屏蔽子网模式相对屏蔽主机模式有什么优点?DMZ的基本性质和功能有哪些？

屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络(也称为非军事区DMZ)，从而进一步实现屏蔽主机的安全性，通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。在DMZ中堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。对于选定的可以向Internet开放的各种网络应用，也可以将该应用服务器放在DMZ上。

有两个屏蔽路由器，分别位于DMZ与内部网之间、DMZ与外部网之间，攻击者要攻入这种结构的内部网络，必须通过两个路由器，因而不存在危害内部网的单一入口点。即使非法攻击者侵入堡垒主机，它仍将必须通过内部路由器。这种结构安全性好，只有当三个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。