第12章計(jì)算機(jī)安全技術(shù)

本演示文稿可能包含觀眾討論和即席反應(yīng)。使用PowerPoint可以跟蹤演示時(shí)的即席反應(yīng)，在幻燈片放映中，右鍵單擊鼠標(biāo)請(qǐng)選擇“會(huì)議記錄”選擇“即席反應(yīng)”選項(xiàng)卡必要時(shí)輸入席反應(yīng)單擊“確定”撤消此框此動(dòng)作將自動(dòng)在演示文稿末尾創(chuàng)建一張即席反應(yīng)幻燈片，包括您的觀點(diǎn)。

計(jì)算機(jī)網(wǎng)絡(luò)是人類在信息處理和信息傳播領(lǐng)域中的最新成就之一，是計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合的產(chǎn)物，是計(jì)算機(jī)應(yīng)用的一個(gè)重要方面。

由于計(jì)算機(jī)系統(tǒng)涉及到有關(guān)國(guó)家安全的政治、經(jīng)濟(jì)和軍事情況以及一些工商企業(yè)單位與私人的機(jī)密及敏感信息，因此它已成為國(guó)家和某些部門的寶貴財(cái)富，同時(shí)也成為敵對(duì)國(guó)家和組織以及一些非法用別有用心者威脅和攻擊的主要對(duì)象。所以，計(jì)算機(jī)系統(tǒng)的安全越來(lái)越受到人們的廣泛重視。第12章：計(jì)算機(jī)安全技術(shù)第一頁(yè)，共三十三頁(yè)。12.1計(jì)算機(jī)安全理論基礎(chǔ)12.2數(shù)據(jù)加密技術(shù)12.3計(jì)算機(jī)病毒12.4防火墻技術(shù)章節(jié)展開第二頁(yè)，共三十三頁(yè)。12.1.1計(jì)算機(jī)系統(tǒng)面臨的威脅和攻擊12.1.2計(jì)算機(jī)系統(tǒng)的脆弱性

12.1.3計(jì)算機(jī)系統(tǒng)的安全要求12.1.4計(jì)算機(jī)系統(tǒng)的安全技術(shù)

12.1計(jì)算機(jī)安全理論基礎(chǔ)第三頁(yè)，共三十三頁(yè)。12.1.1計(jì)算機(jī)系統(tǒng)面臨的威脅和攻擊計(jì)算機(jī)系統(tǒng)面臨的威脅和攻擊，大體上可以分成兩大類：一類是對(duì)實(shí)體的威脅和攻擊，另一類是對(duì)信息的威脅和攻擊。計(jì)算機(jī)犯罪和病毒則包含了對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體和信息兩個(gè)方面的威脅和攻擊。1、對(duì)實(shí)體的威脅和攻擊

對(duì)實(shí)體的威脅和攻擊主要是指對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)的威脅和攻擊。2、對(duì)信息的威脅和攻擊信息泄漏：偶然地或故意地獲得（偵收、截獲、竊取或分析破譯）目標(biāo)系統(tǒng)中的信息，特別是敏感信息，造成泄漏事件。信息破壞：偶然事故或人為破壞，使信息的正確性和可用性受到破壞，造成大量信息的破壞、修改或丟失。第四頁(yè)，共三十三頁(yè)。12.1.2計(jì)算機(jī)系統(tǒng)的脆弱性1、系統(tǒng)的不安全因素

數(shù)據(jù)輸入部分、數(shù)據(jù)處理部分、通信線路、軟件、輸出部分、存取控制部分等。2、造成不安全因素的原因自然災(zāi)害構(gòu)成的威脅、偶然無(wú)意構(gòu)成的威脅、人為攻擊的威脅。3、系統(tǒng)脆弱性的表現(xiàn)

存儲(chǔ)密度高、數(shù)據(jù)可訪問(wèn)性、信息聚生性、保密困難性、介質(zhì)的剩磁效應(yīng)、電磁泄漏性、通信網(wǎng)絡(luò)的弱點(diǎn)計(jì)算機(jī)系統(tǒng)的這些脆弱性對(duì)系統(tǒng)安全構(gòu)成了潛在的危險(xiǎn)。這些脆弱性如果被利用，系統(tǒng)的資源就受到很大損失。第五頁(yè)，共三十三頁(yè)。12.1.3計(jì)算機(jī)系統(tǒng)的安全要求計(jì)算機(jī)系統(tǒng)的安全就是要保證系統(tǒng)資源的完整性、可靠性、保密性、安全性、有效性和合法性，維護(hù)正當(dāng)?shù)男畔⒒顒?dòng)以及與應(yīng)用發(fā)展相適應(yīng)的社會(huì)道德和權(quán)力，而建立和采取的技術(shù)措施和方法的總和，以保證系統(tǒng)的硬件、軟件和數(shù)據(jù)不因偶然的或人為的因素而遭到破壞、泄漏，修改或復(fù)制，保護(hù)國(guó)家和集體財(cái)產(chǎn)免受嚴(yán)重?fù)p失。計(jì)算機(jī)系統(tǒng)的安全要求主要包括：保密性、安全性、完整性、可靠性和可用性以及信息的有效性和合法性。第六頁(yè)，共三十三頁(yè)。1、保密性：利用密碼技術(shù)對(duì)信息進(jìn)行加密處理，以防止信息泄漏。2、安全性：標(biāo)志著一個(gè)信息系統(tǒng)的程序和數(shù)據(jù)的安全程度，即防止非法使用和訪問(wèn)的程度。它分為內(nèi)部安全和外部安全。3、完整性：標(biāo)志程序和數(shù)據(jù)等信息的完整程度，使程序和數(shù)據(jù)能滿足預(yù)定要求。4、可靠性和可用性：可靠性即保證系統(tǒng)硬件和軟件無(wú)故障或差錯(cuò)，以便在規(guī)定條件下執(zhí)行預(yù)定算法的能力?？捎眯约幢ＷC合法用戶能正確使用而不出現(xiàn)拒絕訪問(wèn)或使用，并且要防止非法用戶進(jìn)入系統(tǒng)訪問(wèn)、竊取系統(tǒng)資源和破壞系統(tǒng)，也要防止合法用戶對(duì)系統(tǒng)的非法操作或使用。5、信息有效性和合法性：信息的內(nèi)容和順序、身份鑒別、防抵賴、放篡改等。第七頁(yè)，共三十三頁(yè)。12.1.4計(jì)算機(jī)系統(tǒng)的安全技術(shù)1、實(shí)體安全：主要是指為保證計(jì)算機(jī)設(shè)備和通信線路及設(shè)施（建筑物等）的安全。與實(shí)體安全相關(guān)的技術(shù)有計(jì)算機(jī)系統(tǒng)的環(huán)境安全、計(jì)算機(jī)的故障診斷技術(shù)、抗電磁干擾技術(shù)、防電磁泄漏技術(shù)、實(shí)體訪問(wèn)控制技術(shù)、媒體的存放與管理技術(shù)等以及計(jì)算機(jī)病毒的預(yù)防。2、數(shù)據(jù)安全：指為保證計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)庫(kù)（或數(shù)據(jù)文件）免遭破壞、修改、泄露和竊取等威脅和攻擊而采用的技術(shù)方法，包括各種用戶識(shí)別技術(shù)、口令驗(yàn)證技術(shù)、存取控制技術(shù)和數(shù)據(jù)加密技術(shù)，以及建立備份、異地存放、妥善保管等技術(shù)和方法。第八頁(yè)，共三十三頁(yè)。3、軟件安全：指為保證計(jì)算機(jī)系統(tǒng)中的軟件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)或應(yīng)用程序）免遭破壞、非法拷貝、非法使用而采用的技術(shù)和方法。包括各種口令的控制與鑒別、軟件加密技術(shù)、軟件防拷貝技術(shù)和防動(dòng)態(tài)跟蹤技術(shù)等。對(duì)自己開發(fā)的軟件，應(yīng)建立一套嚴(yán)格的開發(fā)及控制技術(shù)，保證軟件無(wú)隱患。滿足某種安全標(biāo)準(zhǔn)，此外，不要隨便拷貝未經(jīng)檢測(cè)的軟件。4、網(wǎng)絡(luò)安全：指為保證網(wǎng)絡(luò)及其節(jié)點(diǎn)安全而采用的技術(shù)和方法。它主要包括報(bào)文鑒別技術(shù)；數(shù)字簽名技術(shù)；訪問(wèn)控制技術(shù)；數(shù)據(jù)加密技術(shù)；密鑰管理技術(shù)；保證線路安全、傳輸而采用的安全傳輸介質(zhì)；網(wǎng)絡(luò)檢測(cè)、跟蹤及隔離技術(shù)；路由控制和流量分析控制技術(shù)等，以便能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的不正常狀態(tài)，并采取相應(yīng)的措施。第九頁(yè)，共三十三頁(yè)。5、運(yùn)行安全：包括運(yùn)行與管理技術(shù)；系統(tǒng)的使用與維護(hù)技術(shù)；隨機(jī)故障維修技術(shù)；軟件可靠性與可維護(hù)性保證技術(shù)；操作系統(tǒng)的故障分析與處理技術(shù)；機(jī)房環(huán)境的檢測(cè)與維護(hù)技術(shù)；實(shí)測(cè)系統(tǒng)及其設(shè)備運(yùn)行狀態(tài)、記錄及統(tǒng)計(jì)分析技術(shù)等，以便及時(shí)發(fā)現(xiàn)運(yùn)行中的異常情況，及時(shí)報(bào)警，同時(shí)提示用戶采取適當(dāng)措施，或進(jìn)行隨機(jī)故障維修和軟件故障的測(cè)試與維修，或進(jìn)行安全控制與審計(jì)。6、

防病毒威脅：用各種病毒掃描和消除工具及其技術(shù)，定期地檢測(cè)、診斷和消除系統(tǒng)中的病毒，并采取一整套預(yù)防方法，防止病毒再入侵。7、

防計(jì)算機(jī)犯罪：計(jì)算機(jī)犯罪是指利用計(jì)算機(jī)知識(shí)和技術(shù)，故意泄漏和破壞計(jì)算機(jī)系統(tǒng)中的機(jī)密信息或竊取計(jì)算機(jī)資源，危害系統(tǒng)實(shí)體和信息安全的犯罪行為。防止計(jì)算機(jī)犯罪，就是通過(guò)一定的技術(shù)手段和方法，杜絕計(jì)算機(jī)犯罪的發(fā)生，并在計(jì)算機(jī)犯罪實(shí)際發(fā)生以后，能及時(shí)提供犯罪的有關(guān)活動(dòng)信息，自己跟蹤或偵察犯罪，制裁打擊犯罪分子。第十頁(yè)，共三十三頁(yè)。12.2數(shù)據(jù)加密技術(shù)12.2.1基本概念12.2.2加密算法原理12.2.3常見(jiàn)的數(shù)據(jù)加密技術(shù)

第十一頁(yè)，共三十三頁(yè)。12.2.1基本概念所謂數(shù)據(jù)加密，就是按確定的加密變換方法（加密算法）對(duì)需要保護(hù)的數(shù)據(jù)（也稱為明文，plaintext）作處理，使其變換成為難以識(shí)讀的數(shù)據(jù)（密文，ciphertext）。其逆過(guò)程，即將密文按對(duì)應(yīng)的解密變換方法（解密算法）恢復(fù)出現(xiàn)明文的過(guò)程稱為數(shù)據(jù)解密。為了使加密算法能被許多人共用，在加密過(guò)程中又引入了一個(gè)可變量——加密密鑰。這樣，不改變加密算法，只要按照需要改變密鑰，也能將相同的明文加密成不同的密文。加密的基本功能包括：防止不速之客查看機(jī)密的數(shù)據(jù)文件；防止機(jī)密數(shù)據(jù)被泄露或篡改；防止特權(quán)用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件；使入侵者不能輕易地查找一個(gè)系統(tǒng)的文件。第十二頁(yè)，共三十三頁(yè)。12.2.2加密算法原理Y=EKe(X)：數(shù)據(jù)加密是利用加密算法E和加密密鑰Ke,將明文X加密成不易識(shí)讀的密文Y。X=DKd(Y)：數(shù)據(jù)解密是用解密算法D和解密密鑰Ka將密文Y變換成為易于識(shí)讀的明文X。第十三頁(yè)，共三十三頁(yè)。12.2.3常見(jiàn)的數(shù)據(jù)加密技術(shù)1、單密鑰體制單密鑰體制又稱對(duì)稱密鑰加密體制，其加密密鑰和解密密鑰是相同的。對(duì)數(shù)據(jù)進(jìn)行加密的單密鑰系統(tǒng)。系統(tǒng)的保密性主要決定于密鑰的安全性，必須通過(guò)安全可靠的途徑將密鑰送至接受端。如何產(chǎn)生滿足保密要求的密鑰，是單密鑰體制設(shè)計(jì)和實(shí)現(xiàn)的主要課題。第十四頁(yè)，共三十三頁(yè)。早期的單密鑰體制中，其密鑰是由字符串組成的。只要有必要，就可經(jīng)常改變密鑰，從而達(dá)到保密的目的。有兩種常用的加密方法，即代替加密和置換加密。1、代替加密：在代替加密技術(shù)中，為了偽裝掩飾每個(gè)字母或一組字母，通常都是由另一個(gè)字母或另一組字母代替。例如：將字母a,，b，c，d，e，f，……w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，H，I，……Z，A，B，C分別對(duì)應(yīng)（相差3個(gè)字符，密鑰為3），即將明文的字母移位若干字母而形成密文。例如，若明文為：Iamastudent則對(duì)應(yīng)的密文為：LDPDVXGHQW。第十五頁(yè)，共三十三頁(yè)。2、置換加密：代替加密實(shí)質(zhì)是保持明文的次序，而把明文字符隱藏起來(lái)。置換加密技術(shù)則是按照某一規(guī)則重新排列字母的順序，而不是隱藏它們。例如：以無(wú)重復(fù)字母組成的短語(yǔ)insert作為密鑰，密鑰的作用是對(duì)列編號(hào)。在最接近于英文字母表首端的密鑰字母的下面為第1列，依次類推。密鑰：Insert次序：235146明文：attack；第一行begins；第二行atfour；第三行

明文：attackbeginsatfour密文：aioabatetcnutgfksr第十六頁(yè)，共三十三頁(yè)。12.3計(jì)算機(jī)病毒12.3.1計(jì)算機(jī)病毒的特征與類型

12.3.2計(jì)算機(jī)病毒的結(jié)構(gòu)和機(jī)理

12.3.3計(jì)算機(jī)病毒的防范計(jì)算機(jī)病毒是一段很小的計(jì)算機(jī)程序，它是由人為蓄意制造的一種會(huì)不斷自我復(fù)制及感染的程序。它能在計(jì)算機(jī)系統(tǒng)中生存，通過(guò)自我復(fù)制來(lái)傳播，滿足一定條件時(shí)被激活，從而給計(jì)算機(jī)系統(tǒng)造成一定的損害甚至嚴(yán)重的破壞。這種程序的活動(dòng)方式可以與微生物學(xué)中的病毒類似，所以被形象地稱為計(jì)算機(jī)病毒。第十七頁(yè)，共三十三頁(yè)。12.3.1計(jì)算機(jī)病毒的特征與類型1、計(jì)算機(jī)病毒的基本特征傳染性、潛伏性、觸發(fā)性、衍生性、破壞性2、計(jì)算機(jī)病毒的種類

引導(dǎo)型性病毒：如“大麻”、“磁盤殺手”、“6.4”、“幽靈”。操作系統(tǒng)型病毒：如“巴基斯坦”“黑色復(fù)仇者”“小球”。入侵型病毒：以插入的方式粘到現(xiàn)有宿主程序體的中間。文件型病毒：有“耶路撒冷”、“1757”、“楊基”等。外殼型病毒：有“黑色星期五”、“哥倫布日”等。第十八頁(yè)，共三十三頁(yè)。12.3.2計(jì)算機(jī)病毒的結(jié)構(gòu)和機(jī)理1、計(jì)算機(jī)病毒的結(jié)構(gòu)

觸發(fā)模塊：該模塊通過(guò)判斷預(yù)定的觸發(fā)條件是否滿足來(lái)控制病毒的感染和破壞活動(dòng)。感染模塊：該模塊通過(guò)判斷預(yù)定的觸發(fā)條件是否滿足來(lái)控制病毒的感染和破壞活動(dòng)、控制感染和破壞動(dòng)作的頻率，使病毒在隱藏狀態(tài)下進(jìn)行感染和破壞活動(dòng)。破壞模塊：該模塊包括破壞（或表現(xiàn)）條件的判斷部分，判斷是否破壞、表現(xiàn)或何時(shí)破壞。主控模塊：病毒運(yùn)行時(shí)，首先運(yùn)行的是病毒的主控模塊。主控模塊控制病毒的運(yùn)行。感染標(biāo)志：當(dāng)病毒感染宿主程序時(shí)，要把感染標(biāo)志寫入宿主程序，作為該程序已被感染的標(biāo)志。第十九頁(yè)，共三十三頁(yè)。2、計(jì)算機(jī)病毒的機(jī)理從圖中可以看出，通過(guò)第一次非授權(quán)加載后，計(jì)算機(jī)病毒的引導(dǎo)模塊被執(zhí)行，病毒有靜態(tài)轉(zhuǎn)為動(dòng)態(tài)。動(dòng)態(tài)病毒通過(guò)某種觸發(fā)手段不斷檢查是否滿足條件，一旦滿足則執(zhí)行感染和破壞功能。第二十頁(yè)，共三十三頁(yè)。12.3.3計(jì)算機(jī)病毒的防范計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。1、計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象發(fā)作前的表現(xiàn)現(xiàn)象、發(fā)作時(shí)的表現(xiàn)現(xiàn)象、發(fā)作后的表現(xiàn)現(xiàn)象、從表現(xiàn)形式和傳播途徑發(fā)現(xiàn)計(jì)算機(jī)病毒。2、計(jì)算機(jī)病毒的技術(shù)防范技術(shù)預(yù)防措施、引導(dǎo)型計(jì)算機(jī)病毒的識(shí)別和防范、文件型計(jì)算機(jī)病毒的識(shí)別和防范、宏病毒的識(shí)別和防范、電子函件計(jì)算機(jī)病毒的識(shí)別和防范。第二十一頁(yè)，共三十三頁(yè)。12.4防火墻技術(shù)12.4.1防火墻的基本知識(shí)

12.4.2防火墻的相關(guān)技術(shù)

12.4.3防火墻的結(jié)構(gòu)

通過(guò)Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的“戰(zhàn)壕”，而這個(gè)“戰(zhàn)壕”就是防火墻。第二十二頁(yè)，共三十三頁(yè)。12.4.1防火墻的基本知識(shí)

2、防火墻的作用：網(wǎng)絡(luò)安全的屏障、強(qiáng)化網(wǎng)絡(luò)安全策略、對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)、防止內(nèi)部信息的外泄、1、防火墻的概念：指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。3、防火墻的種類：分組過(guò)濾（Packetfiltering）應(yīng)用代理（ApplicationProxy）或應(yīng)用網(wǎng)關(guān)（ApplicationGateway）第二十三頁(yè)，共三十三頁(yè)。12.4.2防火墻的相關(guān)技術(shù)1、包過(guò)濾技術(shù)：是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過(guò)設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制與操作。2、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是一種用于把內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址的標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每臺(tái)機(jī)器取得注冊(cè)的IP地址。3、應(yīng)用代理或代理服務(wù)器：應(yīng)用代理或代理服務(wù)器（ApplicationLevelProxyorProxyServer）是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請(qǐng)求確認(rèn)后送達(dá)外部服務(wù)器，同時(shí)將外部服務(wù)器的響應(yīng)再回送給用戶。第二十四頁(yè)，共三十三頁(yè)。

4、IP通道（IPTunnels）：如果一個(gè)大公司的兩個(gè)子公司相隔較遠(yuǎn)，通過(guò)Internet通信。這種情況下，可以采用IPTunnels來(lái)防止Internet上的黑客截取信息，從而在Internet上形成一個(gè)虛擬的企業(yè)網(wǎng)。5、隔離域名服務(wù)器（SplitDomainNameServer）這種技術(shù)是通過(guò)防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離，使外部網(wǎng)的域名服務(wù)器只能看到防火墻的IP地址，無(wú)法了解受保護(hù)網(wǎng)絡(luò)的具體情況，這樣可以保證受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)知悉。6、郵件技術(shù)（MailForwarding）：當(dāng)防火墻采用上面所提到的幾種技術(shù)使得外部網(wǎng)絡(luò)只知道防火墻的IP地址和域名時(shí)，從外部網(wǎng)絡(luò)發(fā)來(lái)的郵件，就只能送到防火墻上。這時(shí)防火墻對(duì)郵件進(jìn)行檢查，只有當(dāng)發(fā)送郵件的源主機(jī)是被允許通過(guò)的，防火墻才對(duì)郵件的目的地址進(jìn)行轉(zhuǎn)換，送到內(nèi)部的郵件服務(wù)器，由其進(jìn)行轉(zhuǎn)發(fā)。第二十五頁(yè)，共三十三頁(yè)。12.4.3防火墻的結(jié)構(gòu)1、包過(guò)濾防火墻2、雙宿主網(wǎng)關(guān)防火墻3、過(guò)濾主機(jī)防火墻4、過(guò)濾子網(wǎng)防火墻5、調(diào)制解調(diào)器池

第二十六頁(yè)，共三十三頁(yè)。1、包過(guò)濾防火墻包過(guò)濾防火墻在小型、不復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)中最常使用，也非常容易安裝。然而，與其他防火墻結(jié)構(gòu)相比，用戶需承受它的更多的缺點(diǎn)。通常，在Internet連接處安裝包過(guò)濾路由器，在路由器中配置包過(guò)濾規(guī)則來(lái)阻塞或過(guò)濾報(bào)文的協(xié)議和地址。一般站點(diǎn)系統(tǒng)可直接訪問(wèn)Internet，而從Internet到站點(diǎn)系統(tǒng)的多數(shù)訪問(wèn)被阻塞。無(wú)任怎樣，路由器可根據(jù)策略有選擇地允許訪問(wèn)系統(tǒng)和服務(wù)，通常有內(nèi)在危險(xiǎn)的NIS、NFS和Xwindows服務(wù)被阻塞。第二十七頁(yè)，共三十三頁(yè)。2、雙宿主網(wǎng)關(guān)防火墻雙宿主網(wǎng)關(guān)防火墻是包過(guò)濾防火墻技術(shù)較好的替代結(jié)構(gòu)，它由一個(gè)帶有兩個(gè)網(wǎng)絡(luò)連接口的主機(jī)系統(tǒng)組成。一般情況下，這種主機(jī)可以充當(dāng)與這臺(tái)主機(jī)相連的網(wǎng)絡(luò)之間的路由器。它將一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包在無(wú)安全控制下傳遞到另一個(gè)網(wǎng)絡(luò)。如果將這種雙宿主機(jī)安裝到防火墻中作為一個(gè)雙宿網(wǎng)關(guān)防火墻，它首先使得IP包的轉(zhuǎn)發(fā)功能失效。除此之外，包過(guò)濾路由器能被放置在Internet的連接處提供附加的保護(hù)，它創(chuàng)建一個(gè)內(nèi)部的、屏蔽的子網(wǎng)。第二十八頁(yè)，共三十三頁(yè)。3、過(guò)濾主機(jī)防火墻過(guò)濾主機(jī)防火墻由一個(gè)包過(guò)濾路由器和一個(gè)位于路由器旁邊保護(hù)子網(wǎng)的應(yīng)用網(wǎng)關(guān)組成。應(yīng)用網(wǎng)關(guān)僅需要一個(gè)網(wǎng)絡(luò)借接口，它的代理服務(wù)能傳遞存在的Telnet、FTP和其他服務(wù)到站點(diǎn)系統(tǒng)。路由器過(guò)濾存在內(nèi)在危險(xiǎn)的協(xié)議到達(dá)應(yīng)用網(wǎng)關(guān)和站點(diǎn)系統(tǒng)。第二十九頁(yè)，共三十三頁(yè)。4、過(guò)濾子網(wǎng)防火墻過(guò)濾子網(wǎng)防火墻是雙宿主網(wǎng)關(guān)和過(guò)濾主機(jī)防火墻的一種變化形式，它能在一個(gè)分割