防火墙架构

屏蔽路由器可以由制造商专门生产的路由器实现，或者可以由主机实现。屏蔽路由器充当内部和外部连接的唯一通道，要求所有消息都通过检查。在路由器上，可以安装基于IP的数据包过滤软件来实现数据包过滤。许多路由器都有包过滤配置选项，但它们通常很简单。

（1）屏蔽路由器屏蔽路由器可以由制造商专门生产的路由器实现，也可以由主机实现。屏蔽路由器充当内部和外部连接的唯一通道，要求所有消息都通过检查。在路由器上，可以安装基于IP的数据包过滤软件来实现数据包过滤。许多路由器都有包过滤配置选项，但它们通常很简单。（2）DualHomedGateway双宿主机网关是一个防火墙，带有两个网卡的堡垒主机。这两个网卡分别连接到受保护的网络和外部网络。堡垒主机运行防火墙软件，它可以转发应用程序，提供服务等。与屏蔽路由器相比，双宿主机网关堡垒主机的系统软件可用于维护系统日志，硬件复制日志或远程日志。受保护的网络和外部网络无法直接通信，它们之间的通信必须由整个主机进行过滤和控制。 （3）屏蔽的子网被屏蔽。子网是内部风网和外部网络之间的隔离子网。两个子网过滤路由器将子网与内部网络和外部网络分开。单独•在许多实现中，两个包过滤路由器放置在子网的两端，在子网内部形成DNS，内部网络和外部软件公司

网络可以访问被阻止的子网，但禁止它们通过被阻止的子网进行通信。某些屏蔽子网还具有堡垒主机作为堡垒主机，子网主机以及连接到内部网络，外部网络和屏蔽子网的所有路由器。接入点，支持终端交互或作为应用网关代理，这种配置的危险只有在攻击者试图完全破坏防火墙时，他必须重新配置连接三个网络的路由器，既不切断连接也不锁定自己。仍然可能在外面而不会让自己被发现。但是，如果微信小程序禁止网络访问路由器或仅允许Intranet上的某些主机访问它，则攻击变得非常困难。在这种情况下，攻击者必须首先入侵完整主机，然后进入内部主机，然后返回销毁屏蔽路由器，并且在整个过程中不能触发警报。