計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用（第九章課件）

第九章

計(jì)算機(jī)網(wǎng)絡(luò)安全PrincipleandApplicationofComputerNetwork課件制作：章全信息管理系第九章計(jì)算機(jī)網(wǎng)絡(luò)安全PrincipleandApplicationofComputerNetwork本章重點(diǎn)（一）（二）（三）計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅、網(wǎng)絡(luò)安全的目標(biāo)和基本的安全技術(shù)兩類密碼體制的特點(diǎn)、基本概念和基本算法認(rèn)證技術(shù)、數(shù)字簽名和數(shù)字證書的基本概念和基本原理（四）常用互聯(lián)網(wǎng)安全協(xié)議基本概念和特點(diǎn)第九章計(jì)算機(jī)網(wǎng)絡(luò)安全PrincipleandApplicationofComputerNetwork本章重點(diǎn)（五）（六）入侵檢測技術(shù)和防火墻的相關(guān)概念和特點(diǎn)第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念ChaptersandSections本章章節(jié)第二節(jié)數(shù)據(jù)加密技術(shù)第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議第五節(jié)防火墻與入侵檢測技術(shù)PART1計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念一、計(jì)算機(jī)網(wǎng)絡(luò)安全威脅引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的因素可以分為以下幾個(gè)方面。（1）開放的網(wǎng)絡(luò)環(huán)境互聯(lián)網(wǎng)的美妙之處在于你和每個(gè)人都能互相連接，互聯(lián)網(wǎng)的可怕之處也在于每個(gè)人都能和你互相連接。（2）協(xié)議本身的缺陷網(wǎng)絡(luò)傳輸離不開通信協(xié)議，而TCP/IP協(xié)議族中有不少協(xié)議本身就存在先天的安全性問題，很多網(wǎng)絡(luò)攻擊都是針對這些缺陷進(jìn)行的。（3）操作系統(tǒng)的漏洞主要是指操作系統(tǒng)本身程序存在Bug和操作系統(tǒng)服務(wù)程序的錯(cuò)誤配置。第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念二、計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅主要分為以下三個(gè)方面。（1）信息泄漏指敏感信息在有意或無意中被泄漏或丟失，如商業(yè)或軍事機(jī)密竊密或泄密。（2）信息破壞指以非法手段竊得對數(shù)據(jù)的使用權(quán)后，刪除、修改、插入或重放某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。（3）拒絕服務(wù)拒絕服務(wù)（Denialofservice，DoS）攻擊指不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念通常將可造成信息泄漏、信息破壞和拒絕服務(wù)的網(wǎng)絡(luò)行為稱為網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊可以分為被動(dòng)攻擊與主動(dòng)攻擊兩大類。如圖9-1所示。被動(dòng)攻擊是指攻擊者通過監(jiān)控網(wǎng)絡(luò)或者搭線竊聽等手段截取他人的通信數(shù)據(jù)包，然后通過分析數(shù)據(jù)包而獲得某些秘密，通常將這類攻擊稱為截獲。這種攻擊通常不會(huì)影響用戶的正常通信，因而最難被檢測得到，對付這種攻擊的重點(diǎn)是預(yù)防，主要手段為數(shù)據(jù)加密。主動(dòng)攻擊是指攻擊者試圖突破網(wǎng)絡(luò)的安全防線，這種攻擊涉及數(shù)據(jù)流的修改或者創(chuàng)建錯(cuò)誤的數(shù)據(jù)流，因而會(huì)對用戶的正常通信帶來危害。主要的攻擊形式有假冒、重放、篡改、惡意程序和拒絕服務(wù)等。主動(dòng)攻擊很難預(yù)防，但容易檢測，因此，對付主動(dòng)攻擊的重點(diǎn)是檢測，主要手段有數(shù)據(jù)加密、認(rèn)證、防火墻和入侵檢測等。圖9-1網(wǎng)絡(luò)攻擊的分類第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念三、安全的計(jì)算機(jī)網(wǎng)絡(luò)人們一直希望能設(shè)計(jì)出一種安全的計(jì)算機(jī)網(wǎng)絡(luò)，但不幸的是，網(wǎng)絡(luò)的安全性是不可判定的，絕對安全的計(jì)算機(jī)網(wǎng)絡(luò)是不存在的。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)設(shè)法達(dá)到以下四個(gè)目標(biāo)。（1）保密性（2）端點(diǎn)鑒別（3）信息的完整性（4）運(yùn)行的安全性第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念四、網(wǎng)絡(luò)安全的基本技術(shù)任何形式的網(wǎng)絡(luò)服務(wù)都會(huì)存在安全方面的風(fēng)險(xiǎn)，問題是如何將風(fēng)險(xiǎn)降低至最低程度。這就需要網(wǎng)絡(luò)安全技術(shù)了，目前的網(wǎng)絡(luò)安全技術(shù)主要有（1）數(shù)據(jù)加密、（2）數(shù)字簽名、（3）身份認(rèn)證、（4）防火墻（5）內(nèi)容與行為檢查第一節(jié)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念四、網(wǎng)絡(luò)安全的基本技術(shù)任何形式的網(wǎng)絡(luò)服務(wù)都會(huì)存在安全方面的風(fēng)險(xiǎn)，問題是如何將風(fēng)險(xiǎn)降低至最低程度。這就需要網(wǎng)絡(luò)安全技術(shù)了，目前的網(wǎng)絡(luò)安全技術(shù)主要有（1）數(shù)據(jù)加密、（2）數(shù)字簽名、（3）身份認(rèn)證、（4）防火墻（5）內(nèi)容與行為檢查PART2數(shù)據(jù)加密技術(shù)第二節(jié)數(shù)據(jù)加密技術(shù)密碼技術(shù)是信息安全的核心技術(shù)，是其他安全技術(shù)的基礎(chǔ)。密碼技術(shù)已經(jīng)發(fā)展成為一門學(xué)科，即密碼學(xué)。它可以分為密碼編碼學(xué)與密碼分析學(xué)。密碼編碼學(xué)（Cryptography）是密碼體制的設(shè)計(jì)學(xué)密碼分析學(xué)（Cryptanalysis）則是在未知密鑰的情況下，根據(jù)密文推出明文或密鑰的技術(shù)第二節(jié)數(shù)據(jù)加密技術(shù)一、數(shù)據(jù)加密模型一般的數(shù)據(jù)加密模型如圖9-2所示。用戶A向B發(fā)送明文X，明文X通過加密算法E運(yùn)算后，得出密文Y。密文Y在不安全的互聯(lián)網(wǎng)中傳輸并最終到達(dá)接收方。在接收方，用戶B通過解密算法對密文Y進(jìn)行D運(yùn)算后恢復(fù)出明文X。在數(shù)據(jù)加密模型中，最重要的就是密鑰，知道了密鑰就能破解密文。圖9-2數(shù)據(jù)加密模型第二節(jié)數(shù)據(jù)加密技術(shù)二、對稱密碼體制所謂對稱密鑰密碼體制，即加密密鑰與解密密鑰是使用相同的密碼體制。例如圖9-2所示的情況，通信的雙方使用的就是對稱密鑰。數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于對稱密鑰密碼體制。它由IBM公司研制出，于1977年被美國定為聯(lián)邦信息標(biāo)準(zhǔn)后，在國際上引起了極大的重視。ISO曾將DES作為數(shù)據(jù)加密標(biāo)準(zhǔn)。DES是一種分組密碼。在加密前，先對整個(gè)的明文進(jìn)行分組。每一個(gè)組為64位長的二進(jìn)制數(shù)據(jù)。然后對每一個(gè)64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)的密文。使用的密鑰占有64位（實(shí)際密鑰長度為56位，外加8位用于奇偶校驗(yàn)）。圖9-2數(shù)據(jù)加密模型第二節(jié)數(shù)據(jù)加密技術(shù)三、公開密鑰密碼體制公鑰密碼體制（又稱為公開密鑰密碼體制）的概念是由斯坦福（Stanford）大學(xué)的研究人員Die與Hellman于1976年提出的。公鑰密碼體制使用不同的加密密鑰與解密密鑰。所謂的公開密鑰密碼體制就是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。公鑰密碼體制的產(chǎn)生主要有兩個(gè)方面的原因，一是由于對稱密鑰密碼體制的密鑰分配問題，二是由于對數(shù)字簽名的需求。圖9-3公鑰密碼體制第二節(jié)數(shù)據(jù)加密技術(shù)公鑰密碼體制提出不久，人們就找到了三種公鑰密碼體制。目前最著名的是由美國三位科學(xué)家Rivest，Shamir和Adleman于1976年提出并在1978年正式發(fā)表的RSA體制，它是一種基于數(shù)論中的大數(shù)分解問題的體制。在公開密鑰密碼體制中，加密密鑰（即公開密鑰）PK是公開信息，而解密密鑰（即秘密密鑰）SK是需要保密的。加密算法E和解密算法D也都是公開的。雖然解密密鑰SK是由公開密鑰PK決定的，但是不能根據(jù)PK計(jì)算出SK。PART3數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書一、數(shù)字簽名數(shù)據(jù)加密可以防止信息在傳輸過程中被截獲，但是如何確定發(fā)送人的身份問題就需要使用數(shù)字簽名技術(shù)來解決。數(shù)字簽名需要實(shí)現(xiàn)以下三項(xiàng)主要的功能（1）接收方可以核對發(fā)送方對報(bào)文的簽名，以確定對方的身份。（2）發(fā)送方在發(fā)送報(bào)文之后無法對發(fā)送的報(bào)文和簽名抵賴。（3）接收方無法偽造發(fā)送方的簽名?，F(xiàn)在有許多實(shí)現(xiàn)數(shù)字簽名的方法，但采用公開密鑰算法實(shí)現(xiàn)數(shù)字簽名比較容易。其原理如圖9-4所示。圖9-4數(shù)字簽名的實(shí)現(xiàn)第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書從上圖可以看出，這種基于公鑰的數(shù)字簽名只是對報(bào)文進(jìn)行了簽名，對報(bào)文本身并沒有加密，因?yàn)橛脩鬉的公鑰可以眾所周知，攻擊者截獲到經(jīng)簽名后的密文后就可以利用A的公鑰進(jìn)行解密，從而獲得報(bào)文的內(nèi)容。對此，提出了改進(jìn)的具備保密的公鑰數(shù)字簽名方法，其原理如圖9-5所示。圖9-5具有保密性的是數(shù)字簽名第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書二、認(rèn)證技術(shù)在網(wǎng)絡(luò)的應(yīng)用中，認(rèn)證（authentication）是網(wǎng)絡(luò)安全中一個(gè)很重要的問題。認(rèn)證和加密是不相同的概念。認(rèn)證是要驗(yàn)證通信的對方的確是自己所要通信的對象，而不是其他的冒充者，并且所傳送的報(bào)文是完整的，沒有被他人篡改過。認(rèn)證分為兩種。一種是消息認(rèn)證，也叫報(bào)文鑒別，即鑒別所收到的報(bào)文的確是報(bào)文的發(fā)送者所發(fā)送的，而不是其他人偽造的或篡改的。另一種則是實(shí)體認(rèn)證，即僅僅鑒別發(fā)送報(bào)文的實(shí)體。實(shí)體可以是一個(gè)人，也可以是一個(gè)進(jìn)程（客戶或服務(wù)器）。（一）消息認(rèn)證（二）實(shí)體認(rèn)證第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書三、數(shù)字證書數(shù)字證書就是一段包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的一串?dāng)?shù)據(jù)，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，數(shù)字證書不是數(shù)字身份證，而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字身份證上的一個(gè)章或印（或者說加在數(shù)字身份證上的一個(gè)簽名）。數(shù)字證書是由一個(gè)稱為證書授權(quán)（CertificateAuthority，CA）中心（也稱為認(rèn)證中心）的權(quán)威機(jī)構(gòu)頒發(fā)和簽署的，并由CA或用戶將其放在目錄服務(wù)器的公共目錄中，以供其他用戶訪問，目錄服務(wù)器本身并不負(fù)責(zé)為用戶創(chuàng)建數(shù)字證書，其作用僅僅是為用戶訪問數(shù)字證書提供方便、認(rèn)證中心CA作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書服務(wù)，包括頒發(fā)證書、廢除證書、更新證書和管理密鑰等。第三節(jié)數(shù)字簽名、認(rèn)證技術(shù)與數(shù)字證書數(shù)字證書是數(shù)字簽名的一種應(yīng)用。在Windows中，打開IE瀏覽器，依次單擊菜單“工具”—“Internet選項(xiàng)”—“內(nèi)容”—“證書”，在打開的對話框中可以查看到計(jì)算機(jī)上安裝的數(shù)字證書，如圖9-7所示。圖9-7查看計(jì)算機(jī)上安裝的證書PART4互聯(lián)網(wǎng)使用的安全協(xié)議第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議網(wǎng)絡(luò)安全協(xié)議設(shè)計(jì)的要求是實(shí)現(xiàn)協(xié)議執(zhí)行過程中的認(rèn)證性、機(jī)密性、完整性與不可否認(rèn)性，這與網(wǎng)絡(luò)安全服務(wù)的基本原則是一致的。網(wǎng)絡(luò)安全協(xié)議的研究與標(biāo)準(zhǔn)的制定設(shè)計(jì)網(wǎng)絡(luò)層、運(yùn)輸層與應(yīng)用層。一、網(wǎng)絡(luò)層安全協(xié)議在討論虛擬專用網(wǎng)VPN時(shí)，提到在VPN中傳送的信息都是經(jīng)過加密的?，F(xiàn)在介紹的就是提供這種加密服務(wù)的IPsec協(xié)議。IPsec并不是一個(gè)單一協(xié)議，而是能夠在IP層提供互聯(lián)網(wǎng)通信安全的協(xié)議族。IPsec就是“IP安全（security）”的縮寫。IPsec協(xié)議族中的協(xié)議可劃分為以下三個(gè)部分。（1）IP安全數(shù)據(jù)報(bào)格式的兩個(gè)協(xié)議：鑒別首部AH（AuthenticationHeader）協(xié)議和封裝安全有效載荷ESP（EncapsulationSecurityPayload）協(xié)議。（2）有關(guān)加密算法的三個(gè)協(xié)議。（3）互聯(lián)網(wǎng)密鑰交換IKE（InternetKeyExchange）協(xié)議。第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議使用ESP或AH協(xié)議的IP數(shù)據(jù)報(bào)稱為IP安全數(shù)據(jù)報(bào)（或IPsec數(shù)據(jù)報(bào)），它可以在兩臺(tái)主機(jī)之間、兩個(gè)路由器之間或一臺(tái)主機(jī)和一個(gè)路由器之間發(fā)送。IP安全數(shù)據(jù)報(bào)有以下兩種不同的工作方式。第一種工作方式是運(yùn)輸方式（transportmode）。運(yùn)輸方式是在整個(gè)運(yùn)輸層報(bào)文段的前后分添加若干控制信思，再加上首部，構(gòu)成IP安全數(shù)據(jù)報(bào)。第二種工作方式是隧道方式（tunnelmode）。隧道方式是在原始的IP數(shù)據(jù)報(bào)的前后分別添加若干控制信息，再加上新的IP首部，構(gòu)成一個(gè)IP安全數(shù)據(jù)報(bào)。第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議在發(fā)送IP安全數(shù)據(jù)報(bào)之前，在源實(shí)體和目的實(shí)體之間必須創(chuàng)建一條網(wǎng)絡(luò)層的邏輯連接，即安全關(guān)聯(lián)SA（SecurityAssociation）。這樣，傳統(tǒng)的互聯(lián)網(wǎng)中無連接的網(wǎng)絡(luò)層就變?yōu)榱司哂羞壿嬤B接的一個(gè)層。安全關(guān)聯(lián)是從源點(diǎn)到終點(diǎn)的單向連接，它能夠提供安全服務(wù)。如要進(jìn)行雙向安全通信，則兩個(gè)方向都需要建立安全關(guān)聯(lián)。圖9-8是安全關(guān)聯(lián)SA的示意圖。圖9-8安全關(guān)聯(lián)SA示意圖第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議二、運(yùn)輸層安全協(xié)議安全套接層（securesocketslayer，SSL）協(xié)議是Netscape公司1994年提出的用于Web應(yīng)用的運(yùn)輸層安全協(xié)議。SSL協(xié)議使用非對稱加密體制和數(shù)字證書技術(shù)，保護(hù)信息傳輸?shù)拿孛苄院屯暾?。SSL是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議。目前世界各國的網(wǎng)上支付系統(tǒng)廣泛應(yīng)用的是SSLv3協(xié)議。圖9-9給出了SSL協(xié)議在網(wǎng)絡(luò)協(xié)議體系中位置的示意圖。圖9-9SSL協(xié)議在層次結(jié)構(gòu)中的位置第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議三、應(yīng)用層安全協(xié)議應(yīng)用層的協(xié)議有很多種，針對不同的應(yīng)用，就有相應(yīng)的應(yīng)用層議。但很多應(yīng)用層協(xié)議存在嚴(yán)重的安全漏洞，比如我們熟悉的HTTP、FTP和TELNET等，都是通過明文的方式傳輸用戶數(shù)據(jù)。對此，人們提出了很多安全的應(yīng)用層協(xié)議，比如S-HTTP、HTTPS、SFTP、SH、S/MIME和PGP等，這里在Internet中應(yīng)用的最多的是HTTPS。HTTPS是Netscape公司于1994年設(shè)計(jì)開發(fā)的，并應(yīng)用于Netscape瀏覽器中，最初，HTTPS是與SSL一起使用的。HTTPS內(nèi)置于瀏覽器中，用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上是將SSL作為HTTP應(yīng)用層的子層，因此HTTPS的安全基礎(chǔ)是SSL，HTTPS使用TCP端口號(hào)443，而不像HTTP那樣使用端口號(hào)80來和TCP進(jìn)行通信。第四節(jié)互聯(lián)網(wǎng)使用的安全協(xié)議HTTPS和HTTP的區(qū)別主要為以下4點(diǎn)。（1）Https協(xié)議需要到CA申請數(shù)字證書。（2）HTTP是明文傳輸協(xié)議，Https則是具有安全性的SSL加密傳輸協(xié)議。（3）HTTP和HTTPS使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。（4）HTTP的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸和身份認(rèn)證的網(wǎng)絡(luò)協(xié)議。在Internet中，當(dāng)用戶訪問一些敏感網(wǎng)站時(shí)，瀏覽器會(huì)將HTTP協(xié)議自動(dòng)轉(zhuǎn)換成HTTPS協(xié)議，例如訪問百度網(wǎng)站或網(wǎng)上銀行時(shí)。如圖9-11所示。圖9-11百度網(wǎng)站使用的HTTPS安全協(xié)議PART5防火墻與入侵檢測技術(shù)第五節(jié)防火墻與入侵檢測技術(shù)一、防火墻（一）防火墻概述保護(hù)網(wǎng)絡(luò)安全的最主要手段之一是構(gòu)筑防火墻。防火墻的概念起源于中世紀(jì)的城堡防衛(wèi)系統(tǒng)，那時(shí)人們?yōu)榱吮Ｗo(hù)城堡的安全，在城堡的周圍挖一條護(hù)城河，每一個(gè)進(jìn)入城堡的人都要經(jīng)過吊橋，并且還要接受城門守衛(wèi)的檢查。計(jì)算機(jī)網(wǎng)絡(luò)借鑒了這種防護(hù)思想，設(shè)計(jì)了一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，這種系統(tǒng)稱為“防火墻”。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。因此，防火墻安裝的位置一定是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，其結(jié)構(gòu)如圖9-12所示。圖9-12防火墻的位置與作用第五節(jié)防火墻與入侵檢測技術(shù)防火墻的主要功能包括：（1）檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。（2）檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。（3）執(zhí)行安全策略，限制所有不符合安全策略要求的數(shù)據(jù)包通過。（4）具有防攻擊能力，保證自身的安全性的能力。構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是包過濾路由器（packetfilteringrouter）和應(yīng)用級網(wǎng)關(guān)（applicationgateway），最簡單的防火墻由一個(gè)包過濾路由器組成，而復(fù)雜的防火墻系統(tǒng)是由包過濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成的。由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。第五節(jié)防火墻與入侵檢測技術(shù)（二）包過濾路由器包過濾技術(shù)是基于路由器技術(shù)的，圖9-13給出了包過濾路由器的結(jié)構(gòu)示意圖。包過濾路由器需要檢查TCP報(bào)頭的端口號(hào)字節(jié)。包過濾規(guī)則一般是基于部分或全部報(bào)頭的內(nèi)容。例如，對于TCP報(bào)頭信息，可以是：源IP地址目的IP地址協(xié)議類型IP選項(xiàng)內(nèi)容。源TCP端口號(hào)目的TCP端口號(hào)TCPACK標(biāo)識(shí)圖9-13包過濾路由器的結(jié)構(gòu)示意圖第五節(jié)防火墻與入侵檢測技術(shù)（三）應(yīng)用級網(wǎng)關(guān)的概念1.多歸屬主機(jī)包過濾可以在網(wǎng)絡(luò)層，傳輸層對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行監(jiān)控，但是網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源和服務(wù)的訪問是發(fā)生在應(yīng)用層，因此必須在應(yīng)用層上實(shí)現(xiàn)對用戶身份認(rèn)證和訪問操作分類檢查和過濾，這個(gè)功能是由應(yīng)用級網(wǎng)關(guān)來完成的。在討論應(yīng)用級網(wǎng)關(guān)具體實(shí)現(xiàn)方法時(shí)，首先需要討論多歸屬主機(jī)（multi-homedhost），多歸屬主機(jī)又稱為多宿主主機(jī)，它是具有多個(gè)網(wǎng)絡(luò)接口卡的主機(jī)，其結(jié)構(gòu)如圖9-15所示。圖9-15典型的多歸屬主機(jī)結(jié)構(gòu)示意圖第五節(jié)防火墻與入侵檢測技術(shù)2.應(yīng)用級網(wǎng)關(guān)如果多歸屬主機(jī)連接了兩個(gè)網(wǎng)絡(luò)，那么它可以稱為雙歸屬主機(jī)（dual-homedhost），雙歸屬主機(jī)可以用在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務(wù)的代理上，只要能夠確定應(yīng)用程序訪問控制規(guī)則，就可以采用雙歸屬主機(jī)作為應(yīng)用級網(wǎng)關(guān)，在應(yīng)用層過濾進(jìn)出內(nèi)部網(wǎng)絡(luò)特定服務(wù)的用戶請求與響應(yīng)。如果應(yīng)用級網(wǎng)關(guān)認(rèn)為用戶身份和服務(wù)請求與響應(yīng)是合法的，它就會(huì)將服務(wù)請求與響應(yīng)轉(zhuǎn)發(fā)到相應(yīng)的服務(wù)器或主機(jī)；如果應(yīng)用級網(wǎng)關(guān)認(rèn)為用戶身份和服務(wù)請求與響應(yīng)是非法的，它將拒絕用戶的服務(wù)請求，丟棄相應(yīng)的包，并且向網(wǎng)絡(luò)管理員報(bào)警。圖9-16給出了應(yīng)用級網(wǎng)關(guān)工作原理示意圖。圖9-16應(yīng)用級網(wǎng)關(guān)工作原理示意圖第五節(jié)防火墻與入侵檢測技術(shù)3.應(yīng)用代理應(yīng)用代理（applicationproxy）是應(yīng)用