屏蔽式子網路(Screening Subnet)防火牆架構圖
屏蔽式子網路,又稱為隔離網(DMZ,Demilitarized Zone)防火牆架構,是一種安全網絡配置,通常用於隔離內部網絡與外部網絡,並保護內部網絡免受外部攻擊。這種架構在內部網絡與外部網絡之間設置了一個子網,專門放置對外公開的服務器,如 Web 伺服器、郵件伺服器等。
架構圖
plaintext
複製程式碼
外部網絡(Internet)
|
|
+-------------+
| 外部防火牆 |
+-------------+
|
|
+-----------------------+
| 屏蔽子網 |
| (Screening Subnet) |
| |
| +-----------------+ |
| | 公開服務器 1 | |
| +-----------------+ |
| +-----------------+ |
| | 公開服務器 2 | |
| +-----------------+ |
+-----------------------+
|
|
+-------------+
| 內部防火牆 |
+-------------+
|
|
+-----------------+
| 內部網絡 |
+-----------------+
說明
外部防火牆(External Firewall):
外部防火牆位於外部網絡與屏蔽子網之間,負責過濾來自外部網絡的流量,確保只有合法流量能夠進入屏蔽子網。
屏蔽子網(Screening Subnet):
屏蔽子網是一個獨立的子網,位於外部防火牆和內部防火牆之間。這個子網包含對外公開的服務器(如 Web 伺服器、郵件伺服器等),這些服務器需要直接與外部網絡通信。
這些公開服務器提供公共服務,同時被隔離在屏蔽子網中,以防止外部攻擊直接進入內部網絡。
內部防火牆(Internal Firewall):
內部防火牆位於屏蔽子網與內部網絡之間,負責過濾來自屏蔽子網的流量,保護內部網絡的安全。
內部防火牆進一步限制來自屏蔽子網的流量,確保只有被允許的流量才能進入內部網絡。
內部網絡(Internal Network):
內部網絡包含企業或組織的內部資源,如內部伺服器、工作站和數據庫等。這些資源受到內外兩道防火牆的保護,確保其安全性。
運作方式
外部流量過濾:
外部防火牆過濾所有來自外部網絡(Internet)的流量。只有符合安全策略的流量能夠進入屏蔽子網。例如,只允許 HTTP 和 HTTPS 流量進入 Web 伺服器。
公開服務器提供服務:
屏蔽子網中的公開服務器提供對外服務,如 Web 服務、郵件服務等。這些服務器位於屏蔽子網中,可以與外部網絡通信,但與內部網絡隔離。
內部流量過濾:
內部防火牆過濾所有來自屏蔽子網的流量,保護內部網絡。只有被允許的流量才能通過內部防火牆進入內部網絡。例如,內部網絡的管理流量可以訪問屏蔽子網中的伺服器進行維護和管理。
隔離攻擊:
如果屏蔽子網中的公開服務器受到攻擊,攻擊者無法直接進入內部網絡。內部防火牆將進一步限制來自屏蔽子網的潛在惡意流量,防止內部網絡受到影響。
總結
屏蔽式子網路(Screening Subnet)防火牆架構通過在外部網絡和內部網絡之間設置一個隔離的子網,保護內部網絡的安全。公開服務器位於屏蔽子網中,提供公共服務並受到外部防火牆和內部防火牆的雙重保護。這種架構有效地隔離和保護內部網絡,防止外部攻擊直接影響內部資源。
阿摩線上測驗
登入