双宿主主机
双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。
双宿主机结构采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径。如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信,而与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。它是外部网络用户进入内部网络的唯一通道,因此双宿主机的安全至关重要,它的用户口令控制安全是一个关键。
双宿主主机(具有至少两个网络适配器)双宿主机防火墙双宿网关防火墙(Dual-homed Gateway Firewall)的结构。它是一个具有两个网络适配器的主机系统,并且主机系统中的寻径功能被禁止,而对外部网络的服务和访问则由网关上的代理服务器提供。它是一种结构非常简单,但安全性很高的防火墙系统,是对双宿主主机防火墙的一个改进。另外可以把包过滤路由器和双宿网关集成在一起。把包过滤路由器放在外部网络和一个屏蔽子网之间。屏蔽子网用来为外部网络用户提供一些特定的服务, 比如WWW,Gopher, FTP等。这样一来可以利用包过滤路由器的过滤保护双宿网关免受外部的攻击,例如如果禁止外部访问远程登陆到双宿网关,就可以减少外部攻击的危险。这种防火墙拒绝所有的网络服务,包括DNS等,除非应用网关有代理模块的网络服务可以允许。不灵活性是这种防火墙技术的最大缺点。另外网关主机系统的安全是双宿网关安全的关键。