防火墙的体系结构之被屏蔽子网防火墙

　　防火墙主要体系结构有：包过滤型防火墙、双宿/多宿主机防火墙、被屏蔽主机防火墙、被屏蔽子网防火墙和其它防火墙体系结构。今天是来分析屏蔽子网防火墙，下面来进行学习吧!

　　子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽结构，即通过添加网络更进一步地把内部网络与外网隔离。增加的安全层次包括一台堡垒主机和路由器。两台路由器之间是一个被周围网络或参数网络的安全子网，也叫DMZ(隔离区或军事区)。使得内部和外部网络之间有了两层隔断。

　　通常，堡垒主机是网络上最容易受攻击的机器，任凭用户如何保护它，它仍有可能被突破或入侵，因为没有任何主机是绝对安全。

　　在主机屏蔽体系中，用户的内部网络对堡垒主机没有任何防御措施，如果黑客成功入侵到主机屏蔽体系结构的堡垒主机，那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机，能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会，但不是全部。

　　屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，位于堡垒主机的两端，一端连接内网，一端连接外网。周边网络是在内部和外部之间另外加一层安全保护，相当于一个应用网关，堡垒主机运行代理服务软件。同时企业的对外信息服务器(www、ftp服务器等)也可设置在周边网内。若入侵者试图想要破坏防火墙，它必须重新配置连接三个网的路由，既不切断连接，同时又不使自己被发现，难度系数极高。

　　内、外路由器上建立的包过滤都设置包过滤规则。两者的包过滤规则基本上相同。内部路由器完成防火墙的大部分工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内、外部网之间互传。内部路由器的主要功能是保护内网免受来自外部网与周边网额侵略。外部路由器既可以保护周边网，有又可以保护内部网。

　　在构造防火墙体系时，一般很少使用单一的技术，通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务，以及网管中心能接受什么等级的风险。还要看投资经费、投资大小、技术人员的水平和时间等问题。根据堡垒主机和包过滤器的各种组合，基于屏蔽子网的防火墙体系衍生一些派生结构体系，一般包括下面几种形式：

　　(一)使用多个堡垒主机

　　(二)合并内部路由器和外部路由器

　　(三)合并堡垒主机和外部路由器

　　(四)合并堡垒主机和内部路由器

　　(五)使用多个内部路由器

　　(六)使用多个外部路由器

　　(七)使用多个周边网络

　　(八)使用双宿主主机与屏蔽子网

　　通常建立防火墙的目的在于保护内部网免受外部网的侵扰，随着人们对网络安全意识的提高，防火墙的应用该也越来越广泛。对被屏蔽防火墙的介绍就到这了，如果有错误之处，请指正。欢迎登陆课课家教育或搜索公众号【课课家IT精品课程】，大家一起交流学习!