|
|
| (1)屏蔽路由器结构。通常由过滤路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在此通过检查。
|
|
|
| (2)双穴主机结构。双穴主机具有两个网络接口,它的位置位于内部网络与Internet的连接处,运行应用代理程序,充当内、外网络之间的转发器,如下图所示。
|
|
|
|
|
|
|
| (3)屏蔽主机结构。由屏蔽路由器与堡垒主机构成,屏蔽路由器位于内部网络与Internet之间的连接处,而堡垒主机位于内部网络,如下图所示。
|
|
|
|
|
|
|
| (4)屏蔽子网结构。在屏蔽主机结构的基础上增加了一个周边防御网段,用以进一步隔离内部网络与外部网络,如下图所示。
|
|
|
|
|
|
|
| 周边防御网段是位于内部网络与外部网络之间的另一层安全网段,分别由内、外两个屏蔽路由器与其相连。周边防御网段所构成的安全子网又称为"非军事区"(DeMilitrized Zone, DMZ),这一网段受到安全威胁不会影响到内部网络。DMZ是放置公共信息的最佳位置,通常把WWW、FTP、电子邮件、电子商务等服务器都存放在该区域。而把内部服务器、个人PC等应用放置在内网中。
|
|
|
