火墻及防火墻的滲透之被屏蔽子網
此文講述的是防火墻及防火墻的滲透之被屏蔽子網,這種方法是在內部網絡與外部網絡之間建一個被隔離的子網,用兩臺分組過濾路由器將這一子網分和內部網絡和外部網絡分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個“非軍事區”DMZ。
有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內網主機,再返回來破壞屏蔽路由器,整個過程中不能引發警報。
建造防火墻時,一般很少采用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決于網管中心向用戶提供什么樣的服務,以及網管中心能接受什么等級風險。采用哪種技術主要取決于經費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:
1、使用多堡壘主機;
2、合并內部路由器與外部路由器;
3、合并堡壘主機與外部路由器;
4、合并堡壘主機與內部路由器;
5、使用多臺內部路由器;
6、使用多臺外部路由器;
7、使用多個周邊網絡;
8、使用雙重宿主主機與屏蔽子網。
隨著人們對網絡安全意識的提高,防火墻的應用越來越廣泛。有錢的用高級硬件防火墻,沒錢的用免費的軟件防火墻。那么,硬件防火墻和軟件防火墻相比,有哪些優點呢?
硬件防火墻采用專用的硬件設備,然后集成生產廠商的專用防火墻軟件。從功能上看,硬件防火墻內建安全軟件,使用專屬或強化的操作系統,管理方便,更換容易,軟硬件搭配較固定。硬件防火墻效率高,解決了防火墻效率、性能之間的矛盾,可以達到線性。
【編輯推薦】
