信息安全與保密技術(shù)-計(jì)算機(jī)系主頁(yè)

信息安全與保密技術(shù)網(wǎng)絡(luò)信息安全所面臨的威脅計(jì)算機(jī)網(wǎng)絡(luò)信息安全所存在的缺陷怎樣實(shí)現(xiàn)網(wǎng)絡(luò)信息安全與保密密碼技術(shù)防火墻簡(jiǎn)介虛擬專(zhuān)用網(wǎng)技術(shù)簡(jiǎn)介網(wǎng)絡(luò)信息安全所面臨的威脅人為的威脅。惡意的攻擊或稱(chēng)為黑客攻擊。自然的威脅。惡劣的環(huán)境、電磁干擾、設(shè)備老化、各種自然災(zāi)害等。惡意攻擊特征智能性：具有專(zhuān)業(yè)技術(shù)和操作技能，精心策劃。嚴(yán)重性：造成巨額的經(jīng)濟(jì)損失，或軍政的失密。隱蔽性：不留犯罪現(xiàn)場(chǎng)，不易引起懷疑、作案的技術(shù)難度大，也難以破案。多樣性：攻擊的領(lǐng)域多，在同一領(lǐng)域內(nèi)攻擊的手段多，例如在電子商務(wù)和電子金融領(lǐng)域，包括偷稅、漏稅、洗錢(qián)等。網(wǎng)絡(luò)犯罪集團(tuán)化與國(guó)際化。主動(dòng)攻擊和被動(dòng)攻擊主動(dòng)攻擊是以各種方式有選擇地破壞信息，如：修改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。被動(dòng)攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下，進(jìn)行偵收、截獲、竊取、破譯、業(yè)務(wù)流量統(tǒng)計(jì)分析及電磁泄露，非法瀏覽等。具有代表性的惡意攻擊信息戰(zhàn)。這是一種以獲得控制信息權(quán)為目標(biāo)的戰(zhàn)爭(zhēng)。以美國(guó)為首的北約集團(tuán)對(duì)南斯拉夫進(jìn)行野蠻轟炸之前就先進(jìn)行了一場(chǎng)信息戰(zhàn)。商業(yè)間諜。利有Internet收集別國(guó)或別公司的商業(yè)情報(bào)。竊聽(tīng)。搭線竊聽(tīng)易實(shí)現(xiàn)，但不易被發(fā)現(xiàn)。流量分析。對(duì)網(wǎng)上信息流的觀察與分析，獲得信息的傳輸數(shù)量、方向、頻率等信息。破壞完整性。對(duì)數(shù)據(jù)進(jìn)行增、刪、改等攻擊。重發(fā)。重發(fā)報(bào)文或報(bào)文分組是取得授權(quán)的一種手段。假冒。當(dāng)一個(gè)實(shí)體假扮成另一個(gè)實(shí)體時(shí)，就發(fā)生了假冒。拒絕服務(wù)。當(dāng)一個(gè)被授權(quán)的合法實(shí)體不能獲得網(wǎng)絡(luò)資源的時(shí)候，或當(dāng)一個(gè)緊急操作被推遲時(shí)，就發(fā)生了拒絕服務(wù)。資源的非法授權(quán)使用。干擾。由一個(gè)站點(diǎn)產(chǎn)生干擾數(shù)據(jù)擾亂其他站點(diǎn)所提供的服務(wù)。頻繁的電子郵件信息就是一例。病毒。全世界已發(fā)現(xiàn)上萬(wàn)種計(jì)算機(jī)病毒，構(gòu)成了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的嚴(yán)重威脅。誹謗。利用網(wǎng)絡(luò)信息系統(tǒng)的互連性和匿名性，發(fā)布誹謗信息。計(jì)算機(jī)網(wǎng)絡(luò)信息安全所存在的缺陷數(shù)據(jù)通信中的缺陷計(jì)算機(jī)硬件資源中的缺陷計(jì)算機(jī)軟件資源中的缺陷數(shù)據(jù)資源中的缺陷(1)數(shù)據(jù)通信中的缺陷非法用戶(hù)通過(guò)搭線竊聽(tīng)，侵入網(wǎng)內(nèi)獲得信息，甚至插入、刪除信息；對(duì)于無(wú)線信道，所受到的被動(dòng)攻擊幾乎是不可避免的。計(jì)算機(jī)及其外圍設(shè)備在進(jìn)行數(shù)據(jù)的處理和傳輸時(shí)會(huì)產(chǎn)生電磁泄漏，即電磁輻射，從而導(dǎo)致了信息泄漏。在有線信道中，由于信道間寄生參數(shù)的交叉耦合，產(chǎn)生了串音。串音不但造成誤碼率增加，而且也會(huì)引起信息泄漏。采用光纖信道可避免這種情況。(2)計(jì)算機(jī)硬件資源的缺陷在我國(guó)集成電路芯片基本依賴(lài)進(jìn)口，還引進(jìn)了一些網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、服務(wù)器、甚至防火墻等。這些芯片或設(shè)備中可能隱藏一些信息安全隱患，有些是惡意的。(3)軟件漏洞陷門(mén)。所謂陷門(mén)是一個(gè)程序模塊的秘密未記入文檔的入口。常見(jiàn)的陷門(mén)實(shí)例有：邏輯炸彈遙控旁路遠(yuǎn)程維護(hù)非法通信貪婪程序操作系統(tǒng)的安全漏洞輸入/輸出非法訪問(wèn)訪問(wèn)控制的混亂不完全的中介操作系統(tǒng)陷門(mén)數(shù)據(jù)庫(kù)的安全漏洞(4)TCP/IP協(xié)議的安全漏洞脆弱的認(rèn)證機(jī)制容易被竊聽(tīng)或監(jiān)視易受欺騙有缺陷的服務(wù)復(fù)雜的設(shè)置與控制無(wú)保密性的IP地址(5)網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞Finger的漏洞匿名FTPTFTPTelnetE-mail(6)口令設(shè)置的漏洞口令是網(wǎng)絡(luò)信息系統(tǒng)中最常用的安全與保密措施之一。由于用戶(hù)謹(jǐn)慎設(shè)置與使用口令的不多，這就帶來(lái)了信息安全隱患。對(duì)口令的選擇有以下幾種不適當(dāng)之處：用“姓名+數(shù)字”作口令，或用生日作口令用單個(gè)單詞或操作系統(tǒng)的命令作口令多個(gè)主機(jī)用同一個(gè)口令只使用小寫(xiě)英文字母作口令網(wǎng)絡(luò)信息安全與保密的措施重視安全檢測(cè)與評(píng)估安全檢測(cè)與評(píng)估可靠性檢測(cè)與評(píng)估操作系統(tǒng)評(píng)測(cè)保密性的檢測(cè)與評(píng)估建立完善的安全體系結(jié)構(gòu)OSI的安全服務(wù)OSI的安全機(jī)制確定網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)原則網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)制定嚴(yán)格的安全管理措施強(qiáng)化安全標(biāo)準(zhǔn)與制定國(guó)家信息安全法密碼技術(shù)密碼技術(shù)密碼技術(shù)通過(guò)信息的變換與編碼，將機(jī)密的信息變換成黑客難以讀懂的亂碼型文字，以此達(dá)到兩個(gè)目的：使不知解密的黑客不能從截獲的的亂碼中得到意義明確的信息；使黑客不能偽造亂碼型信息。研究密碼技術(shù)的學(xué)科稱(chēng)為密碼學(xué)。密碼學(xué)密碼學(xué)的兩個(gè)方向密碼編碼學(xué)：對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)信息隱蔽；密碼分析學(xué)：研究分析破譯密碼方法。幾個(gè)概念明文：未被隱蔽的信息；密文：將明文變換成一種隱蔽形式的文件；加密：由明文到密文的變換；解密：由合法接收者從密文恢復(fù)出明文；破譯：非法接收者試圖從密文分析出明文的過(guò)程；加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則；解密算法：對(duì)密文解密時(shí)采用的一組規(guī)則；密鑰：加密算法和解密算法是在一組僅有合法用戶(hù)知道的秘密信息下進(jìn)行的，這組秘密信息稱(chēng)為密鑰；加密密鑰：加密過(guò)程中所使用的密鑰；解密密鑰：解密過(guò)程所使用的密鑰；對(duì)稱(chēng)密鑰：加密密鑰和解密密鑰為一個(gè)密鑰；非對(duì)稱(chēng)密鑰：加密密鑰和解密密鑰分別為兩個(gè)不同級(jí)密鑰；公開(kāi)密鑰：兩個(gè)密鑰中有一個(gè)密鑰是公開(kāi)的。密碼攻擊窮舉法分析法窮舉法又稱(chēng)為強(qiáng)力法或完全試湊法。它對(duì)收到的密文依次用各種可解的密鑰試譯，直至得到明文；或在不變密鑰下，對(duì)所有可能的明文加密直至得到與截獲的密文一樣為止。只要有足夠的計(jì)算時(shí)間和存儲(chǔ)容量，原則上窮舉法總是可以成功的。分析破譯法包括確定性分析破譯和統(tǒng)計(jì)分析破譯兩類(lèi)。確定性分析法利用一個(gè)或幾個(gè)已知量(如已知密文或明文-密文對(duì))，用數(shù)學(xué)關(guān)系式表示出所求未知量(如密鑰)。統(tǒng)計(jì)分析法是利用明文的已知統(tǒng)計(jì)規(guī)律進(jìn)行破譯的方法。密碼破譯者對(duì)多次截獲的密文進(jìn)行破譯，統(tǒng)計(jì)與分析，總結(jié)出了其中的規(guī)律性，并與明文的統(tǒng)計(jì)規(guī)律進(jìn)行對(duì)照比較，從中提出明文和密文之間的對(duì)應(yīng)或變換信息。網(wǎng)絡(luò)加密方式鏈路加密方式不但對(duì)數(shù)據(jù)報(bào)的正文加密，而且對(duì)路由信息、檢驗(yàn)和以及所有控制信息全都加密。結(jié)點(diǎn)對(duì)結(jié)點(diǎn)加密方式為了解決在結(jié)點(diǎn)中數(shù)據(jù)是明文的缺點(diǎn)，在中間結(jié)點(diǎn)裝有用于加密與解密的保護(hù)裝置。端對(duì)端加密方式加密與解密只在源結(jié)點(diǎn)與目的結(jié)點(diǎn)上進(jìn)行，由發(fā)送方加密的數(shù)據(jù)在沒(méi)有到達(dá)目的結(jié)點(diǎn)之前不被解密。軟件加密與硬件加密軟件加密一般是用戶(hù)在發(fā)送數(shù)據(jù)之前，先調(diào)用信息安全模塊對(duì)信息進(jìn)行加密，然后發(fā)送，到達(dá)接收方后，由用戶(hù)解密軟件進(jìn)行解密，得到明文。優(yōu)點(diǎn)：已有標(biāo)準(zhǔn)的信息安全應(yīng)用程序模塊產(chǎn)品(API)，實(shí)現(xiàn)方便，兼容性好。缺點(diǎn)：密鑰的管理很復(fù)雜，目前密鑰的分配協(xié)議有缺陷；軟件加密是在用戶(hù)計(jì)算機(jī)內(nèi)進(jìn)行的，容易給攻擊者采用程序跟蹤以及編譯等手段進(jìn)行攻擊的機(jī)會(huì)；相對(duì)于硬件加密速度慢。硬件加密的密鑰管理方便，加密速度快，不易受攻擊，而且大規(guī)模集成電路的發(fā)展，為采用硬件加密提供了保障。幾種著名的加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)(DES:DataEncryptionStandard)IDEA密碼算法(InternationalDataEncryptionAlgorithm)RSA算法數(shù)據(jù)加密標(biāo)準(zhǔn)DES由IBM公司于1975年推薦給美國(guó)國(guó)家標(biāo)準(zhǔn)局的，1977年7月被正式作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)。DES采有用了對(duì)稱(chēng)密鑰?；舅枷耄簩⒈忍匦蛄械拿魑姆殖擅?4比特一組，用長(zhǎng)為64比特的密鑰對(duì)其進(jìn)行16次迭代和換位加密，最后形成密文。算法是公開(kāi)的，密鑰是保密的。優(yōu)點(diǎn)：除了密鑰輸入順序之外，其加密和解密的步驟相同，使得在制作DES芯片時(shí)，容易做到標(biāo)準(zhǔn)化和通用化，因此在國(guó)際上得到廣泛應(yīng)用。缺點(diǎn)：利用窮舉法可攻破。密碼算法IDEA該算法的前身由來(lái)學(xué)嘉與JamesMessey完成于1990年，稱(chēng)為PES算法。次年，由Biham和Shamir強(qiáng)化了PES，得到一個(gè)新算法，稱(chēng)為IPES。1992年IPES更名為IDEA，即國(guó)際數(shù)據(jù)加密算法。IDEA被認(rèn)為現(xiàn)今最好的安全分組密碼算法之一。IDEA是以64比特的明文塊進(jìn)行分組，經(jīng)過(guò)8次迭代和一次變換，得到64比特密文，密鑰長(zhǎng)128比特。此算法可用于加密和解密，是對(duì)稱(chēng)密鑰法，算法也是公開(kāi)的，密鑰不公開(kāi)。IDEA用了混亂和擴(kuò)散等操作，算法的設(shè)計(jì)思想是，在不同的代數(shù)組中采用混合運(yùn)算，其基本運(yùn)算主要有異或、模加與模乘三種，容易采用軟件和硬件實(shí)現(xiàn)。公開(kāi)鑰密碼算法RSA1978年美國(guó)麻省理工學(xué)院三位科學(xué)家Rivest,Shamir和Adleman提出了公開(kāi)密鑰體制RSA。公開(kāi)密鑰密碼體制是使用不同的加密密鑰與解密密鑰，是一種由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的密碼體制。加密密鑰是公開(kāi)的，稱(chēng)為公鑰，解密密鑰需要保密，稱(chēng)為私鑰，所以是一種非對(duì)稱(chēng)密鑰法。無(wú)論是加密算法還是解密算法都是公開(kāi)的。它的安全性基于數(shù)論，即尋求兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，但要將兩個(gè)大素?cái)?shù)的乘積分解開(kāi)則極其困難。決定安全性的關(guān)鍵因素是密鑰長(zhǎng)度以及攻破密文的計(jì)算量。RSA的真正價(jià)值在于它解決了數(shù)字簽名及認(rèn)證系統(tǒng)中的一些關(guān)鍵問(wèn)題。數(shù)字簽名數(shù)字簽名能夠?qū)崿F(xiàn)用戶(hù)對(duì)電子形式存放的信息進(jìn)行認(rèn)證。接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。報(bào)文鑒別對(duì)付被動(dòng)攻擊的重要措施是加密，而對(duì)付主動(dòng)攻擊中的篡改與偽造則要用報(bào)文鑒別的方法，也可稱(chēng)為認(rèn)證(authentication)認(rèn)證系統(tǒng)的目的信源識(shí)別，防止假冒；檢驗(yàn)收到信息的完整性，驗(yàn)證在傳送過(guò)程中是否被篡改、重放或延遲。MD5報(bào)文摘要算法由Rivest提出的MD的第5個(gè)版本，于1992年公布。此算法對(duì)任意長(zhǎng)的報(bào)文進(jìn)行運(yùn)算，然后得出128比特的MD代碼，大致過(guò)程如下：將任意長(zhǎng)的報(bào)文M按模264計(jì)算其余數(shù)(64比特)，追加在報(bào)文M的后面。在報(bào)文和余數(shù)之間填充，保證填充后的總長(zhǎng)度是512的整數(shù)倍。填充比特前位是1，后面都是0。將追加和填充后的報(bào)文分割為一個(gè)個(gè)512比特的數(shù)據(jù)塊，然后進(jìn)行一個(gè)復(fù)雜的處理。處理中用到的散列函數(shù)H十分復(fù)雜，但MD5算法中的散列函數(shù)H中的每一個(gè)步驟都是公開(kāi)的。報(bào)文摘要MD的生成報(bào)文摘要MD的使用通信雙方共享一個(gè)常規(guī)的密鑰KMD的加密使用公開(kāi)密鑰密碼體制中的秘密密鑰，而在接收端使用公開(kāi)密鑰將加了密的MD解密。這樣做的好處是省去了密鑰分配給網(wǎng)絡(luò)帶來(lái)的負(fù)擔(dān)。通信雙方共享一小段秘密的數(shù)據(jù)塊，發(fā)送端先將它追加在報(bào)文M前面，然后再輸入到散列函數(shù)H，計(jì)算出MD，把MD追加在報(bào)文M的后面。防火墻技術(shù)防火墻防火墻是一臺(tái)用于信息安全管理與服務(wù)的計(jì)算機(jī)系統(tǒng)。它可以加強(qiáng)網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部用戶(hù)非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)網(wǎng)的設(shè)備工作狀態(tài)不被破壞，數(shù)據(jù)不被竊取防火墻的基本功能與特性基本功能過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包。管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)。封堵某些禁止的訪問(wèn)。記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)情況。對(duì)攻擊進(jìn)行檢測(cè)與告警。特性所有通過(guò)內(nèi)網(wǎng)與外網(wǎng)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻。只有被授的合法數(shù)據(jù)才可能通過(guò)防火墻。防火墻本身不受各種攻擊。使用了新的信息安全技術(shù)，例如現(xiàn)代密碼技術(shù)、一次口令、智能卡等技術(shù)。人機(jī)界面良好。防火墻的發(fā)展過(guò)程基于路由器的防火墻。路由器本身包含有包過(guò)濾等基本功能。用戶(hù)化的防火墻工具套。屬軟件實(shí)現(xiàn)，模塊化的軟件包、安全性和處理速度受限。建立在通用操作系統(tǒng)上的防火墻。具有安全操作系統(tǒng)的防火墻。防火墻操作系統(tǒng)具有安全內(nèi)核，并對(duì)內(nèi)核進(jìn)行了加固處理，即去掉不必要的系統(tǒng)特性，強(qiáng)化了安全保護(hù)。對(duì)每個(gè)服務(wù)器，子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，黑客被隔離在一個(gè)服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)的其他部分構(gòu)成威脅。比以往的防火墻擴(kuò)展了功能。其中包括了分組過(guò)濾，應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)、并且有加密與鑒別功能。透明性好，易于使用。防火墻的優(yōu)點(diǎn)與缺陷利用防火墻保護(hù)內(nèi)網(wǎng)的主要優(yōu)點(diǎn)簡(jiǎn)化了網(wǎng)絡(luò)安全管理；保護(hù)了網(wǎng)絡(luò)中脆弱的服務(wù)；防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全并產(chǎn)生報(bào)警；內(nèi)網(wǎng)所有或大部分需要改動(dòng)的以及附加的安全程序都集中地放在防火墻系統(tǒng)中；增強(qiáng)了保密，強(qiáng)化了私有權(quán)。防火墻是審計(jì)和記錄Internet使用情況的最佳地方。防火墻也可成為向客戶(hù)發(fā)布信息的地點(diǎn)，作為布置WWW服務(wù)器和FTP服務(wù)器的地點(diǎn)是非常理想的。還可以對(duì)防火墻進(jìn)行配置，允許Internet用戶(hù)訪問(wèn)上述服務(wù)器，而禁止外網(wǎng)對(duì)內(nèi)網(wǎng)中其他系統(tǒng)的訪問(wèn)。防火墻的優(yōu)點(diǎn)與缺陷防火墻的優(yōu)點(diǎn)很多，但也有一些缺陷與不足，主要缺陷如下：限制了網(wǎng)絡(luò)服務(wù)，特別是限制或關(guān)閉了很多有用但存有安全缺陷的網(wǎng)絡(luò)服務(wù)；無(wú)法防止內(nèi)部網(wǎng)絡(luò)用戶(hù)的攻擊；無(wú)法防范繞過(guò)防火墻的攻擊，需要附加認(rèn)證的代理服務(wù)器；不能完全防止感染和傳送病毒。不能期望防火墻對(duì)每一個(gè)文件掃描，查出潛在的病毒；無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無(wú)害的數(shù)據(jù)，被拷貝到Internet的主機(jī)上，一旦被執(zhí)行，就發(fā)起了攻擊。不能防范新的網(wǎng)絡(luò)安全問(wèn)題。防火墻是一種被動(dòng)式的防護(hù)手段，它只能對(duì)現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。防火墻的體系結(jié)構(gòu)包過(guò)濾雙宿網(wǎng)關(guān)屏蔽主機(jī)屏蔽子網(wǎng)包過(guò)濾型防火墻可以用一臺(tái)過(guò)濾路由器來(lái)實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的決定。此時(shí)，路由器審查每個(gè)數(shù)據(jù)包以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過(guò)程的包頭信息。包過(guò)濾路由器型防火墻的優(yōu)缺點(diǎn)包過(guò)濾路由器型防火墻的優(yōu)點(diǎn)處理包的速度要比代理服務(wù)器快，過(guò)濾路由器為用戶(hù)提供了一種透明的服務(wù)，用戶(hù)不用改變客戶(hù)端程序或改變自己的行為。實(shí)現(xiàn)包過(guò)濾幾乎不再需要費(fèi)用(或極少的費(fèi)用)，包過(guò)濾路由器對(duì)用戶(hù)和應(yīng)用來(lái)講是透明的，所以不必對(duì)用戶(hù)進(jìn)行特殊的培訓(xùn)和在每臺(tái)主機(jī)上安裝特定的軟件。包過(guò)濾路由器型防火墻的缺點(diǎn)防火墻的維護(hù)比較困難；只能阻止一種類(lèi)型的IP欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝其他可信任的外部主機(jī)的IP卻不可能阻止；任何直接經(jīng)過(guò)路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)；一些包過(guò)濾網(wǎng)關(guān)不支持有效的用戶(hù)認(rèn)證；不可能提供有用的日志，或根本就不提供。隨著過(guò)濾器數(shù)目的增加，路由器的吞吐量會(huì)下降；IP包過(guò)濾器可能無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。包過(guò)濾防火墻一般應(yīng)用場(chǎng)合機(jī)構(gòu)是非集中化管理；機(jī)構(gòu)沒(méi)有強(qiáng)大的集中安全策略；網(wǎng)絡(luò)的主機(jī)數(shù)非常少。；主要依賴(lài)于主機(jī)安全來(lái)防止入侵；沒(méi)有使用DHCP這樣的動(dòng)態(tài)IP地址分配協(xié)議。雙宿網(wǎng)關(guān)防火墻又稱(chēng)為雙重宿主主機(jī)防火墻。雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的，兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成。雙重宿主主機(jī)是唯一的隔開(kāi)內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙重宿主主機(jī)的訪問(wèn)權(quán)，內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵，所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來(lái)自外部不可信網(wǎng)絡(luò)的非法登錄。屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。由包過(guò)濾路由器和堡壘主機(jī)組成。實(shí)現(xiàn)了網(wǎng)絡(luò)層安全(包過(guò)濾)和應(yīng)用層安全(代理服務(wù))。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，而包過(guò)濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間。屏蔽子網(wǎng)防火墻采用兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。堡壘主機(jī)、信息服務(wù)器以及其他公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中?！胺擒娛聟^(qū)”網(wǎng)絡(luò)處于因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間。內(nèi)部路由器(阻塞路由器)位于內(nèi)部網(wǎng)和“非軍事區(qū)”之間，用于保護(hù)內(nèi)部網(wǎng)不受“非軍事區(qū)”和因特網(wǎng)的侵害，它執(zhí)行了大部分的過(guò)濾工作。外部路由器的一個(gè)主要功能是保護(hù)“非軍事區(qū)”上的主機(jī)。這種保護(hù)不是很必要，因?yàn)橹饕峭ㄟ^(guò)堡壘主機(jī)來(lái)進(jìn)行安全保護(hù)的。外部路由器還可以防止部分IP欺騙，因?yàn)閮?nèi)部路由器分辨不出一個(gè)聲稱(chēng)從“非軍事區(qū)”來(lái)的數(shù)據(jù)包是否真的從“非軍事區(qū)”來(lái)，而外部路由器很容易分辨出真?zhèn)?。屏蔽子網(wǎng)