此文講述的是防火墻及防火墻的滲透之被屏蔽子網(wǎng)，這種方法是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分和內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。

有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。

如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它，則攻擊會(huì)變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來破壞屏蔽路由器，整個(gè)過程中不能引發(fā)警報(bào)。

建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式：

1、使用多堡壘主機(jī);

2、合并內(nèi)部路由器與外部路由器;

3、合并堡壘主機(jī)與外部路由器;

4、合并堡壘主機(jī)與內(nèi)部路由器;

5、使用多臺(tái)內(nèi)部路由器;

6、使用多臺(tái)外部路由器;

7、使用多個(gè)周邊網(wǎng)絡(luò);

8、使用雙重宿主主機(jī)與屏蔽子網(wǎng)。

隨著人們對(duì)網(wǎng)絡(luò)安全意識(shí)的提高，防火墻的應(yīng)用越來越廣泛。有錢的用高級(jí)硬件防火墻，沒錢的用免費(fèi)的軟件防火墻。那么，硬件防火墻和軟件防火墻相比，有哪些優(yōu)點(diǎn)呢？

硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達(dá)到線性。

【編輯推薦】

1. 對(duì)包過濾防火墻技術(shù)的詳細(xì)介紹
2. 防火墻設(shè)定路由訪存表防止黑客入侵
3. 零距離接觸Windows 7操作系統(tǒng)自帶防火墻
4. 云防火墻功能揭密
5. ISA Server防火墻客戶端使用記要