3. 屏蔽子網體系結構 屏蔽子網體系結構添加
步地把內部網絡與Internet
額外的安全層到被屏蔽主機體系
隔離開。
結構,即通過添加周邊網絡更進一
為什麼這樣做?由它們
用戶盡最大的力氣去保護它
器。如果在屏蔽主機體系結
麼用戶的堡壘主機是非常誘
段時(除了它們可能有的主
體系結構中的堡壘主機,那
的性質決定。堡壘主機是用戶的
,它仍是最有可能被侵襲的機器
構中,用戶的內部網絡對來自用
人的攻擊目標。在它與用戶的其
機安全之外,這通常是非常少的
就毫無阻擋地進入了內部系統。
網絡上最容易受侵襲的機器。任憑
,因為它本質上是能夠被侵襲的機
戶的堡壘主機的侵襲門戶洞開,那
它內部機器之間沒有其它的防御手
)。如果有人成功地侵入屏蔽主機
通過在周邊網絡上隔離
者一些訪問的機會,但不是
堡壘主機,能減少在堡壘主機上
全部。
侵入的影響。可以說,它只給入侵
屏蔽子網體系結構的最簡單的形式為
於周邊網與內部的網絡之間,另一個位於
如圖4所示。為了侵入用這種類型的體系
。即使侵襲者設法侵入堡壘主機,他將仍
網絡的單一的易受侵襲點。作為入侵者,
火牆的可能配置。
,兩個屏蔽路由器,每一個都連接到周邊網。一個位
周邊網與外部網絡之間(通常為Internet),其結構
結構構築的內部網絡,侵襲者必須要通過兩個路由器
然必須通過內部路由器。在此情況下,沒有損害內部
只是進行了一次訪問。圖4顯示屏蔽子網體系結構防
圖4 屏蔽子網體系結構
對圖4的要點說明如下: (1)周邊網絡 周邊網絡是另一個安全層,是在外部
如果侵襲者成功地侵入用戶的防火牆的外
間提供一個附加的保護層。
網絡與用戶的被保護的內部網絡之間的附加的網絡。
層領域,周邊網絡在那個侵襲者與用戶的內部系統之
對於周邊網絡的作用,
看這個網絡上的每一台機器
太網是當今使用最廣泛的局
。探聽者可以通過查看那些
令。即使口令沒被攻破,探
的電子郵件等等;探聽者能
舉例說明如下。在許多網絡設置
的通信是可能的,對大多數以太
域網技術);對若干其它成熟的
在Telnet、FTP以及rlogin會話
聽者仍然能偷看或訪問他人的敏
完全監視何人在使用網絡。
中,用給定網絡上的任何機器來查
網為基礎的網絡確實如此(而且以
技術,諸如令牌環和FDDI也是如此
期間使用過的口令成功地探測出口
感文件的內容,或閱讀他們感興趣
對於周邊網絡,如果某人侵入周邊網
所有周邊網上的通信來自或者通往堡壘主
上的堡壘主機,他僅能探聽到周邊網上的通信。因為
機或Internet。
因為沒有嚴格的內部通
能越過周邊網。所以,如果
信(即在兩台內部主機之間的通
堡壘主機被損害,內部的通信仍
信,這通常是敏感的或者專有的)
將是安全的。
