|
|
知识路径: > 安全性 > 通信和网络安全 > 计算机网络安全 > 防火墙 >
|
|
相关知识点:2个
|
|
|
|
|
应用级防火墙也称为应用网关型防火墙,目前已大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求,检查用户的真实身份、请求合法性和源与目的地IP地址等,从而由网关决定接受或拒绝该服务请求,对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。
|
|
|
|
目前常用的应用级防火墙大至上有4种类型,分别适合于不同规模的企业内部网:双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器。一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
|
|
|
|
(1)双穴主机(dual-homeD)网关:由堡垒主机作为应用网关,其中装有两块网卡分别连接外因特网和受保护的内部网,该主机运行防火墙软件,具有两个IP地址,并且能隔离内部主机与外部主机之间的所有可能连接。
|
|
|
|
(2)屏蔽主机(screened host)网关:也称甄别主机网关。在外部Internet与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接,再把所有授权的应用服务连接转向应用网关的代理服务机制。
|
|
|
|
(3)屏蔽子网(screened subnet)网关:也称甄别子网网关,适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网,例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关),内部网与外部网的一方各有一个分组过滤路由器,可根据不同甄别规则接受或拒绝网络通信,子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
|
|
|
