在之前防火牆的雙重宿主主機體系結構和被遮蔽主機體系結構中,堡壘主機都是最主要的安全缺陷。一旦堡壘主機被入侵,則整個內部網路部處於入侵者的威脅之中。為解決這種安全隱患,被遮蔽子網體系結構被提出。
遮蔽子網 (screened subnet),這種方法是在內部網路和外部網路之間建立乙個被隔離的子網,用兩台分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成乙個「非軍事區」dmz。有的遮蔽子網中還設有一堡壘主機作為唯一可訪問點,支援終端互動或作為應用閘道器**。
被遮蔽子網體系結構的防火牆比較複雜,主要自四個部件構成,分別為:周邊網路、外部路由器、內部路由器以及堡壘主機。下面來個**釋一波
(1)周邊網路
用邊網路是位於非安全、不可信的外部網路與安全、可信的內部網路之間的乙個附加網路。周邊網路與外部網路、周邊網路與內部網路之間都是通過遮蔽路由器實現邏輯隔離的,因此外部使用者必須穿越兩道遮蔽路由器才能訪問內部網路。
(2)外部路由器
外部路由器的主要作用在於保護周邊網路和內部網路,是遮蔽子網體系結構的第一道屏障。在其上設定了對周邊網路和內部網路進行訪問的過濾規則,該規則主要針對外網使用者。例如限制外網使用者僅能訪問周邊網路而不能訪問內部網路,或者僅能訪問內部網路中的部分主機。
(3)內部路由器
內部路由器用於隔離周邊網路和內部網路,是遮蔽子網體系結構的第二道屏障。在其上設定了針對內部使用者的訪問過濾規劃,對內部使用者訪問周邊網路和外部網路進行限制。例如部分內部網路使用者只能訪問周邊網路而不能訪問外部網路等。
(4)堡壘主機
在被遮蔽子網結構中,堡壘主機位於周邊網路,可以內外部使用者提供www、ftp等服務,接受來自外部網路使用者的服務資源訪問請求。同時堡壘主機也可以向內部網路使用者提供dns 、電子郵件、www**、ftp**等多種服務,提供內部網路使用者訪問外部資源的介面。
遮蔽子網防火牆能夠幫助建立乙個非防護區,這種型別防火牆利用堡壘主機夾在兩個路由器中間是最安全的防火牆系統。
防火牆結構之遮蔽主機體系結構
什麼是遮蔽主機體系結構?被遮蔽主機體系結構是指通過乙個單獨的路由器和內部網路上的堡壘主機共同構成防火牆,主要通過資料報過濾實現內外網路的隔離和對內網的保護。下面來個 釋一波 在被遮蔽主機體系結構中,有兩道屏障,一是遮蔽路由器,另外乙個是堡壘主機。遮蔽路由器位於網路的最邊緣,負責與外網實施連線,並且參...
防火牆結構之雙重宿主主機結構
雙重宿主主機又稱為堡壘主機,是一台至少配有兩個網路介面的主機,它可以充當與這些介面相連的網路之間的路由器,在網路之間傳送資料報。而一般情況下雙宿主機的路由功能是被禁止的,因而能夠隔離內部網路與外部網路之間的直接通訊,從而起到保護內部網路的作用。依然來個醜圖 雙宿主機結構採用主機替代路由器執行安全控制...
Oracle之體系結構
oracle資料庫是資料的物理儲存。包括 資料庫檔案ora或者dbf 控制檔案 聯機日誌 引數檔案 其實oracle資料庫的概念和其他資料庫不一樣,這裡的資料庫是乙個作業系統只有乙個庫。可以看作oracle就只有乙個大資料庫。乙個oracle例項 oracle instance 有一系列的後台程序 ...