網(wǎng)絡(luò)信息安全西財(cái)課件

第八章防火墻第八章防火墻第一節(jié)防火墻的根本原理第二節(jié)防火墻的分類第三節(jié)防火墻體系結(jié)構(gòu)第四節(jié)防火墻的開展趨勢(shì)第一節(jié)防火墻的根本原理一、防火墻的概念一、防火墻的概念

防火墻(Firewall)是指一個(gè)由軟件和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。第一節(jié)防火墻的根本原理一、防火墻的概念第一節(jié)防火墻的根本原理二、防火墻模型形象地說，防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)，執(zhí)行一種相互訪問控制的尺度，它能夠允許用戶“同意〞的人和數(shù)據(jù)進(jìn)入他的網(wǎng)絡(luò)，同時(shí)將用戶“不同意〞的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡(luò)中的黑客訪問他的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞用戶的重要信息，按照OSI/RM模型要求，防火墻可以在OSI/RM七層中的五層設(shè)置。第一節(jié)防火墻的根本原理二、防火墻模型防火墻模型第一節(jié)防火墻的根本原理三、防火墻的平安策略包括用戶的所有信息。其中最主要包括用戶名、口令、用戶所屬的工作組、用戶在系統(tǒng)中的權(quán)限和資源存取許可。第一節(jié)防火墻的根本原理1．用戶帳號(hào)策略三、防火墻的平安策略用戶權(quán)限策略用來允許授權(quán)用戶使用系統(tǒng)資源。用戶權(quán)限一般有兩種：對(duì)執(zhí)行特定任務(wù)用戶的授權(quán)可應(yīng)用于整個(gè)系統(tǒng)；對(duì)特定對(duì)象〔如目錄、文件、打印機(jī)等〕的規(guī)定，這種規(guī)定限制用戶能否或以何種方式存取對(duì)象。第一節(jié)防火墻的根本原理2．用戶權(quán)限策略三、防火墻的平安策略通過信任關(guān)系在網(wǎng)絡(luò)中建立域的平安性。信任關(guān)系是兩個(gè)域中一個(gè)域信任另外的域。它包括兩個(gè)方面：信任域和被信任域。信任域可允許被信任域中的用戶在其中使用。第一節(jié)防火墻的根本原理3．信任關(guān)系策略三、防火墻的平安策略包過濾路由器根據(jù)過濾規(guī)那么，來過濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包，完成包過濾功能。其中包括：包過濾控制點(diǎn)；包過濾操作過程、包過濾規(guī)那么；對(duì)地址欺騙、輸入輸出端口的過濾；FTD包與UDP包的過濾等。第一節(jié)防火墻的根本原理4．包過濾策略三、防火墻的平安策略目前已有的可以公開的加密算法很多，其中最有名的傳統(tǒng)加密算法是美國(guó)DES〔數(shù)據(jù)加密標(biāo)準(zhǔn)〕和RC5算法、歐洲的IDEA算法、日本的FEAL算法。最有名的公開密鑰體制是RSA體制、Elgamal體制等。最有名的數(shù)字簽名體制是DSS體制、Elgamal體制等。最有名的消息簽名體制有MD5等。第一節(jié)防火墻的根本原理5．認(rèn)證、簽名和數(shù)據(jù)加密策略三、防火墻的平安策略從Internet的應(yīng)用來看，密鑰管理方式應(yīng)采用自動(dòng)化管理，特別對(duì)于密鑰分配而言，應(yīng)采用離線式密鑰中心方式。針對(duì)Internet的層次結(jié)構(gòu)，密鑰中心的設(shè)置應(yīng)具有相應(yīng)的層次。而整個(gè)密鑰體系也應(yīng)采用層次結(jié)構(gòu)，以分為主密鑰、密鑰加密密鑰和會(huì)話密鑰三個(gè)層次為宜。第一節(jié)防火墻的根本原理6．密鑰分配策略三、防火墻的平安策略審計(jì)是用來記錄如下事件：哪個(gè)用戶訪問哪個(gè)對(duì)象；訪問類型；訪問過程是否成功等。第一節(jié)防火墻的根本原理7．審計(jì)策略按照防火墻對(duì)內(nèi)外來往數(shù)據(jù)的處理方法，大致可以分為兩大類：包過濾〔packetfiltering〕防火墻應(yīng)用代理〔applicationproxy〕防火墻〔又稱應(yīng)用層網(wǎng)關(guān)防火墻〕第一節(jié)防火墻的根本原理第八章防火墻第一節(jié)防火墻的根本原理第二節(jié)防火墻的分類第三節(jié)防火墻體系結(jié)構(gòu)第四節(jié)防火墻的開展趨勢(shì)第二節(jié)防火墻的分類

一、包過濾防火墻包過濾作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包那么被從數(shù)據(jù)流中丟棄。1．包過濾的概念包過濾防火墻又稱為過濾路由器，它通過將包頭信息和管理員設(shè)定的規(guī)那么表比較，如果有一條規(guī)那么不允許發(fā)送某個(gè)包，路由器就將它丟棄。一、包過濾防火墻1．包過濾的概念第二節(jié)防火墻的分類包過濾方式有很多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。1．包過濾的概念一、包過濾防火墻第二節(jié)防火墻的分類雖然包過濾防火墻有許多優(yōu)點(diǎn)，但它也有一些缺點(diǎn)及局限性：〔1〕在機(jī)器中配置包過濾規(guī)那么比較困難；〔2〕對(duì)系統(tǒng)中的包過濾規(guī)那么的配置進(jìn)行測(cè)試也較麻煩；〔3〕許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要尋找一個(gè)比較完整的包過濾產(chǎn)品比較困難。一、包過濾防火墻第二節(jié)防火墻的分類

一、包過濾防火墻2．包過濾的根本原理〔1〕包過濾和網(wǎng)絡(luò)平安策略包過濾還可以用來實(shí)現(xiàn)大范圍內(nèi)的網(wǎng)絡(luò)平安策略。網(wǎng)絡(luò)平安策略必須清楚地說明被保護(hù)的網(wǎng)絡(luò)和效勞的類型、它們的重要程度和這些效勞要保護(hù)的對(duì)象等。第二節(jié)防火墻的分類〔2〕包過濾模型包過濾器通常設(shè)置于一個(gè)或多個(gè)網(wǎng)段之間。網(wǎng)絡(luò)段區(qū)分為外部網(wǎng)段或內(nèi)部網(wǎng)段。外部網(wǎng)段是通過網(wǎng)絡(luò)將用戶的計(jì)算機(jī)連接到外面的網(wǎng)絡(luò)上，內(nèi)部網(wǎng)段用來連接公司內(nèi)部的主機(jī)和其他網(wǎng)絡(luò)資源。2．包過濾的根本原理一、包過濾防火墻第二節(jié)防火墻的分類〔3〕包過濾操作2．包過濾的根本原理一、包過濾防火墻①包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲(chǔ)起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)那么;②當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析;③包過濾規(guī)那么以特殊的方式進(jìn)行存儲(chǔ);第二節(jié)防火墻的分類④如果一條規(guī)那么允許包傳輸或接收那么該包可以繼續(xù)處理;⑤如果一條規(guī)那么阻止包傳輸或接收，此包便不被允許通過;⑥如果一個(gè)包不滿足任何一條規(guī)那么，那么該包被阻塞;2．包過濾的根本原理一、包過濾防火墻〔3〕包過濾操作第二節(jié)防火墻的分類

一、包過濾防火墻圖8.2包過濾操作流程圖包過濾操作流程3．包過濾規(guī)那么第二節(jié)防火墻的分類

一、包過濾防火墻4．依據(jù)地址進(jìn)行過濾用地址進(jìn)行過濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對(duì)流動(dòng)的包進(jìn)行過濾。第二節(jié)防火墻的分類

一、包過濾防火墻5．依據(jù)效勞進(jìn)行過濾被拒絕進(jìn)入內(nèi)部網(wǎng)絡(luò)的偽裝包主要是在依靠地址進(jìn)行過濾的包過濾系統(tǒng)中。大多數(shù)包過濾系統(tǒng)還涉及到依據(jù)效勞進(jìn)行過濾。第二節(jié)防火墻的分類

二、應(yīng)用代理防火墻應(yīng)用代理，也叫應(yīng)用網(wǎng)關(guān)〔applicationgateway〕，它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用效勞編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。1．應(yīng)用代理概念第二節(jié)防火墻的分類二、應(yīng)用代理防火墻應(yīng)用代理防火墻的典型配置第二節(jié)防火墻的分類應(yīng)用代理或代理效勞器(applicationlevelproxyor，proxyserver)是代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)效勞器進(jìn)行信息交換的程序。它將內(nèi)部用戶的請(qǐng)求確認(rèn)后送達(dá)外部效勞寶器，同時(shí)將外部效勞器的響應(yīng)再回送給用戶。二、應(yīng)用代理防火墻1．應(yīng)用代理概念第二節(jié)防火墻的分類代理的實(shí)現(xiàn)過程如圖8.4所示，代理效勞有兩個(gè)主要部件：代理效勞器和代理客戶。用戶代理服務(wù)器感覺的連接實(shí)際的連接外部主機(jī)圖8.4代理的實(shí)現(xiàn)過程二、應(yīng)用代理防火墻1．應(yīng)用代理概念第二節(jié)防火墻的分類

二、應(yīng)用代理防火墻2．代理效勞代理效勞是具有訪問互聯(lián)網(wǎng)能力的主機(jī)作為那些無(wú)權(quán)訪問互聯(lián)網(wǎng)主機(jī)的代理，這樣使得一些不能訪問互聯(lián)網(wǎng)的主機(jī)通過代理效勞也可以完成訪問互聯(lián)網(wǎng)的工作。第二節(jié)防火墻的分類二、應(yīng)用代理防火墻3.代理效勞的工作方法代理效勞的工作細(xì)節(jié)對(duì)每一種效勞器都是不同的，一些效勞已自動(dòng)地提供了代理，對(duì)于這些效勞可以通過對(duì)正常效勞器的配置來設(shè)置代理。但對(duì)于大多數(shù)效勞來說，代理效勞在效勞器上要求運(yùn)行特殊的代理效勞器軟件。第二節(jié)防火墻的分類在客戶端可以有以下兩種方法:3.代理效勞的工作方法二、應(yīng)用代理防火墻(1)定制客戶軟件。采用這種方法，軟件必須知道當(dāng)用戶提出請(qǐng)求時(shí)怎樣與代替真實(shí)效勞器的代理效勞器進(jìn)行連接，并且告訴代理效勞器如何與真實(shí)效勞器連接。第二節(jié)防火墻的分類(2)定制客戶過程。采用這種方法時(shí)，用戶使用標(biāo)準(zhǔn)的客戶軟件與代理效勞器連接，并通知代理效勞器與真實(shí)效勞器連接，以此來代替與真實(shí)效勞器的連接。二、應(yīng)用代理防火墻3.代理效勞的工作方法第二節(jié)防火墻的分類

二、應(yīng)用代理防火墻4.代理效勞器的使用代理效勞器有一些特殊類型，主要表現(xiàn)為應(yīng)用級(jí)與回路級(jí)代理、公共與專用代理效勞器和智能代理效勞器。〔1〕應(yīng)用級(jí)與回路級(jí)代理應(yīng)用級(jí)代理是代理效勞為哪個(gè)應(yīng)用提供的代理，它能了解并解釋應(yīng)用協(xié)議中的命令；而回路級(jí)代理在客戶端與效勞器之間不解釋應(yīng)用協(xié)議中的命令就建立了連接回路。〔2〕公共與專用代理效勞器一個(gè)專用效勞器只適用于單個(gè)協(xié)議，而一個(gè)公共代理效勞器那么適用多個(gè)協(xié)議。實(shí)際上專用代理效勞器是應(yīng)用級(jí)的，而公共代理效勞器是屬于回路級(jí)的?！?〕智能代理效勞器如果一個(gè)代理效勞器不僅能處理轉(zhuǎn)發(fā)請(qǐng)求，同時(shí)還能夠做其他許多事情的話，這樣的代理效勞器就稱為智能代理效勞器。對(duì)于一個(gè)專用的應(yīng)用級(jí)代理來說很容易升級(jí)到智能代理效勞器，但對(duì)一個(gè)回路級(jí)的代理來說那么比較困難。第二節(jié)防火墻的分類三、復(fù)合型防火墻1．傳統(tǒng)防火墻分析基于網(wǎng)絡(luò)地址轉(zhuǎn)換〔networkaddresstranslator,NAT〕的復(fù)合型防火墻系統(tǒng)，它融合了代理技術(shù)的高性能和包過濾技術(shù)高效性的優(yōu)點(diǎn)。第二節(jié)防火墻的分類三、復(fù)合型防火墻2．設(shè)計(jì)思想

集中訪問控制技術(shù)是在效勞請(qǐng)求時(shí)由網(wǎng)關(guān)負(fù)責(zé)鑒別，一旦鑒別成功，其后的報(bào)文交互都直接通過TCP/IP層的過濾規(guī)那么，無(wú)需象應(yīng)用層代理那樣逐個(gè)報(bào)文轉(zhuǎn)發(fā)，這就實(shí)現(xiàn)了與代理方式同樣的平安水平而處理量大幅下降，性能隨即得到大大提高。另一方面，NAT技術(shù)通過在網(wǎng)關(guān)上對(duì)進(jìn)出IP包源與目的地址的轉(zhuǎn)換，實(shí)現(xiàn)過濾規(guī)那么的動(dòng)態(tài)化。第二節(jié)防火墻的分類三、復(fù)合型防火墻3．系統(tǒng)設(shè)計(jì)

基于Web的防火墻管理系統(tǒng)集中訪問控制模塊臨時(shí)訪問端口表認(rèn)證訪問控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)NAT模塊內(nèi)部網(wǎng)內(nèi)部網(wǎng)圖8.5基于NAT的復(fù)合型防火墻系統(tǒng)總體結(jié)構(gòu)模型圖8.5給出了基于NAT的復(fù)合型防火墻系統(tǒng)的總體結(jié)構(gòu)模型，由五大模塊組成。第二節(jié)防火墻的分類三、復(fù)合型防火墻3．系統(tǒng)設(shè)計(jì)

NAT模塊依據(jù)一定的規(guī)那么，對(duì)所有出入的數(shù)據(jù)包進(jìn)行源與目的地址識(shí)別，并將由內(nèi)向外的數(shù)據(jù)包中源地址替換成一個(gè)真實(shí)地址，而將由外向內(nèi)的數(shù)據(jù)包中的目的地址替換成相應(yīng)的虛擬地址第二節(jié)防火墻的分類三、復(fù)合型防火墻集中訪問控制〔CAC〕模塊負(fù)責(zé)響應(yīng)所有指定的由外向內(nèi)的效勞訪問，通知認(rèn)證訪問控制系統(tǒng)實(shí)施平安鑒別，為合法用戶建立相應(yīng)的連接，并將這一連接的相關(guān)信息傳遞給NAT模塊，保證在后續(xù)的報(bào)文傳輸時(shí)直接轉(zhuǎn)發(fā)而無(wú)需控制模塊干預(yù)。3．系統(tǒng)設(shè)計(jì)

第二節(jié)防火墻的分類三、復(fù)合型防火墻臨時(shí)訪問端口表及連接控制〔TLTC〕模塊通過監(jiān)視外向型連接的端口數(shù)據(jù)動(dòng)態(tài)維護(hù)一張臨時(shí)端口表，記錄所有由內(nèi)向外的連接的源與目的端口信息，根據(jù)此表及預(yù)先配置好的協(xié)議集由連接控制模塊決定哪些連接是允許的而哪些是不允許的，即根據(jù)所制定的規(guī)那么〔平安政策〕禁止相應(yīng)的由外向內(nèi)發(fā)起的連接，以防止攻擊者利用網(wǎng)關(guān)允許的由內(nèi)向外的訪問協(xié)議類型做反向的連接訪問。3．系統(tǒng)設(shè)計(jì)

第二節(jié)防火墻的分類三、復(fù)合型防火墻認(rèn)證與訪問控制系統(tǒng)是防火墻系統(tǒng)的關(guān)鍵環(huán)節(jié)，它按照網(wǎng)絡(luò)平安策略負(fù)責(zé)對(duì)通過防火墻的用戶實(shí)施用戶的身份鑒別和對(duì)網(wǎng)絡(luò)信息資源的訪問控制，保證合法用戶正常訪問和禁止非法用戶訪問。3．系統(tǒng)設(shè)計(jì)

第二節(jié)防火墻的分類三、復(fù)合型防火墻網(wǎng)絡(luò)監(jiān)控系統(tǒng)負(fù)責(zé)截取到達(dá)防火墻網(wǎng)關(guān)的所有數(shù)據(jù)包，對(duì)信息包報(bào)頭和內(nèi)容進(jìn)行分析，檢測(cè)是否有攻擊行為，并實(shí)時(shí)通知系統(tǒng)管理員。3．系統(tǒng)設(shè)計(jì)

第二節(jié)防火墻的分類三、復(fù)合型防火墻〔1〕網(wǎng)絡(luò)地址轉(zhuǎn)換模塊〔2〕集中訪問控制模塊〔3〕臨時(shí)訪問端口表〔4〕認(rèn)證與訪問控制系統(tǒng)〔5〕網(wǎng)絡(luò)平安監(jiān)控系統(tǒng)〔6〕基于WEB的防火墻管理系統(tǒng)4．系統(tǒng)的實(shí)現(xiàn)

第二節(jié)防火墻的分類第八章防火墻第一節(jié)防火墻的根本原理第二節(jié)防火墻的分類第三節(jié)防火墻體系結(jié)構(gòu)第四節(jié)防火墻的開展趨勢(shì)一、防火墻體系結(jié)構(gòu)1.雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。第三節(jié)防火墻體系結(jié)構(gòu)一、防火墻體系結(jié)構(gòu)1.雙重宿主主機(jī)體系結(jié)構(gòu)第三節(jié)防火墻體系結(jié)構(gòu)一、防火墻體系結(jié)構(gòu)2.主機(jī)過濾體系結(jié)構(gòu)第三節(jié)防火墻體系結(jié)構(gòu)一、防火墻體系結(jié)構(gòu)3.子網(wǎng)過濾體系結(jié)構(gòu)第三節(jié)防火墻體系結(jié)構(gòu)二、防火墻的變化和組合一般有以下幾種形式：●使用多堡壘主機(jī)；●合并內(nèi)部路由器和外部路由器；●合并堡壘主機(jī)與外部路由器；●合并堡壘主機(jī)與內(nèi)部路由器；●合并多臺(tái)內(nèi)部路由器；●合并多臺(tái)外部路由器；●使用多個(gè)參數(shù)網(wǎng)絡(luò)；●使用雙重宿主主機(jī)與子網(wǎng)過濾。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)設(shè)計(jì)和建立堡壘主機(jī)的根本原那么有兩條：最簡(jiǎn)化原那么和預(yù)防原那么。〔1〕最簡(jiǎn)化原那么在堡壘主機(jī)上設(shè)置的效勞必須最少，同時(shí)對(duì)必須設(shè)置的效勞軟件只能給予盡可能低的權(quán)限?！?〕預(yù)防原那么要盡量使堡壘主機(jī)不被破壞，但同時(shí)又必須時(shí)刻提防“它一旦被攻破怎么辦？〞。一旦堡壘主機(jī)被破壞，我們還得盡力讓內(nèi)部網(wǎng)絡(luò)仍處于平安保障之中。第三節(jié)防火墻體系結(jié)構(gòu)1.建立堡壘主機(jī)的一般原那么三、堡壘主機(jī)2.堡壘主機(jī)的種類堡壘主機(jī)目前一般有三種類型：無(wú)路由雙宿主主機(jī)、犧牲主機(jī)和內(nèi)部堡壘主機(jī)。無(wú)路由雙宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流。犧牲主機(jī)是一種上面沒有任何需要保護(hù)信息的主機(jī)，同時(shí)它又不與任何入侵者想利用的主機(jī)相連。堡壘主機(jī)可與某些內(nèi)部主機(jī)進(jìn)行交互。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī)，對(duì)它們就應(yīng)像堡壘主機(jī)一樣加以保護(hù)。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇〔1〕堡壘主機(jī)操作系統(tǒng)的選擇應(yīng)該選擇較為熟悉的系統(tǒng)作為堡壘主機(jī)的操作系統(tǒng)。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇〔2〕堡壘主機(jī)速度的選擇作為堡壘主機(jī)的計(jì)算機(jī)并不要求有很高的速度。選用功能并不十分強(qiáng)大的機(jī)器作為堡壘主機(jī)反而更好。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇〔3〕堡壘主機(jī)的硬件在選擇堡壘主機(jī)及它的外圍設(shè)備時(shí)，應(yīng)慎選產(chǎn)品；不可選太舊的產(chǎn)品；堡壘主機(jī)的內(nèi)存要大，并配置有足夠的交換空間。；需要有較大的磁盤空間作為存儲(chǔ)緩沖。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇〔4〕堡壘主機(jī)的物理位置①位置要平安②堡壘主機(jī)在網(wǎng)絡(luò)上的位置第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇〔5〕堡壘主機(jī)提供的效勞堡壘主機(jī)應(yīng)當(dāng)提供站點(diǎn)所需求的所有與互聯(lián)網(wǎng)有關(guān)的效勞，同時(shí)還要經(jīng)過包過濾提供內(nèi)部網(wǎng)絡(luò)向外界的效勞。任何與外部網(wǎng)絡(luò)無(wú)關(guān)的效勞都不應(yīng)放置在堡壘主機(jī)上。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇我們將可以由堡壘主機(jī)提供的效勞分成以下四個(gè)級(jí)別。①無(wú)風(fēng)險(xiǎn)效勞，僅僅通過包過濾便可實(shí)施的效勞。②低風(fēng)險(xiǎn)效勞，在有些情況下這些效勞運(yùn)行時(shí)有平安隱患，但加以一些平安控制措施便可消除平安問題，這類效勞只能由堡壘主機(jī)提供。③高風(fēng)險(xiǎn)效勞，在使用這些效勞時(shí)無(wú)法徹底消除平安隱患；這類效勞一般應(yīng)被禁用，特別需要時(shí)也只能放置在主機(jī)上使用。④禁用效勞，應(yīng)被徹底禁止使用的效勞。第三節(jié)防火墻體系結(jié)構(gòu)三、堡壘主機(jī)3.堡壘主機(jī)的選擇電子郵件〔S