发信人: tracerouter(CISCO12000)
整理人: firphoenix(2002-01-22 23:03:04), 站内信件
|
防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。 Dual-homed方式最简单。 Dual-homed Gateway放置在两个网络之间,这个Dual-homed Gateway又称为Bastionhost。 这种结构成本低,但是这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道 屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网, 称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。 |
|