九游会j9登录入口首页

1.双穴网关（Dual homed GateWay）型

双穴网关是包过滤网关的一种替代。与普通（包过滤）网关一样，双穴网关也位于互联网与内部网络之间，并且通过两个网络接口分别与它们相连。但是，其IP转发功能被禁用，其网关功能是通过提供代理服务而不是通过IP转发来实现的。显然只有特定类型的协议请求才能被代理服务处理，于是，双穴网关实现了“默认拒绝”策略，可以得到很高的安全性。

另外一种双穴网关的使用方法是：要求用户先远程登录到双穴网关，再访问外网。这种方式不值得提倡，因为在防火墙上最好保留尽可能少的账户。

2.屏蔽主机型

这种防火墙其实是包过滤和代理功能的结合，其中代理服务器位于包过滤网关靠近内部网的一侧。代理服务器只安装一个网络接口，它通过代理功能把一些服务传送到内部主机。而包过滤网关把那些天生危险的协议屏蔽或过滤掉，不让它们到达代理服务器。

如图3-5所示，包过滤网关为代理服务器和E-mail服务器提供保护，而代理服务器为FTP和HTTP协议提供代理服务。包过滤只放行两种类型的数据包：来自或去往代理服务器的；来自或去往E-mail服务器且使用SMTP协议的。

3.屏蔽子网型

这种防火墙是双穴网关和屏蔽主机防火墙的变形。如图3-6所示，该系统中使用包过滤网关在内部网络和外界互联网之间隔离出一个受屏蔽的子网。有些文献称这个子网为“非军事区（DMZ）”。代理服务器、邮件服务器、各种信息服务器（包括Web服务器、FTP服务器等）、Modem 池及其他需要进行访问控制的系统都放置在非军事区中。

与互联网相连的网关称为“外部路由器”，它只让与非军事区中的代理服务器、邮件服务器以及信息服务器有关的数据包通过，其他所有类型的数据包都被丢弃，从而把互联网对非军事区的访问限制在特定的服务器范围内。内部路由器的情况也是如此。

这样，内部网与外部网之间没有直接连接，他们之间的连接要通过非军事区中转。这与双穴网关的情况是一样的。不同的是，屏蔽子网防火墙使用了包过滤网关转发到特定系统，使得代理服务器只需要安装一块网络接口。