相关文章

网站建设屏蔽网体结构(二)

内部路由器

内部路由器 (在有关防火墙著作中有时被称为阻塞路由器) 保护内部的网络使之免受外部网和周边网的侵犯 。

内部路由器完成防火墙的大部分数据包过滤工作 。 南京网站建设它允许从内部网到外部网的有选择的外连服务。这些服务是根据内部网络的需要和安全规则选定的, 如 Telnet、 FTP 或Gopher等。

内部路由器可以设定, 使周边网上的堡垒主机与内部网之间传递的各种服务不同于内部网和外部网之间传递的各种服务。限制堡垒主机和内部网之间服务的理由是减少在堡垒主机被入侵后而受到侵袭的内部网主机的数量。

外部路由器

在理论上, 外部路由器 (在有关防火墙著作中有时被称为访问路由器) 保护周边网和内部网使之免受来自外部网络的侵犯。 实际上, 外部路由器倾向于几乎让所有周边网的外出请求通过, 通常只执行非常少的数据包过滤 。 保护内部计算机的数据包过滤规则在内部路由器和外部路由器上基本是一样的, 如果在规则中有允许入侵者访问的错误, 错误就可能出现在两个路由器上。

由于外部路由器一般由外界提供(例如,用户的互联网服务供应商一ISP) ,所以用户对外部路由器的访问是受限制的 。 ISP可能愿意放人一些通用型数据包过滤规则来维护路由器,但是不愿意使用维护复杂或者频繁变化的过滤规则。因此,对于安全保障而言,不能像依靠内部路由器那样依靠外部路由器。