【文章內(nèi)容簡介】 性，創(chuàng)建極小的分段并強行將 TCP頭信息分成多個數(shù)據(jù)包段。希望包過濾路由器只檢查第一個分段而讓其余分段通過，從而繞過用戶定義的過濾規(guī)則 包過濾路由器優(yōu)點： 標準的路由軟件中都內(nèi)置了包過濾功能，無需額外費用；對用戶和應用透明，用戶無須改變使用習慣 包過濾路由器缺點： 定義包過濾器比較復雜，要求網(wǎng)絡管理員對 Inter服務有深入了解 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 824 3. 應用層網(wǎng)關防火墻 能夠?qū)崿F(xiàn)比包過濾路由器更嚴格的安全策略，主要通過在應用層網(wǎng)關上安裝代理軟件（ Proxy）來實現(xiàn)。每個代理模塊分別針對不同的應用。如Tel Proxy負責 Tel在防火墻上的轉(zhuǎn)發(fā)，HTTP Proxy負責 WWW， FTP Proxy負責 FTP等，管理員可以根據(jù)自己的需要安裝相應的代理。 每個代理相互無關，即使某個代理工作發(fā)生問題，只需將它簡單的卸出，不會影響其他的代理模塊，同時也保證了防火墻的失效安全 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 825 ? 應用層網(wǎng)關常被稱為 “ 堡壘主機 ” ，（ Bastion Host），它安裝了專門的系統(tǒng)，采取一些安全措施，能夠抵御各種攻擊。 主要有以下 8個特點 ： （ 1） 應用層網(wǎng)關的硬件之上執(zhí)行一個安全的操作系統(tǒng) （ 2）只安裝代理模塊、用戶認證模塊等防火墻必須的服務 （ 3）盡量不開多余賬號，也不允許遠程登陸到防火墻 （ 4）管理員可以根據(jù)機構(gòu)所需要的服務在應用層網(wǎng)關安裝相應的代理模塊 （ 5）除了基本的代理模塊外，應用層網(wǎng)關還維持自己的用戶庫和對象庫。 用戶庫：保存了用戶名、用戶組、用戶的認證方式、用戶的管理級別等信息 對象庫：保存了管理員定義的主機名、主機組、網(wǎng)絡和網(wǎng)關 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 826 （ 6） 應用層網(wǎng)關另外一個重要特征是身份認證 常采取客戶服務器方式，對同一用戶的身份認證可以根據(jù)他所在網(wǎng)絡的安全級別采取不同的認證方式。如該用戶來自內(nèi)部子網(wǎng)，則對其采用類似 UNIX passwd的方式；若該用戶來自外部非安全網(wǎng)段，則可以采取安全級別更高的認證方式，如一次性密鑰（ Skey） （ 7）管理員通過配置訪問控制表中的訪問規(guī)則，決定內(nèi)部網(wǎng)絡、外部網(wǎng)絡的哪些用戶可以使用應用層網(wǎng)關上的那個代理模塊連接到那個目的站點 （ 8）代理的工作原理比較簡單 ，對合法請求代理以應用層網(wǎng)關自己的身份與目的站點建立連接 ，如圖 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 827 ? 應用層網(wǎng)關的優(yōu)點 ： （ 1）能夠針對各種服務進行全面控制 （ 2）支持可靠的身份認證 （ 3）提供詳細的審計功能和方便的日志分析工具 （ 4）相對于包過濾路由器來說更容易配置和測試 ? 應用層網(wǎng)關的缺點 ： 非透明性，要求用戶改變自己的使用習慣，一般要對用戶進行簡單的培訓 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 828 4. 電路層防火墻 電路層網(wǎng)關只依賴于 TCP連接，不進行附加的包處理和過濾。 電路層網(wǎng)關只是簡單中繼該應用的連接，并不作任何審查、過濾或 Tel協(xié)議的管理。就象電線一樣，只是在內(nèi)部連接和外部連接之間來回拷貝數(shù)據(jù)。從外部看連接似乎源于防火墻，隱藏了受保護子網(wǎng)的信息。見圖 。電路層網(wǎng)關常用于向外連接，網(wǎng)絡管理員對內(nèi)部用戶是信任的 優(yōu)點：堡壘主機可以被設置成混合網(wǎng)關。對于進入的連接使用應用層網(wǎng)關或代理服務器，對于出去的連接使用電路層網(wǎng)關。這樣，防火墻既能方便內(nèi)部用戶，又能保證內(nèi)部網(wǎng)絡免于外部的攻擊。 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 829 防火墻的安全策略及局限性 1. 防火墻的安全策略 有兩種： （ 1）沒有被列為允許訪問的服務都是被禁止的 （ 2）沒有被列為禁止訪問的服務都是被允許的 2. 防火墻的局限性 （ 1）不能阻止來自內(nèi)部的破壞 （ 2）不能保護繞過它的連接 （ 3）無法完全阻止新出現(xiàn)的網(wǎng)絡威脅 （ 4）不能防止病毒 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 830 數(shù)據(jù)加密技術 目的 ：防止合法接收者之外的人獲取信息系統(tǒng)中的機密信息 信息加密技術 ：采用數(shù)學方法對原始信息（ “ 明文 ” ）進行再組織，使得加密后在網(wǎng)絡上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為無意義的文字（加密后的信息通常稱為 “ 密文 ” ）。對于合法的接收者，因為其掌握正確的密鑰，可以通過解密過程得到原始數(shù)據(jù)（即 “ 明文 ” ）。 加密和解密過程中，都要涉及信息（明文、密文）、密鑰（加密密鑰、解密密鑰）和算法（加密算法、解密算法）三項內(nèi)容 數(shù)據(jù)加密技術 ：對信息進行重新編碼，從而達到隱藏信息內(nèi)容，使非法用戶無法獲得信息真實內(nèi)容的一種技術手段 數(shù)據(jù)簽名技術 ：基于數(shù)據(jù)加密技術，可滿足防抵賴等安全要求 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 831 數(shù)據(jù)加密、解密基本過程 明文 （ plaintext）：可懂的文本 密文 （ Ciphertext）：明文變換成的不可懂形式的文本 加密 （ Encipher）：把明文變換成密文的過程 解密 （ Decipher）：把密文變換成明文的過程 密鑰 （ Keyword）：用于加解密的一些特殊信息，它是控制明文與密文之間變換的關鍵，可以是數(shù)字、詞匯或語句。密鑰分為 加密密鑰 （ Encryption Key）和 解密密鑰（ Decryption Key）。 密碼體制 （ Cipher system）：完成加密和解密的算法 《 電子商務概論》（第 3版） 邵兵家 主編 高等教育出版社 2022版 832 1. 定義 指加密和解密均采用同一把秘密鑰匙。 當給對方發(fā)信息時，用自己的加密密鑰進行加密，接收方收到數(shù)據(jù)后，用對方所給的密鑰進行解密。也稱為秘密密鑰加密法 2. 加密算法 主要有以下兩種 （ 1） DES算法 數(shù)據(jù)加密標準，由