計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)第10章-計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課件

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)（第3版）工業(yè)和信息化“十三五”高職高專人才培養(yǎng)規(guī)劃教材

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)（第3版）工業(yè)和信息化“十三五”高職高專人才培目標(biāo)/要點(diǎn)隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用日益增多，網(wǎng)絡(luò)安全威脅日益嚴(yán)重。本章主要講述與安全相關(guān)的基礎(chǔ)知識(shí)，主要包括網(wǎng)絡(luò)安全的定義及關(guān)鍵技術(shù)、防火墻技術(shù)、殺毒軟件的使用等。通過(guò)本章的學(xué)習(xí)，讀者應(yīng)能掌握基本安全技術(shù)的使用，保證網(wǎng)絡(luò)的安全。學(xué)習(xí)目標(biāo)

學(xué)習(xí)要點(diǎn)1了解網(wǎng)絡(luò)安全的定義和面臨的威脅掌握防火墻的相關(guān)概念，理解常見的防火墻系統(tǒng)結(jié)構(gòu)了解病毒的概念，掌握360殺毒軟件的使用方式23目標(biāo)/要點(diǎn)隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用日益增多，網(wǎng)絡(luò)安全目錄/Contents10.1網(wǎng)絡(luò)安全概述防火墻技術(shù)殺毒軟件的應(yīng)用10.210.3第10章計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

目錄/Contents10.1網(wǎng)絡(luò)安全概述防火墻技術(shù)殺毒第10章計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全概述

10.1.1網(wǎng)絡(luò)面臨的安全威脅在日益網(wǎng)絡(luò)化的社會(huì)，網(wǎng)絡(luò)安全問(wèn)題也不斷涌現(xiàn)。網(wǎng)絡(luò)安全面臨的威脅主要表現(xiàn)為：敏感信息為非授權(quán)用戶所獲?。痪W(wǎng)絡(luò)服務(wù)不能或不正常運(yùn)行，甚至使合法用戶不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；黑客攻擊；硬件或軟件方面的漏洞；利用網(wǎng)絡(luò)傳播病毒。

4第10章計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)10.1網(wǎng)絡(luò)安全概述

1．網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全具備以下４個(gè)特征。（1）保密性。保密性是指信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。即敏感數(shù)據(jù)在傳播或存儲(chǔ)介質(zhì)中不會(huì)被有意或無(wú)意泄露。（2）完整性。完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中，保持不被修改，不被破壞和丟失的特性。（3）可用性?？捎眯允侵感畔⒖杀皇跈?quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能允許存取所需的信息。例如，網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性。可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力的特性。

1．網(wǎng)絡(luò)安全的概念2．網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅是指對(duì)網(wǎng)絡(luò)信息的潛在危害，分為人為和自然兩種，人為又分為有意和無(wú)意兩類。（1）信息泄露。信息泄露是指信息被透露給非授權(quán)的實(shí)體。常見的信息泄露有如下幾種。網(wǎng)絡(luò)監(jiān)聽業(yè)務(wù)流分析電磁、射頻截獲人員有意或無(wú)意破壞媒體清理漏洞利用授權(quán)侵犯物理侵入病毒、木馬、后門、流氓軟件網(wǎng)絡(luò)釣魚

2．網(wǎng)絡(luò)安全威脅（2）完整性破壞?？梢酝ㄟ^(guò)漏洞利用、物理侵犯、授權(quán)侵犯、病毒、木馬、漏洞等方式來(lái)實(shí)現(xiàn)。（3）拒絕服務(wù)攻擊。對(duì)信息或資源合法的訪問(wèn)被拒絕或者推遲與時(shí)間密切相關(guān)的操作。（4）網(wǎng)絡(luò)濫用。合法的用戶濫用網(wǎng)絡(luò)，引入不必要的安全威脅，主要包括如下幾類。非法外聯(lián)非法內(nèi)聯(lián)移動(dòng)風(fēng)險(xiǎn)設(shè)備濫用業(yè)務(wù)濫用

（2）完整性破壞?？梢酝ㄟ^(guò)漏洞利用、物理侵犯、授權(quán)侵犯、病毒10.1.2計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)安全是涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合學(xué)科，它包括網(wǎng)絡(luò)管理、數(shù)據(jù)安全及數(shù)據(jù)傳輸安全等很多方面。網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)上的信息安全，包括物理安全、邏輯安全、操作系統(tǒng)安全、網(wǎng)絡(luò)傳輸安全。1．物理安全物理安全是指用來(lái)保護(hù)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的裝置和工作程序。物理安全包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內(nèi)容。（1）防盜（2）防火（3）防靜電（4）防雷擊（5）防電磁泄漏

10.1.2計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容2．邏輯安全計(jì)算機(jī)的邏輯安全主要是用口令、文件許可、加密、檢查日志等方法來(lái)實(shí)現(xiàn)。防止黑客入侵主要依賴于計(jì)算機(jī)的邏輯安全。邏輯安全可以通過(guò)以下措施來(lái)加強(qiáng)：（1）限制登錄的次數(shù)，對(duì)試探操作加上時(shí)間限制；（2）把重要的文檔、程序和文件加密；（3）限制存取非本用戶自己的文件，除非得到明確的授權(quán)；（4）跟蹤可疑的、未授權(quán)的存取企圖。

2．邏輯安全3．操作系統(tǒng)安全操作系統(tǒng)分為網(wǎng)絡(luò)操作系統(tǒng)和個(gè)人操作系統(tǒng)，其安全內(nèi)容主要包括如下幾方面：（1）系統(tǒng)本身的漏洞；（2）內(nèi)部和外部用戶的安全威脅；（3）通信協(xié)議本身的安全性；（4）病毒感染。4．網(wǎng)絡(luò)傳輸安全網(wǎng)絡(luò)傳輸安全是指信息在傳播過(guò)程中出現(xiàn)丟失、泄露、受到破壞等情況。其主要內(nèi)容如下。（1）訪問(wèn)控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。（2）通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)的保密性和完整性，以及各通信的可信賴性。

3．操作系統(tǒng)安全10.1.3網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1．?dāng)?shù)據(jù)加密技術(shù)信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎(chǔ)，信息加密也是現(xiàn)代密碼學(xué)的主要組成部分。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為對(duì)稱加密算法（私鑰密碼體系）和非對(duì)稱加密算法（公鑰密碼體系）。在私鑰密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和脫密密鑰是相同或等價(jià)的。在眾多的常規(guī)密碼中影響最大的是DES密碼。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡苡杉用苊荑€推導(dǎo)出脫密密鑰。最有影響的公鑰加密算法是RSA，它能夠抵抗到目前為止已知的所有密碼攻擊。

10.1.3網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)2．信息確認(rèn)技術(shù)信息確認(rèn)技術(shù)通過(guò)嚴(yán)格限定信息的共享范圍來(lái)達(dá)到防止信息被非法偽造、篡改和假冒。一個(gè)安全的信息確認(rèn)方案應(yīng)該能使：合法的接收者能夠驗(yàn)證他收到的消息是否真實(shí)；發(fā)信者無(wú)法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無(wú)法偽造消息；發(fā)生爭(zhēng)執(zhí)時(shí)可由第三人仲裁。按照其具體目的，信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。用于消息確認(rèn)中的常用算法有：ElGamal簽名、數(shù)字簽名標(biāo)準(zhǔn)（DSS）、One-time簽名、

Undeniable簽名、Fail-stop、簽名、Schnorr確認(rèn)方案、Okamoto確認(rèn)方案、Guillou-Quisquater確認(rèn)方案、Snefru、Nhash、MD4．MD5等，其中最著名的算法應(yīng)該是數(shù)字簽名標(biāo)準(zhǔn)（DSS）算法。

2．信息確認(rèn)技術(shù)3．防火墻技術(shù)防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是硬件，也可以是軟件，也可能是硬件和軟件的結(jié)合。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問(wèn)控制策略進(jìn)行過(guò)濾或做出其他操作。防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且還能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。防火墻系統(tǒng)可以用于內(nèi)部網(wǎng)絡(luò)與Internet之間的隔離，也可用于內(nèi)部網(wǎng)絡(luò)不同網(wǎng)段的隔離，后者通常稱為Intranet防火墻。

3．防火墻技術(shù)目前的防火墻系統(tǒng)根據(jù)其實(shí)現(xiàn)方式大致可分為兩種，即包過(guò)濾防火墻和應(yīng)用層網(wǎng)關(guān)。包過(guò)濾防火墻的主要功能是接收被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)包，根據(jù)防火墻的訪問(wèn)控制策略對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，只準(zhǔn)許授權(quán)的數(shù)據(jù)包通行。應(yīng)用層網(wǎng)關(guān)位于TCP/IP協(xié)議的應(yīng)用層，實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證，接收被保護(hù)網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對(duì)之進(jìn)行檢查。

目前的防火墻系統(tǒng)根據(jù)其實(shí)現(xiàn)方式大致可分為兩種，即包過(guò)濾防火墻4．網(wǎng)絡(luò)安全掃描技術(shù)網(wǎng)絡(luò)安全掃描技術(shù)是為使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。利用安全掃描技術(shù)，可以對(duì)局域網(wǎng)絡(luò)、Web站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)及防火墻系統(tǒng)的安全漏洞進(jìn)行掃描，系統(tǒng)管理員可以了解在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢測(cè)主機(jī)系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤。網(wǎng)絡(luò)安全掃描技術(shù)主要有網(wǎng)絡(luò)遠(yuǎn)程安全掃描、防火墻系統(tǒng)掃描、Web網(wǎng)站掃描、系統(tǒng)安全掃描等幾種方式。

4．網(wǎng)絡(luò)安全掃描技術(shù)5．網(wǎng)絡(luò)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過(guò)硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對(duì)訪問(wèn)控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過(guò)濾掉等。6．黑客誘騙技術(shù)黑客誘騙技術(shù)是近期發(fā)展起來(lái)的一種網(wǎng)絡(luò)安全技術(shù)，通過(guò)一個(gè)由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來(lái)引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐（Honeypot）系統(tǒng)，最重要的功能是一種特殊設(shè)置，用來(lái)對(duì)系統(tǒng)中所有操作進(jìn)行監(jiān)視和記錄。

5．網(wǎng)絡(luò)入侵檢測(cè)技術(shù)10.2防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段，一種有效的網(wǎng)絡(luò)安全機(jī)制，是保證主機(jī)和網(wǎng)絡(luò)安全

必不可少的工具。其主要目標(biāo)是通過(guò)控制進(jìn)、出網(wǎng)絡(luò)的資源權(quán)限，迫使所有的連接都經(jīng)過(guò)該工具的檢查，防止需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器、限制器，也是一個(gè)分析器。防火墻是網(wǎng)絡(luò)之間一種特殊的訪問(wèn)控制設(shè)施，在Internet網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間設(shè)置一道屏障，防止黑客進(jìn)入內(nèi)部網(wǎng)，用于確定哪些內(nèi)部資源允許外部訪問(wèn)、哪些內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)外部網(wǎng)絡(luò)。防火墻在網(wǎng)絡(luò)中的位置如圖10-1所示。

10.2防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段，一種計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)第10章--計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課件10.2.1防火墻概述1．防火墻的定義防火墻是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策（允許、拒絕、監(jiān)視、記錄）控制進(jìn)出網(wǎng)絡(luò)訪問(wèn)行為。防火墻本身具有較強(qiáng)的抗攻擊能力，是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器、限制器，也是一個(gè)分析器，它能夠有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

10.2.1防火墻概述2．防火墻的分類（1）按形態(tài)分類。按形態(tài)可將防火墻分為軟件防火墻和硬件防火墻兩種。兩種防火墻的比較見表10-1。

2．防火墻的分類（2）按保護(hù)對(duì)象分類。按保護(hù)對(duì)象可將防火墻分為網(wǎng)絡(luò)防火墻和單機(jī)防火墻兩種。兩種防火墻的比較見表10-2。

（2）按保護(hù)對(duì)象分類。按保護(hù)對(duì)象可將防火墻分為網(wǎng)絡(luò)防火墻和單（3）按使用核心技術(shù)分類。按使用的核心技術(shù)可把防火墻分為包過(guò)濾防火墻（根據(jù)流經(jīng)防火墻的數(shù)據(jù)包頭信息，決定是否允許該數(shù)據(jù)包通過(guò)）、狀態(tài)檢測(cè)防火墻、應(yīng)用代理防火墻、復(fù)合型防火墻。

（3）按使用核心技術(shù)分類。按使用的核心技術(shù)可把防火墻分為包過(guò)3．防火墻的特性一個(gè)好的防火墻系統(tǒng)應(yīng)具有3方面的特性：所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻；只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻；防火墻本身不受各種攻擊的影響。4．防火墻的局限性防火墻能過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，能管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。但防火墻不是萬(wàn)能的，還存在一定程度的局限性：防火墻不能防范不經(jīng)過(guò)防火墻的攻擊，如撥號(hào)訪問(wèn)、內(nèi)部攻擊等；防火墻不能防范利用電子郵件夾帶的病毒等惡性程序；防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題；防火墻不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅；

3．防火墻的特性防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊；防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊；防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊，有些表面看來(lái)無(wú)害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊；防火墻不能防止本身安全漏洞的威脅。5．常用的防火墻實(shí)現(xiàn)策略（1）允許所有除明確拒絕之外的通信或服務(wù)。（2）拒絕所有除明確允許之外的通信或服務(wù)。

防火墻不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊；10.2.2防火墻系統(tǒng)結(jié)構(gòu)防火墻通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立一條安全邊界（SecurityPerimeter）。防火墻系統(tǒng)由兩個(gè)基本部件構(gòu)成：一是包過(guò)濾路由器（PacketFilteringRouter），二是應(yīng)用級(jí)網(wǎng)關(guān)（ApplicationGateway）。最簡(jiǎn)單的防火墻由一個(gè)包過(guò)濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成。根據(jù)組合方式的不同，防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。

10.2.2防火墻系統(tǒng)結(jié)構(gòu)1．包過(guò)濾路由器結(jié)構(gòu)（1）結(jié)構(gòu)。包過(guò)濾路由器結(jié)構(gòu)如圖10-2所示。（2）工作流程。包過(guò)濾防火墻的工作流程如圖10-3所示。

1．包過(guò)濾路由器結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)第10章--計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課件（3）性能分析。優(yōu)點(diǎn)：價(jià)格低廉，易于使用。缺點(diǎn)：過(guò)濾規(guī)則的創(chuàng)建非常重要，如果配置錯(cuò)誤則不但不會(huì)阻擋威脅，甚至還出現(xiàn)允許某些威脅通過(guò)的缺陷；不隱藏內(nèi)部網(wǎng)絡(luò)配置，任何被允許訪問(wèn)的用戶都可看到網(wǎng)絡(luò)的布局和結(jié)構(gòu)；對(duì)網(wǎng)絡(luò)的監(jiān)視和日志功能較弱。

（3）性能分析。2．應(yīng)用級(jí)網(wǎng)關(guān)（1）概念。應(yīng)用級(jí)網(wǎng)關(guān)是在每個(gè)需要保護(hù)的主機(jī)上放置高度專用的應(yīng)用軟件，實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。（2）結(jié)構(gòu)。應(yīng)用級(jí)網(wǎng)關(guān)防火墻的結(jié)構(gòu)如圖10-4所示。（3）性能分析。應(yīng)用級(jí)網(wǎng)關(guān)防火墻也是通過(guò)特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通過(guò)，允許內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)建立直接聯(lián)系，外部網(wǎng)絡(luò)用戶能直接了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，這給黑客的入侵和攻擊提供了機(jī)會(huì)。

2．應(yīng)用級(jí)網(wǎng)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)第10章--計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課件3．雙宿堡壘主機(jī)防火墻（1）堡壘主機(jī)。堡壘主機(jī)是處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)。堡壘主機(jī)上裝有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接外部網(wǎng)絡(luò)。（2）結(jié)構(gòu)。雙宿堡壘主機(jī)防火墻結(jié)構(gòu)如圖10-5所示。

3．雙宿堡壘主機(jī)防火墻（3）數(shù)據(jù)傳輸過(guò)程。雙宿堡壘主機(jī)防火墻數(shù)據(jù)傳輸過(guò)程如圖10-6所示。（4）性能分析。雙宿堡壘主機(jī)有兩個(gè)網(wǎng)絡(luò)接口，強(qiáng)行讓進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)通過(guò)保壘主機(jī)，避免了黑客繞過(guò)堡壘主機(jī)而直接進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能，即使受到攻擊，也只有堡壘主機(jī)遭到破壞，堡壘主機(jī)會(huì)記錄日志，有利于問(wèn)題的查找和系統(tǒng)的維護(hù)

（3）數(shù)據(jù)傳輸過(guò)程。雙宿堡壘主機(jī)防火墻數(shù)據(jù)傳輸過(guò)程如圖104．DMZ防火墻（1）什么是DMZ防火墻。DMZ（DemilitarizedZone，非軍事區(qū)）防火墻也稱為屏蔽子網(wǎng)（ScreenedSubnet）防火墻，是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)。（2）DMZ的防火墻結(jié)構(gòu)。DMZ防火墻結(jié)構(gòu)如圖10-7所示。（3）DMZ防火墻性能分析。

4．DMZ防火墻10.3

殺毒軟件的應(yīng)用10.3.1殺毒軟件介紹1．常用殺毒軟件介紹病毒具有很強(qiáng)的傳染性和破壞性，如果沒有適當(dāng)?shù)姆烙胧?/p>