|
防火墙的相关概念有非信任网络(公共网络)、信任网络(内部网络)、DMZ(非军事化区)、可信主机、非可信主机、公网IP地址、保留IP地址、包过滤、地址转换。
|
|
|
(1)非信任网络(公共网络)。处于防火墙之外的公共开放网络,一般指Internet。
|
|
|
(2)信任网络(内部网络)。位于防火墙之内的可信网络,是防火墙要保护的目标。
|
|
|
(3)DMZ(非军事化区)。也称周边网络,可以位于防火墙之外,也可以位于防火墙之内。安全敏感度和保护强度较低。非军事化区一般用来放置提供公共网络服务的设备。这些设备由于必须被公共网络访问,所以无法提供与内部网主机相等的安全性。
|
|
|
(4)可信主机。位于内部网的主机,且具有可信任的安全特性。
|
|
|
|
(6)公网IP地址。由Internet信息中心统一管理分配的IP地址,可在Internet上使用。
|
|
|
(7)保留IP地址。专门保留用于内部网的IP地址。可以由网络管理员任意指派,在Internet上不可识别和不可路由,如192.168.0.0和10.0.0.0等地址网段。
|
|
|
(8)包过滤。防火墙对每个数据包进行允许或拒绝的决定。具体地说,就是根据数据包的头部按照规则进行判断,决定继续转发还是丢弃。
|
|
|
(9)地址转换。防火墙将内部网主机不可路由的保留地址转换成公共网络可识别的公共地址,可以达到节省IP和隐藏内部网络拓扑结构信息等目的。
|
|
|