。 <br/><br/><descript></descript></p><div align="center"><img src="http://www.rhutech.net/article/rhuupfile/2005510111730761.jpg" alt=""/></div><p><descript></descript><br/><br/>当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。<img height="1" src="http://www.rhutech.net/article/down_info.asp?id=948" width="1" border="0" alt=""/></p></div>

[此贴子已经被作者于2006-3-24 22:39:49编辑过]

作者: hemay 时间: 2006-3-17 09:31
<p>楼主图是不是贴错了阿，三个都是图4呵</p>

作者: 阳光 时间: 2011-7-4 20:40
回个帖子支持一下！

作者: 不抓老鼠的猫 时间: 2011-7-4 20:40
厉害！强~~~~没的说了！

作者: 功夫花猫 时间: 2011-7-4 20:40
哈哈，看的人少，回一下

欢迎光临信息系统项目管理师_2024年软考学习应考交流_信息系统项目管理师考试 (http://bbs.tuandui.org.cn/)