簡介,結構,工作原理,
簡介
雙宿主主機(Dual-Homed Host)結構是圍繞著至少具有兩個網路接口的雙宿主主機而構成的。雙宿主主機內外的網路均可與雙宿主主機實施通信,但內外網路之間不可直接通信,內外部網路之間的IP數據流被雙宿主主機完全切斷。雙宿主主機可以通過代理或讓用戶直接註冊到其上來提供很高程度的網路控制。
結構
雙宿主機結構採用主機替代路由器執行安全控制功能,故類似於包過濾防火牆。雙宿主機即一台配有多個網路接口的主機,它可以用來在內部網路和外部網路之間進行尋徑。如果在一台雙宿主機中尋徑功能被禁止了,則這個主機可以隔離與它相連的內部網路和外部網路之間的通信,而與它相連的內部和外部網路都可以執行由它所提供的網路套用,如果這個套用允許的話,它們就可以共享數據。這樣就保證內部網路和外部網路的某些節點之間可以通過雙宿主機上的共享數據傳遞信息,但內部網路與外部網路之間卻不能傳遞信息,從而達到保護內部網路的作用。它是外部網路用戶進入內部網路的唯一通道,因此雙宿主機的安全至關重要,它的用戶口令控制安全是一個關鍵。
如圖所示,雙宿主主機是指具有兩個網路接口的主機。雙宿主主機的兩個網路接口分別連線區域網路和外網,區域網路通常為區域網路,外網通常為Internet。內外網路均可與雙宿主主機通信,但內外網路之間不可直接通信。雙宿主主機是區域網路和外網之間的屏障,如果入侵者得到了雙宿主主機的訪問權,區域網路就會被侵入,為了保障區域網路的安全,需要在雙宿主主機上禁止路由功能,並且設定身份認證機制。
雙宿主機使用兩種方式來提供服務,一種是用戶直接登錄到雙宿主機上來提供服務,另一種是在雙宿主機上運行代理伺服器。
第一種方式需要在雙宿主機上開很多賬號,這會帶來一些危險:
1、用戶賬號的存在給入侵者提供相對容易的入侵通道,每一個賬號通常會有一個可重複使用的密碼,這樣很容易被入侵者破解。
2、由於用戶的行為是不可預知的,這會給入侵檢測帶來很大的麻煩。
第二種方式的問題相對要少很多,並且有些服務(如HTTP、SMTP)本身的特點就是“存儲轉發”型的,很適合進行代理。在雙宿主機上可以運行多種代理服務程式,當區域網路要訪問外網時,必須先通過伺服器認證,然後才可以通過代理服務程式訪問外網。
