被屏蔽子網
這種方法是在內部網絡和外部網絡之間建立一個被隔離的子網,用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個“非軍事區”DMZ。
有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火牆,他必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。
在這種情況下,攻擊者先侵入堡壘主機,然後進入內網主機,再返回來破壞屏蔽路由器,整個過程中不能引發警報。
分享到:
閱讀更多 奢迷數碼客 的文章
