【正文】 替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP 包，如果局域網(wǎng)內(nèi)的某個(gè)主機(jī)以自己的IP 地址響應(yīng)了這個(gè)ARP 請求，那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽模式了。（4）響應(yīng)時(shí)間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量會很小，而監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量則通常會較大。 網(wǎng)絡(luò)監(jiān)聽的防范措施為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽，有多種技術(shù)手段，可以歸納為以下三類。第一種是預(yù)防，監(jiān)聽行為要想發(fā)生，一個(gè)重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺有漏洞的主機(jī)被攻破，只有利用被攻破的主機(jī)，才能進(jìn)行監(jiān)聽，從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此，要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計(jì)算機(jī)的習(xí)慣，不隨意下載和使用來歷不明的軟件，及時(shí)給計(jì)算機(jī)打上補(bǔ)丁程序，安裝防火墻等措施，涉及到國家安全的部門還應(yīng)該有防電輻射技術(shù)，干擾技術(shù)等等，防止數(shù)據(jù)被監(jiān)聽。二是被動防御，主要是采取數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認(rèn)。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機(jī)。對在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術(shù)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點(diǎn)是速度問題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲，加密技術(shù)越強(qiáng)，網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。三是主動防御，主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN，這也是限制網(wǎng)絡(luò)監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個(gè)虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設(shè)備的開支，實(shí)現(xiàn)起來要花費(fèi)不少的錢。 非授權(quán)訪問無線網(wǎng)絡(luò)中每個(gè)AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口。所以，未授權(quán)實(shí)體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息；另外，也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點(diǎn)，對移動終端發(fā)動攻擊。而且，IEEE ，只要求STA向AP進(jìn)行認(rèn)證，不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過這種協(xié)議上的缺陷對AP進(jìn)行認(rèn)證進(jìn)行攻擊，向AP發(fā)送大量的認(rèn)證請求幀，從而導(dǎo)致AP拒絕服務(wù)。 敏感信息泄露WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實(shí)際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡(luò)的數(shù)據(jù)包，對網(wǎng)絡(luò)通信進(jìn)行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。 WEB缺陷威脅有線等效保密WEP是IEEE ，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡(luò)進(jìn)行竊聽。WEP在每一個(gè)數(shù)據(jù)包中使用完整性校驗(yàn)字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC32校驗(yàn)。在WEP中明文通過和密鑰流進(jìn)行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡(luò)連接共享一個(gè)密鑰。實(shí)際上，網(wǎng)絡(luò)只使用一個(gè)或幾個(gè)密鑰，也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個(gè)相當(dāng)短的時(shí)間內(nèi)重用，使用24位的IV并不能滿足要求。一個(gè)24位的字段包含16777216個(gè)可能值, 假設(shè)網(wǎng)絡(luò)流量是11M, 傳輸2000字節(jié)的包，在7個(gè)小時(shí)左右, IV 就會重用。CRC32不是一個(gè)很適合WEP的完整性校驗(yàn), 即使部分?jǐn)?shù)據(jù)以及CRC32校驗(yàn)碼同時(shí)被修改也無法校驗(yàn)出來。 無線局域網(wǎng)的安全措施 阻止非法用戶的接入（1）基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個(gè)網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個(gè)字符。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windows XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。（2）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP 設(shè)置基于MAC 地址的Access Control（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。 實(shí)行動態(tài)加密動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩?。動態(tài)加密著眼于無線網(wǎng)絡(luò)架構(gòu)中通信雙方本身，認(rèn)為每個(gè)通信方都應(yīng)承擔(dān)起會話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會話建立階段，身份驗(yàn)證的安全需要非對稱加密以及對PKI的改進(jìn)來防止非授權(quán)訪問，同時(shí)完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。在一個(gè)通信回合中，雙方將使用相同的對稱加密密鑰，是每個(gè)通信方經(jīng)過共同了解的信息計(jì)算而得到的，在通信回合之間，所使用的密鑰將實(shí)時(shí)改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。 數(shù)據(jù)的訪問控制訪問控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實(shí)現(xiàn)。訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長等。雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計(jì)算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡(luò)工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機(jī)器的正常運(yùn)行，影響了工作的正常開展。如何防范計(jì)算機(jī)病毒侵入計(jì)算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個(gè)重要且緊迫的任務(wù)。 局域網(wǎng)病毒局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時(shí)集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計(jì)算機(jī)病毒表現(xiàn)出以下特點(diǎn)：傳播方式和途徑多樣化；病毒的欺騙性日益增強(qiáng)病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護(hù)能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只要有一臺工作站的病毒未被徹底清除，整個(gè)網(wǎng)絡(luò)就有可能重新感染。當(dāng)計(jì)算機(jī)感染上病毒出現(xiàn)異常時(shí)，人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強(qiáng)局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。 計(jì)算機(jī)局域網(wǎng)病毒的防治措施計(jì)算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站，所以防治計(jì)算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個(gè)部分，另外要加強(qiáng)各級人員的管理教育及各項(xiàng)制度的督促落實(shí)。（1）基于工作站的防治技術(shù)。局域網(wǎng)中的每個(gè)工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。二、是在工作站上插防病毒卡，防病毒卡可以達(dá)到實(shí)時(shí)檢測的目的，但防病毒卡的升級不方便，從實(shí)際應(yīng)用的效果看，對工作站的運(yùn)行速度有一定的影響。三、是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一，可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。（2）基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心，是網(wǎng)絡(luò)的支柱，服務(wù)器一旦被病毒感染，便無法啟動，整個(gè)網(wǎng)絡(luò)都將陷入癱瘓狀態(tài)，造成的損失是災(zāi)難性的。難以挽回和無法估量的，目前市場上基于服務(wù)器的病毒防治采用NLM方法，它以NLM模塊方式進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒的能力，從而保證服務(wù)器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。（3）加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。計(jì)算機(jī)局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動的集體和個(gè)人。二、加強(qiáng)各級網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí)，提高工作能力，并能及時(shí)檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報(bào)出現(xiàn)的新問題、新情況，做到及時(shí)發(fā)現(xiàn)問題解決問題，同時(shí)在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡(luò)的第一道大門。 清除網(wǎng)絡(luò)病毒一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個(gè)系統(tǒng)造成更大的損失，具體過程為:（1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《緯S時(shí)發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒。（3）用干凈的系統(tǒng)盤啟動文件服務(wù)器，系統(tǒng)管理員登錄后，使用disable longin禁止其他用戶登錄。（4）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。（6）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。 防火墻系統(tǒng) 防火墻概述防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計(jì)算機(jī)構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。 防火墻的體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。 被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接（什么是“可允許連接”將由你的站點(diǎn)的特殊的安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）；(2)不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。 被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)―隔離帶‖。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。 防火墻的功能 數(shù)據(jù)包過濾技術(shù),只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對一些站點(diǎn)的訪問。包過