| 双宿主主机结构由一台同时连接内、外网络的主机提供安全保障,代理型结构则不同,代理型结构中由一台主机同外部网连接,该主机代理内部网和外部网的通信。同时,代理型结构中还通过路由器过滤,代理服务器和路由器共同构建一个网络安全边界防御架构,如下图所示。
|
|
|
|
|
|
|
| 在这种结构中,代理主机位于内部网络。一般情况下,过滤路由器可按如下规则进行配置。
|
|
|
| . 允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。
|
|
|
| . 任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接。
|
|
|
| . 任何外部系统对内部网络的操作都必须经过代理主机。同时,代理主机本身要有较全面的安全保护。
|
|
|
| 由于这种结构允许包从外部网络直接传送到内部网(代理主机),所以这种结构的安全控制看起来似乎比双宿主主机结构差。在双宿主主机结构中,外部网络的包在理论上不可能直接抵达内部网。但实际上,应用双宿主主机结构防护数据包从外部网络进入内部网络也很容易失败,并且这种失败是随机的,所以无法有效地预先防范。一般来说,代理型结构能比双宿主主机结构提供更好的安全保护,同时操作也更加简便。代理型结构的主要缺点是,只要攻击者设法攻破了代理主机,那么对于攻击者来说,整个内部网络与代理主机之间就没有任何障碍了,攻击者变成了内部合法用户,完全可以侦听到内部网络上的所有信息。
|
|
|
