外国服务器,香港服务器,美国服务器,高防服务器,服务器租用,服务器托管
首页 > 新闻资讯 > 极客学院
防火墙中高防服务器的体系结构
2019-01-22 21:07:19 | 来源:极客网络 | 作者:liuchuang

       防火墙可以设置成许多不同的结构,高防服务器提供不同级别的安全,而维护和运行的费用也不同。防火墙有多种分类方式。下面介绍四种常用的体系结构:筛选路由器、双网主机式体系结构、屏蔽主机式体系结构和屏蔽子网式体系结构。

       在介绍之前,先了解几个相关的基本概念

       堡垒主机:高度暴露于 Internet并且是网络中最容易受到侵害的主机。它是防火墙体系的大无畏者、把敌人的火力吸引到自己身上从而达到保护其他主机的目的。堡垒主机的设计思想是检测点原则,把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其他主机的安全。堡全主机必须有严格的安防系统,因其最容易遭到攻击。

       屏蔽主机:被放置到屏蔽路由器后面网络上的主机称为屏蔽主机该主机能被访问的程度取决于路由器的屏蔽规则。

       屏蔽子网:位于屏蔽路由器后面的子网,子网能被访问的程度取决于路由器的屏蔽规则。

一、筛选路由式体系结构
       这种体系结构极为简单,路由器作为内部网和外部网的唯一过滤设备,如下图1所示

二、双网主机式体系结构
       这种体系结构有一主机专门被用作内部网和外部网的分界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台双网主机进行通信,防火墙外面的系统( Internet上的系统)也可以与这台双网主机进行通信,但防火墙两边的系统之间不能直接进行通信。另外,使用此结构,必须关闭双网主机上的路由分配功能,这样就不会通过软件把两个网络连接在一起了。

三、屏蔽主机式体系结构
       此类型的防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。下图中的屏蔽路由器实现了把所有外部到内部的连接都路由到了堡垒主机上。

堡全主机位于内部网络,屏蔽路由器联接 Internet和内部网络,构成防火墙的第一道防线。

       屏蔽路由器必须进行适当的配置,使所有外部到内部的连接都路由到了堡全主机上,并且实现外部到内部的主动连接。

       此类型防火墙的安全级别较高,因为它实现了网络层安全(屏蔽路由器一一包过滤)和应用层安全(堡全主机一代理服务)。入侵者在破坏内部网络的安全性之前,必须首先滲透两种不同的安全系统

       即使入侵了内部网络,也必须和堡垒主机相竞争,而堡垒主机是安全性很高的机器,主机上没有任何入侵者可以利用的工具,不能作为黑客进一步入侵的基地。

       此类型防火墙中屏蔽路由器的配置十分重要,如果路由表遭到破坏则数据包不会路由到堡垒主机上,使堡垒主机被越过。

四、屏蔽子网( Screened Subnet)式体系结构
       这种体系结构本质上与屏蔽主机体系结构一样,但是增加了一层保护体系一一周边网络,而堡垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开。

       由前可知,当堡垒主机被入侵之后,整个内部网络就处于危险之中堡垒主机是最易受侵袭的,虽然其很坚固,不易被入侵者控制,但万一被控制,仍有可能侵袭内部网络。如果采用了屏蔽子网( Screened SubNet)式体系结构,入侵者将不能直接侵袭内部网络,因为内部网络受到了内部屏蔽路由器的保护。

屏蔽子网式体系结构如图4所示。


 

本文链接:http://www.gkidc.com/news/jkxy/481.html

所属栏目:极客学院

【本文由极客网络发布;内容来源于互联网或原创,转载联系作者并注明出处:投稿请发至邮箱 layton@zhi-yue.net 】

最新新闻

查看更多

相关新闻

查看更多

推荐优选服务器

国内外服务器租用、服务器托管,365天24小时极致服务体验~认准极客网络!
在线咨询
24H在线售后
11082052
24H服务热线
0769-88836624
IDC/ISP/IRCS/增值电信业务经营许可证号:粤B1-20190887
COPYRIGHT © 2010-2018 广东极客网络科技有限公司 版权所有.粤ICP备18157343号
极客网络提供:服务器租用,服务器托管,高防服务器,香港服务器,美国服务器,韩国服务器,日本服务器,台湾服务器,免备案服务器,bgp高防服务器,站群服务器,等外国服务器IDC服务;敬请放心选购!

在线
客服

客服
热线

0769-88836624
7*24小时服务热线

关注
微信

马上推出关注官方微信
顶部