题目

2.简述防火墙的体系结构及各自的特点。

题目解答

答案

（1）过滤路由器结构：路由器是网络间通信的唯一通道，两个网络之间的通信必须经过路由器的过滤；如果路由器的过滤功能配置不完善，则系统的安全性能会大受影响。（2）双宿主机^[1]结构：两个网络之间的通信要经过双重宿主主机的检查和过滤，内外部网之间不能直接通信。（3）屏蔽子网结构：更安全，外部网的有害信息要进入内部网至少需要攻破三种设备；成本高，对网络管理员^[2]的技术要求也高。

解析

本题考查防火墙的三种典型体系结构及其特点。解题核心在于理解每种结构的工作原理、安全机制及适用场景。需注意区分：

过滤路由器结构：依赖路由器的过滤功能，安全性完全依赖配置；
双宿主机结构：通过双重宿主主机实现通信隔离；
屏蔽子网结构：通过多层设备构建安全屏障，防护能力最强但成本最高。

过滤路由器结构

核心特点

唯一通信通道：所有网络间通信必须通过路由器。
安全依赖配置：若过滤规则不完善，易被绕过。
优点：结构简单，成本低；缺点：安全性较低。

双宿主机结构

核心特点

双重检查机制：通信需经过双重宿主主机（同时连接内外网）的过滤。
隔离内外网：内外网无法直接通信，需通过双宿主机中转。
优点：安全性高于过滤路由器；缺点：双宿主机易成为攻击目标。

屏蔽子网结构

核心特点

多层防护：外部有害信息需依次通过外部路由器、堡垒主机、内部路由器，至少攻破三道屏障。
完全隔离：内部网络与外部网络物理隔离。
优点：安全性最高；缺点：成本高，管理复杂。