屏蔽子网 (Screened Subnet),这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤
路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤
路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。有的屏蔽子网中还设有一
堡垒主机作为唯一可访问点,支持
终端交互或作为
应用网关代理。这种配置的危险带仅包括
堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的
路由器。
如果攻击者试图完全破坏
防火墙,他必须重新配置连接三个网的
路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问
路由器或只允许内网中的某些
主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入
堡垒主机,然后进入内网主机,再返回来破坏
屏蔽路由器,整个过程中不能引发警报。