|
 图10.20 双目主机结构防火墙系统 |
双目主机可以使用包过滤技术与应用代理技术,并且在网络结构上简单明了,易于实现,成本低,能为内部网络与外部网络的通信提供较为完善的控制机制,如监测、认证、日志文件等。双目主机对外屏蔽了内部网络的结构,使内部网络对外部不可见。 双目主机在配置原则上遵循"禁止未被明确允许的服务"。 由于双目主机是内部网络与外部网络相互通信的桥梁,内外部网络之间的通信量需求比较大时,双目主机本身将成为通信的瓶颈。因此,双目主机的硬件平台应当尽可能地选用性能优良的工作站。双目主机结构可以扩展成多目主机结构,从而可以隔离多个网络。 |
|