火墻及防火墻的滲透之被屏蔽子網(wǎng)
此文講述的是防火墻及防火墻的滲透之被屏蔽子網(wǎng),這種方法是在內部網(wǎng)絡與外部網(wǎng)絡之間建一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分和內部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內構成一個“非軍事區(qū)”DMZ。
有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網(wǎng)關代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。
如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內網(wǎng)中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內網(wǎng)主機,再返回來破壞屏蔽路由器,整個過程中不能引發(fā)警報。
建造防火墻時,一般很少采用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務,以及網(wǎng)管中心能接受什么等級風險。采用哪種技術主要取決于經(jīng)費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:
1、使用多堡壘主機;
2、合并內部路由器與外部路由器;
3、合并堡壘主機與外部路由器;
4、合并堡壘主機與內部路由器;
5、使用多臺內部路由器;
6、使用多臺外部路由器;
7、使用多個周邊網(wǎng)絡;
8、使用雙重宿主主機與屏蔽子網(wǎng)。
隨著人們對網(wǎng)絡安全意識的提高,防火墻的應用越來越廣泛。有錢的用高級硬件防火墻,沒錢的用免費的軟件防火墻。那么,硬件防火墻和軟件防火墻相比,有哪些優(yōu)點呢?
硬件防火墻采用專用的硬件設備,然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看,硬件防火墻內建安全軟件,使用專屬或強化的操作系統(tǒng),管理方便,更換容易,軟硬件搭配較固定。硬件防火墻效率高,解決了防火墻效率、性能之間的矛盾,可以達到線性。
【編輯推薦】
