在之前防火墙的双重宿主主机体系结构和被屏蔽主机体系结构中,堡垒主机都是最主要的安全缺陷。一旦堡垒主机被入侵,则整个内部网络部处于入侵者的威胁之中。为解决这种安全隐患,被屏蔽子网体系结构被提出。
简介
屏蔽子网 (Screened Subnet),这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。
被屏蔽子网体系结构的防火墙比较复杂,主要自四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。下面来个图解释一波
(1)周边网络
用边网络是位于非安全、不可信的外部网络与安全、可信的内部网络之间的一个附加网络。周边网络与外部网络、周边网络与内部网络之间都是通过屏蔽路由器实现逻辑隔离的,因此外部用户必须穿越两道屏蔽路由器才能访问内部网络。
(2)外部路由器
外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。例如限制外网用户仅能访问周边网络而不能访问内部网络,或者仅能访问内部网络中的部分主机。
(3)内部路由器
内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。例如部分内部网络用户只能访问周边网络而不能访问外部网络等。
(4)堡垒主机
在被屏蔽子网结构中,堡垒主机位于周边网络,可以内外部用户提供www、FTP等服务,接受来自外部网络用户的服务资源访问请求。同时堡垒主机也可以向内部网络用户提供DNS 、电子邮件、www代理、FTP代理等多种服务,提供内部网络用户访问外部资源的接口。
屏蔽子网防火墙能够帮助建立一个非防护区,这种类型防火墙利用堡垒主机夹在两个路由器中间是最安全的防火墙系统。