|
 图10.21 屏蔽主机结构防火墙系统 |
屏蔽路由器使用包过滤技术,它只允许壁垒主机与外部通信,使壁垒主机成为Internet上其他节点所能到达的唯一节点,并同时根据设立的过滤规则进行控制。对内部网络中其他主机直接对外的通信,屏蔽路由器将予以拒绝。而这些主机的对外通信,必须通过壁垒主机来完成,即按照图中所示的方式完成通信。其体系结构如下图10.22所示。 |
|
|
 图10.22 屏蔽主机防火墙体系结构 |
此外,为保证上述固定的数据路径不被更改,屏蔽路由器上应当采用静态路由设置,并且路由器应当不接受ICMP、ARP等网络协议。 |
|