雙重宿主主機又稱為堡壘主機,是一台至少配有兩個網路介面的主機,它可以充當與這些介面相連的網路之間的路由器,在網路之間傳送資料報。而一般情況下雙宿主機的路由功能是被禁止的,因而能夠隔離內部網路與外部網路之間的直接通訊,從而起到保護內部網路的作用。
依然來個醜圖:
雙宿主機結構採用主機替代路由器執行安全控制功能,故類似於包過濾防火牆。雙宿主機即一台配有多個網路介面的主機,它可以用來在內部網路和外部網路之間進行尋徑。如果在一台雙宿主機中尋徑功能被禁止了,則這個主機可以隔離與它相連的內部網路和外部網路之間的通訊,而與它相連的內部和外部網路都可以執行由它所提供的網路應用,如果這個應用允許的話,它們就可以共享資料。這樣就保證內部網路和外部網路的某些節點之間可以通過雙宿主機上的共享資料傳遞資訊,但內部網路與外部網路之間卻不能傳遞資訊,從而達到保護內部網路的作用。它是外部網路使用者進入內部網路的唯一通道,因此雙宿主機的安全至關重要,它的使用者口令控制安全是乙個關鍵。
雙宿主機使用兩種方式來提供服務,一種是使用者直接登入到雙宿主機上來提供服務,另一種是在雙宿主機上執行**伺服器。
第一種方式需要在雙宿主機上開很多賬號,這會帶來一些危險:
1、使用者賬號的存在給入侵者提供相對容易的入侵通道,每乙個賬號通常會有乙個可重複使用的密碼,這樣很容易被入侵者破解。
2、由於使用者的行為是不可預知的,這會給入侵檢測帶來很大的麻煩。
第二種方式的問題相對要少很多,並且有些服務(如http、smtp)本身的特點就是「儲存**」型的,很適合進行**。在雙宿主機上可以執行多種**服務程式,當內網要訪問外網時,必須先通過伺服器認證,然後才可以通過**服務程式訪問外網。
雙宿主主機是唯一的隔開內部網路和internet之間的屏障,如果入侵者得到了雙宿主主機的訪問權,內部網路就會被入侵,所以,雙宿主主機必須具有強大的身份認證系統。
它的乙個致命的弱點是,一旦入侵者入侵了堡壘主機並開啟路由功能,則任何外網使用者均可以隨便訪問內網。(是不是很害怕0.0)
因此,設計時應遵循兩條基本的原則:
堡壘主機要盡可能簡單,保留最少的服務,關閉路由功能。
隨時做好準備,修復受損害的堡壘主機。
防火牆結構之遮蔽主機體系結構
什麼是遮蔽主機體系結構?被遮蔽主機體系結構是指通過乙個單獨的路由器和內部網路上的堡壘主機共同構成防火牆,主要通過資料報過濾實現內外網路的隔離和對內網的保護。下面來個 釋一波 在被遮蔽主機體系結構中,有兩道屏障,一是遮蔽路由器,另外乙個是堡壘主機。遮蔽路由器位於網路的最邊緣,負責與外網實施連線,並且參...
防火牆結構之遮蔽子網體系結構
在之前防火牆的雙重宿主主機體系結構和被遮蔽主機體系結構中,堡壘主機都是最主要的安全缺陷。一旦堡壘主機被入侵,則整個內部網路部處於入侵者的威脅之中。為解決這種安全隱患,被遮蔽子網體系結構被提出。遮蔽子網 screened subnet 這種方法是在內部網路和外部網路之間建立乙個被隔離的子網,用兩台分組...
防火牆學習筆記之防火牆概述
1 邏輯區域過濾器,將網路區域分成兩大部分,被防火牆保護的區域 信任區,另外乙個區域為非信任區 2 隱藏內網網路結構 3 自身安全保障 4 主動防禦攻擊 根據訪問控制方式,可以分為包過濾防火牆,防火牆,狀態監測防火牆,前兩種已經被淘汰,1 包過濾防火牆 根據五元組 源目ip 源目埠號 協議 通過在防...