2、遮蔽主機閘道器(screened host gateway)
遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。
乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線(如圖2)。通常在路由器上設立過濾規則,並使這個單宿堡壘主機成為從internet惟一可以訪問的主機,確保了內部網路不受未被授權的外部使用者的攻擊。
而intranet內部的客戶機,可以受控制地通過遮蔽主機和路由器訪問internet。
雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網絡卡,一塊連線內部網路,一塊連線包過濾路由器(如圖3)。雙宿堡壘主機在應用層提供**服務,與單宿型相比更加安全。
3、遮蔽子網(screened subnet)
這種方法是在intranet和internet之間建立乙個被隔離的子網,用兩個包過濾路由器將這一子網分別與intranet和internet分開。兩個包過濾路由器放在子網的兩端,在子網內構成乙個「緩衝地帶」(如圖4),兩個路由器乙個控制intranet資料流,另乙個控制internet資料流,intranet和internet均可訪問遮蔽子網,但禁止它們穿過遮蔽子網通訊。可根據需要在遮蔽子網中安裝堡壘主機,為內部網路和外部網路的互相訪問提供**服務,但是來自兩網路的訪問都必須通過兩個包過濾路由器的檢查。
對於向internet公開的伺服器,像www、ftp、mail等internet伺服器也可安裝在遮蔽子網內,這樣無論是外部使用者,還是內部使用者都可訪問。這種結構的防火牆安全效能高,具有很強的抗攻擊能力,但需要的裝置多,造價高。
當然,防火牆本身也有其侷限性,如不能防範繞過防火牆的入侵,像一般的防火牆不能防止受到病毒感染的軟體或檔案的傳輸;難以避免來自內部的攻擊等等。總之,防火牆只是一種整體安全防範策略的一部分,僅有防火牆是不夠的,安全策略還必須包括全面的安全準則,即網路訪問、本地和遠端使用者認證、撥出撥入呼叫、磁碟和資料加密以及病毒防護等有關的安全策略。
六公司的區域網整體擴撲圖
windows/linux 系統
防火牆配置方案
由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...
防火牆測試方案
測試專案 測試一 nat pat 拓撲圖測試要求 如防火牆inside介面不夠,則使用交換機連線內部三颱pc並將內部網路合併為192.168.0.0 16 1.將192.168.1.1 pc1 靜態翻譯 位址翻譯 為58.135.192.55 2.將192.168.2.0 192.168.4.254...
走進防火牆
前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...