防火墙防御体系结构类型

基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙，安全性从上到下依次增强，最弱的是第一个双宿主主机防火墙

防火墙防御体系结构类型-基于双宿主主机防火墙结构

这种系统至少具有两个网络接口卡的主机系统。内部网络和外部网络分别连接在不同的网卡，使内外网不能直接通信。从一块网卡上送来的IP包，经过一个安全检查模块检查后，如果是合法的，则转发到另一块网卡上，实现网络的正常通信；如果不合法，则阻止通信。

就是纯粹的一台设备，多网卡来实现，它的安全性相对而言会比较低，这种结构叫双宿主主机防火墙结构

防火墙防御体系结构类型-基于代理型防火墙结构

基于代理型防火墙结构：由一台主机同外部网连接，该主机代理内部网和外部网的通信代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构

过滤路由器可按如下规则配置:

允许其他内部主机为某些类型的服务请求与外部网络建立直接连接。
任何外部网(或Internet)的主机只能与内部网络的代理主机建立连接。
任何外部系统对内部网络的操作都必须经过代理主机。同时，代理主机本身要有较全面的安全保护。
优点:代理型结构比双宿主主机结构提供更好的安全保护，同时操作也更加简便。
缺点:攻击者攻破代理主机，攻击者变成了内部合法用户，可以侦听到内部网络上的所有信息。

防火墙防御体系结构类型-基于屏蔽子网的防火墙结构

一个代理服务器有两个过滤路由器，相当于三个设备，我们从直观的图形上面看，设备越多，就越安全，基于屏蔽子网的防火墙是最安全的

就是它在我们的内网和外网之间搞一个屏蔽子网出来，这是一个单独的网络，这个网络跟内网是不同的一个网段，然后跟互联网是不同的网段，通过两个过滤路由器来隔离的，攻击者即使攻破了我们的堡垒机，也就是代理服务器主机，也不能直接增添到内部网络的信息，因为中间隔了两个路由器，我们的屏蔽子网跟内网不是同一个网段，不同网段要攻击的话，有点麻烦，如果是同网段，直接就能访问了

应用代理位于被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网，不能直接进入内部网络。

包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证。

优点：安全级别最高。缺点:成本高，配置复杂。

第一个一种设备，第二个两种设备，第三个三种设备，安全性依次增强