1.双宿/多宿玉机模式 内部网络 Internet 内部网络 双宿/多宿主机 用一台装有两块或多块网卡的堡垒主机做防火墙,两块 或多块网卡各自与受保护网和外部网相连。 ■特点: ■主机的路由功能是被禁止的,两个网络之间的通信通过应用层 代理服务来完成的。 ■当黑客侵入堡垒主机并使其具有路由功能,防火墙将无用
1. 双宿/多宿主机模式 ◼ 用一台装有两块或多块网卡的堡垒主机做防火墙,两块 或多块网卡各自与受保护网和外部网相连。 ◼ 特点: ◼ 主机的路由功能是被禁止的,两个网络之间的通信通过应用层 代理服务来完成的。 ◼ 当黑客侵入堡垒主机并使其具有路由功能,防火墙将无用。 双宿/多宿主机 Internet 内部网络 1 内部网络 2
2。屏蔽主机模式 Internet 专门设置过选路由器把所有外部到 防火墙 内部的连接都路由到了堡丝主机 口00o 安全等级比包过滚防火墙系统 路由器 高,因为它实现了网络是安金 (包过造)和应用后安盒(代 里服务)。 工作站 工作站 服务器(堡垒主机) 工作站
2. 屏蔽主机模式 专门设置过滤路由器把所有外部到 内部的连接都路由到了堡垒主机 安全等级比包过滤防火墙系统 高,因为它实现了网络层安全 (包过滤)和应用层安全(代 理服务)
屏蔽玉机型的典型构成 屏蔽主机型的典型构成是包过滤路由器十堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外 部系统对内部网络的操作只能经过堡垒主机。 堡垒主机 包过滤 路由器 内部网 外部网
屏蔽主机型的典型构成 ◼ 屏蔽主机型的典型构成是包过滤路由器+堡垒主机。 包过滤路由器配置在内部网和外部网之间,保证外 部系统对内部网络的操作只能经过堡垒主机
3.屏蔽子网模式 添加了额外的一层保护 防火墙 Internet 体系一周边网络 堡垒主机位于周边网络 外部路由器 上,应用层网关,代理 服务,入站必须经过 堡垒主机 周边网络和内部网络被 内部路由器分开,防止 ea o e 堡垒主机对内部的影响 内部路由器 周边网 ■原因: ■堡垒主机是用户网络上最 容易受侵袭的机器。通过 在周边网络上隔离堡垒主 机,能减少在堡垒主机被 内部主机 内部主机 服务器 内部主机 侵入的影响
3. 屏蔽子网模式 ◼ 添加了额外的一层保护 体系——周边网络 ◼ 堡垒主机位于周边网络 上,应用层网关,代理 服务,入站必须经过 ◼ 周边网络和内部网络被 内部路由器分开,防止 堡垒主机对内部的影响 ◼ 原因: ◼ 堡垒主机是用户网络上最 容易受侵袭的机器。通过 在周边网络上隔离堡垒主 机,能减少在堡垒主机被 侵入的影响
4.混合模式 主要是以上一些模式结构的混合使用,主要有: (1)将屏蔽子网结构中的内部路由器和外部路由器合 并 ·(2)合并屏蔽子网结构中堡垒主机与外部路由器 ■(3)使用多台堡垒主机 ■(4)使用多台外部路由器 (5)使用多个周边网络
4. 混合模式 ◼ 主要是以上一些模式结构的混合使用,主要有: ◼ (1) 将屏蔽子网结构中的内部路由器和外部路由器合 并 ◼ (2) 合并屏蔽子网结构中堡垒主机与外部路由器 ◼ (3) 使用多台堡垒主机 ◼ (4) 使用多台外部路由器 ◼ (5) 使用多个周边网络