【正文】 這樣使得防火墻即能方便內(nèi)部用戶 ， 又能保證內(nèi)部網(wǎng)絡(luò)免于外部攻擊 。 它的優(yōu)點(diǎn)是堡壘主機(jī)可以被設(shè)置成混合網(wǎng)關(guān) 。 就像電線一樣 ，只是在內(nèi)部連接和外部連接之間來(lái)回拷貝數(shù)據(jù) 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 64 電路層網(wǎng)關(guān)是一個(gè)特殊構(gòu)件 ， 它可以由應(yīng)用層網(wǎng)關(guān)來(lái)實(shí)現(xiàn) 。 屏蔽子網(wǎng)體系 的最簡(jiǎn)單的形式是防火墻為兩個(gè)屏蔽路由器 ， 每一個(gè)都連接到虛擬的內(nèi)部網(wǎng)即周邊網(wǎng) 。 屏蔽子網(wǎng)體系 增加額外的安全層到被屏蔽的主機(jī)體系中 ， 即通過(guò)添加虛擬的內(nèi)部網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔開(kāi) 。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。 但如果用戶要訪問(wèn) Intra中的信息時(shí) ， 則需通過(guò)外部和內(nèi)部路由器后 ， 再去訪問(wèn)堡壘主機(jī) ， 然后再通過(guò)主機(jī)訪問(wèn) Intra。 具體的做法是在子網(wǎng)與 Inter之間設(shè)置一個(gè)外部路由器來(lái)對(duì)子網(wǎng)進(jìn)行保護(hù) ， 子網(wǎng)到Intra之間采用屏蔽主機(jī)網(wǎng)關(guān)對(duì) Intra進(jìn)行保護(hù) 。 它是在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)立一個(gè)被隔離的小型的獨(dú)立子網(wǎng) ， 并可將向 Inter上的用戶提供的部分信息放到該子網(wǎng)中 。因此堡壘主機(jī)需要擁有高等級(jí)的安全 。這個(gè)防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。 2）屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 61 屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。 與前面的雙穴主機(jī)網(wǎng)關(guān)相似 ， 也是在堡壘主機(jī)上運(yùn)行防火墻軟件 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 60 它是綜合了包過(guò)濾器和雙穴主機(jī)網(wǎng)關(guān)兩種結(jié)構(gòu)而成的 ， 為了保護(hù)堡壘主機(jī) ， 而將它置入被保護(hù)網(wǎng)的范圍中 ， 也即在堡壘主機(jī)與 Inter之間增設(shè)一個(gè)屏蔽路由器 (Screened Router)。 例如外部網(wǎng)絡(luò)的 A數(shù)據(jù)包通過(guò)防火墻后則變成了 A’數(shù)據(jù)包 ， 內(nèi)部網(wǎng)絡(luò)的 B數(shù)據(jù)包通過(guò)防火墻后就變成了 B’數(shù)據(jù)包 。 NIC 代理 服務(wù)器 NIC Inter 內(nèi)部網(wǎng)絡(luò) 雙重宿主主機(jī)需要細(xì)細(xì)驗(yàn)看所通過(guò)的數(shù)據(jù)包的內(nèi)容 ， 并將其改頭換面重新包裝 。兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來(lái)完成。 這種應(yīng)用層網(wǎng)關(guān)能有效地保護(hù)和屏蔽 Intra， 且所需的硬件設(shè)備較少 ， 容易驗(yàn)證其正確性 ， 因而是目前應(yīng)用得較多的一種防火墻；但堡壘主機(jī)容易受到攻擊 ， 它本身無(wú)法保護(hù)自己 ， 一旦受破壞 ， 實(shí)際上就變成一臺(tái)沒(méi)有尋址功能的路由器 ， 一個(gè)有經(jīng)驗(yàn)的攻擊者就能使它尋址而使受保護(hù)網(wǎng)完成開(kāi)放 。 應(yīng)用級(jí)防火墻 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 58 雙穴主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)如下圖所示 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 57 應(yīng)用級(jí)的防火墻是建立在應(yīng)用層網(wǎng)關(guān)基礎(chǔ)上的，它的三種常見(jiàn)類型 : ? 雙穴主機(jī)網(wǎng)關(guān) (Dual Homed Gateway) ? 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) ? 屏蔽子網(wǎng)網(wǎng)關(guān) (Screened Sub Gateway) 它們有一個(gè)共同點(diǎn)：即都需要有一臺(tái)主機(jī)，通常被稱為堡壘主機(jī) (Bastion Host)的機(jī)器來(lái)充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記和服務(wù)提供者的角色。代理主機(jī)對(duì)其進(jìn)行認(rèn)證，控制進(jìn)出，并進(jìn)行審計(jì)追蹤。此子網(wǎng)有一個(gè)代理主機(jī)、一個(gè)路由器和一個(gè)較復(fù)雜的網(wǎng)關(guān)與內(nèi)部相連，另一個(gè)路由器和網(wǎng)關(guān)與外部相連。 如： Tel Proxy負(fù)責(zé) Tel在防火墻的轉(zhuǎn)發(fā)； HTTP Proxy負(fù)責(zé) WWW； FTP Proxy負(fù)責(zé) FTP等 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 55 (2)應(yīng)用層網(wǎng)關(guān) (Application Gateway) 應(yīng)用層網(wǎng)關(guān)防火墻能夠?qū)崿F(xiàn)比包過(guò)濾器更嚴(yán)格的安全策略 ， 它主要在應(yīng)用層網(wǎng)關(guān)上安裝公司代理軟件 （ Proxy） 來(lái)實(shí)現(xiàn) 。 防火墻雖然可以防止來(lái)自外部的入侵 ， 但不能防止來(lái)自內(nèi)部人員的破壞 。 包過(guò)濾器只是對(duì)未能通過(guò)檢查的數(shù)據(jù)包做簡(jiǎn)單的刪除 ，但并不對(duì)該入侵?jǐn)?shù)據(jù)包的情況進(jìn)行記錄 ， 也不向系統(tǒng)匯報(bào) ， 從而不具有安全保障系統(tǒng)所要求的可審核性 。 僅局限于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過(guò)濾技術(shù) ，只在網(wǎng)絡(luò)層和傳輸層對(duì)數(shù)據(jù)進(jìn)行識(shí)別和處理 ， 對(duì)高層的協(xié)議和信息沒(méi)有識(shí)別和處理的能力 ， 這就使得它對(duì)通過(guò)高層進(jìn)行的侵襲無(wú)防范能力 。 ? 對(duì)于用戶和應(yīng)用透明 ， 無(wú)須改變使用習(xí)慣 。包頭信息中包括 IP源地址、內(nèi)裝協(xié)議、TCP/UDP目標(biāo)端口、 ICMP消息類型等。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 53 2. 防火墻技術(shù) (1)包過(guò)濾路由器（ Packet Filter） 數(shù)據(jù)包過(guò)濾（ Packet Filtering）技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表（ Access Control Table）。 復(fù)合型的防火墻系統(tǒng) 是由路由器和代理服務(wù)器相結(jié)合形成的 。 另外 ， 代理服務(wù)器還提供了用戶級(jí)別的權(quán)限確認(rèn) ， 日志和審計(jì)服務(wù) 。 代理服務(wù)器 則是通過(guò)執(zhí)行特殊的 TCP/IP協(xié)議來(lái)為內(nèi)部網(wǎng)用戶提供Inter服務(wù) 。 包過(guò)濾規(guī)則以 IP信息包為基礎(chǔ) ，對(duì) IP報(bào)文中的源地址 、 IP目標(biāo)地址 、 封裝協(xié)議端口等進(jìn)行篩選 ， 由些決定是否權(quán)屏蔽此報(bào)文 。 (2) 防火墻的功能 防火墻系統(tǒng)可以保護(hù)計(jì)算機(jī)免受以下幾類攻擊：未經(jīng)授權(quán)的內(nèi)部訪問(wèn) 、 危害證明 、 未經(jīng)授權(quán)的外部訪問(wèn) 、 電子欺騙 、 特洛伊木馬 、 滲透 、泛洪 。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。 Microsoft將在 IE瀏覽器中應(yīng)用這一技術(shù) 。 (STT) 安全交易技術(shù)協(xié)議是由 Microsoft公司提出來(lái)的 。 而 S—MIME是在 MIME基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議 。 該協(xié)議向 WWW的應(yīng)用提供完整性 、 鑒別 、 不可抵賴性及機(jī)密性等安全措施 。 ? 它可以用在系統(tǒng)的局部 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 49 安全超文本傳輸協(xié)議是在 Inter上廣泛使用的超文本傳輸協(xié)議 HTTP中 ，增加了安全特性的一種協(xié)議 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 48 SET與 SSL相比具有如下優(yōu)點(diǎn) ： ? （ 3）銀行、發(fā)卡機(jī)構(gòu)以及各種信用卡組織來(lái)說(shuō)，因?yàn)?SET可以幫助它們將業(yè)務(wù)擴(kuò)展到 Inter這個(gè)廣闊的空間，讓信用卡網(wǎng)上支付具有更低的欺騙概率，這使得它比其他支付方式具有更大的競(jìng)爭(zhēng)力。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 45 客戶商家服務(wù)器$銀行支付網(wǎng)關(guān)發(fā)卡機(jī)構(gòu)Inter信息瀏覽訂單/支付信息處理訂單/支付信息結(jié)算和支付信息支付和授權(quán)信息確認(rèn)授權(quán)商品和服務(wù)信息發(fā)布/訂單處理/支付管理/貨款結(jié)算付款卡管理和確認(rèn)信息瀏覽訂單/支付信息處理協(xié)議轉(zhuǎn)換和數(shù)據(jù)接口安全及鑒別管理應(yīng)用 SET的網(wǎng)上購(gòu)物流 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 46 4$541. 商品和服務(wù)信息2. 定單和注冊(cè)了的PIN商家服務(wù)器發(fā)卡機(jī)構(gòu)銀行客戶第三方處理機(jī)構(gòu)3 ．請(qǐng)求PIN資金驗(yàn)證付款授權(quán)6 . 請(qǐng)求信用卡資金驗(yàn)證和付款授權(quán)7. 證實(shí)和結(jié)算8. 授權(quán)對(duì)帳129. 授權(quán)授權(quán)11. 進(jìn)行交易請(qǐng)求付款信息確認(rèn)確認(rèn)付款信息10電子支付方式 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 47 SSL和 SET協(xié)議的比較 SET與 SSL相比具有如下優(yōu)點(diǎn) ： ? （ 1） SET為商家提供了保護(hù)自己的手段，使商家免受欺詐的困擾，使商家的運(yùn)營(yíng)成本降低。 （ 8） 商家將訂單確認(rèn)信息通知購(gòu)物者 ， 發(fā)送商品或完成訂購(gòu)的服務(wù) 。 （ 7） 商家收到購(gòu)物者開(kāi)戶銀行批準(zhǔn)交易的通知 。 認(rèn)證中心驗(yàn)證數(shù)字簽名是否屬于購(gòu)物者 ， 并檢查購(gòu)物者的信用額度 。 商家的服務(wù)器將 SET加密的交易信息連同訂單副本一齊轉(zhuǎn)發(fā)給結(jié)算卡處理中心 。 （ 3） 對(duì)信用卡號(hào)碼使用銀行的公鑰進(jìn)行加密 （ 商家永遠(yuǎn)不會(huì)見(jiàn)到信用卡號(hào)碼 ） ， 用商家的公鑰加密 ， 生成 “ 數(shù)字信封 ” ， 將其發(fā)送給商家 。 （ 2） 購(gòu)物者選擇用 SET方式進(jìn)行付款 。 支付網(wǎng)關(guān) :支付網(wǎng)關(guān)是由銀行操作的將 Inter上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部可識(shí)別的數(shù)據(jù)的設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令。 商家 :商家是商品或服務(wù)的提供者 ， 接受在線支付的商家必須與銀行建立一系列必要的關(guān)系 。在持卡人和商家的會(huì)話中 ， SET可以保證持卡人的個(gè)人賬號(hào)信息不被泄漏 。 提供交易者的身份認(rèn)證和擔(dān)保 :持卡人 、 商家和銀行等交易者通過(guò)第三方權(quán)威機(jī)構(gòu)的身份認(rèn)