堡垒主机位于内部网络，是唯一可以连接到外部网络系统的主机，也是外部用户访问内部网络资源必须经过的主机设备 。
堡垒主机通过数据包过滤实现对内部网络的防护，并且仅仅允许通过特定的服务连接 。堡垒主机可以提供代理功能，内部用户只能通过应用代理访问外部网络，堡垒主机成为外部用户唯一可以访问的内部主机 。
被屏蔽主机体系结构的优点
具有更高的安全特性 。由于屏蔽路由器在堡垒主机之外提供数据包过滤功能，使得堡垒主机要比双宿主主机相对安全，存在漏洞的可能性较小；同时，堡垒主机的数据包过滤功能限制外部用户只能访问特定主机上的特定服务，在提供服务的同时仍然保证了内部网络的安全 。
内部网络用户访问外部网络方便、灵活 。在屏蔽路由器和堡垒主机允许的情况下，用户直接访问外部网络 。如果屏蔽路由器和堡垒主机不允许，内部用户通过堡垒主机代理服务访问外部资源 。在实际应用中，两种方式综合运用，访问不同服务采用不同的方式 。
由于堡垒主机和屏蔽路由器的同时存在，使得堡垒主机可以从部分安全事务中解脱出来，从而可以以更高的效率提供数据包过滤或代理服务 。
被屏蔽主机体系结构的缺点
在被屏蔽主机体系结构中，外部用户在被允许的情况下可以访问内部网络，这样就存在着一定的安全隐患；与双宿主主机体系一样，一旦用户入侵堡垒主机，就会导致内部网络处于不安全状态；路由器和堡垒主机的过滤规则配置较为复杂，较容易形成错误和漏洞 。
3. 被屏蔽子网体系结构
在双宿主主机体系结构和被屏蔽主机体系结构中，主机是最主要的安全缺陷，一旦主机被入侵，则整个内部网络都处于威胁之中，为解决这种安全隐患，出现了被屏蔽子网体系结构 。
被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的特殊网络，即周边网络，并且将堡垒主机都置于周边网络中，一个典型的被屏蔽子网体系结构如图5-18所示 。

文章插图
被屏蔽子网体系结构防火墙比较复杂，主要包括四个部件：周边网络、外部路由器、内部路由器和堡垒主机 。
周边网络
周边网络是位于不可信外部网络与可信内部网络之间的一个附加网络 。周边网络与外部网络、周边网络与内部网络之间通过屏蔽路由器实现逻辑隔离，因此外部用户必须穿越两道屏蔽路由器才能访问内部网络 。
一般情况下，外部用户不能访问内部网络，仅能够访问周边网络中的资源，由于内部用户间通信的数据包不通过屏蔽路由器传递至周边网络，外部用户即使入侵了周边网络中的堡垒主机，也无法监听到内部网络的信息 。
外部路由器
外部路由器的主要作用在于保护周边网络和内部网络，是屏蔽子网体系结构的第一道屏障 。在其上设置了针对外网用户对周边网络和内部网络访问的过滤规则 。
例如，限制外网用户仅能访问周边网络不能访问内部网络，或者仅能访问内部网络中的部分主机 。
外部路由器不过滤周边网络内发出的数据包，因为数据包来自于堡垒主机或内部路由器过滤后的内部主机数据包 。外部路由器复制内部路由器上的规则，以避免内部路由器失效而造成负面影响 。
内部路由器
内部路由器用于隔离周边网络和内部网络，是屏蔽子网体系结构的第二道屏障 。在其上设置了针对内部用户对周边网络和外部网络访问的过滤规则 。
例如，部分内部网络用户只能访问周边网络不能访问外部网络等 。
内部路由器复制了外部路由器上的内网过滤规则，以防止外部路由器过滤功能失效而造成的严重后果 。
内部路由器还要限制周边网络的堡垒主机和内部网络之间的访问，减少堡垒主机被入侵后可以影响的内部主机数量和服务的数量 。
堡垒主机
在被屏蔽子网结构中，堡垒主机位于周边网络，向外部用户提供WWW、FTP等服务，接受外部网络用户的服务资源访问谓求，同时堡垒主机也向内部网络用户提供DNS、WWW代理、FTP代理等服务，提供内部网络用户访问外部资源的接口 。
被屏蔽子网体系结构的优点
外部路由器和内部路由器构成了双层防护体系，入侵者难以突破；
外部用户访问服务资源时无需进入内部网络，在保证服务的情况下提高了内部网络的安全性；
外部路由器和内部路由器过滤规则复制，避免了由于某台路由器失效产生的安全隐患；

• 免费分享这5个种子位置大全 我的世界水下村庄种子位置
• 最能秀的十大英雄推荐 lol最秀的英雄排行
• tiktok营销的步骤解析 tiktok是什么
• 最厉害的4大星座 十二星座谁是学霸读书
• 孕期乌鸡汤的做法
• 家里的废品要及时清 小心滋生细菌
• 液化气罐如何安装
• 干辣椒粉怎么做辣椒酱呢
• 紫罗兰花茶的功效与作用
• 鸡肝的营养价值及危害