最简单的被屏蔽子网体系结构由那四部分组成
最简单的被屏蔽子网体系结构由以下四部分组成:
周边网络:周边网络位于安全、可信的内部网络与不安全、不可信的外部网络之间的一个被屏蔽子网。周边网络与内部网络、周边网络与外部网络之间的都是通过屏蔽路由器实现逻辑隔离。外部用户必须穿越外、内道两道屏蔽路由器才能访问内部网络资源。为了侵入这种类型的网络,黑客必须先攻破外部路由器,即使他设法侵入堡垒主机,仍然必须通过内部路由器,才能进入内部网。一般情况下,外部用户仅能访问周边网络中的资源。由于堡垒主机不直接与内部网的主机交互,内部用户间通信的数据包不会通过内部屏蔽路由器传至被周边网络,即使黑客侵入堡垒主机,他也只能监听到从Internet和一些内部主机到堡垒主机的通信以及返回的通信,而监听不到内部网络主机之间的通信。因此,周边网络为内部网增加了安全级别。
堡垒主机:在被屏蔽子网中堡垒主机作为唯一的可访问点,该点作为应用级网关代理,可以向外部提供WWW、FTP等服务。同时,堡垒主机也向内部用户提供DNS、FTP代理、WWW代理等服务。
内部路由器:内部路由器也称作阻塞路由器、扼流路由器,主要作用是隔离周边网络和内部网络,是屏蔽子网体系结构中的第二道防线,用来保护内部网使之免受来自Internet和周边网络的侵犯,并承担防火墙数据分组过滤的任务。在其上设置了针对内部用户的访问过滤规则,对内部用户访问周边网络和外部网络进行了限制,允许从内部网到Internet的有选择的出站服务。为了减少堡垒主机受侵袭的数量,要限制堡垒主机给内部网提供的服务。
外部路由器:外部路由器也称作访问路由器,主要作用是保护周边网络和内部网使之免受来自Internet的侵犯,是屏蔽子网体系结构中的第一道防线。外部路由器基本上对周边网络送出的数据包不进行过滤,几乎允许任何通信从周边网络出站,因为周边网络送出的数据包都来自堡垒主机或内部路由器过滤后的内部数据包;但通过设置的过滤规则,要阻止从Internet上任何伪造源地址进来的数据包,这样的数据包自称来自内部的网络,但实际上是来自Internet。