入侵检测与防御技术研究毕业论文.doc

XXXXXXX毕业论文（设计）毕业设计(论文)题目：入侵检测与防御技术研究 摘 要入侵检测系统是信息安全领域研究的热点问题。在阐述入侵检测系统概念和类型的基础上，指出了当前入侵检测系统的优点及局限性。神经网络 、遗传算法、模糊逻辑、免疫原理 、机器学习、专家系统、数据挖掘、Agent等智能化方法是解决IDS局限性的有效方法。介绍并着重分析了2种基于智能方法的IDS，提出了IDS在今后发展过程中需要完善的问题。防御技术是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络被认为是不安全和不可信赖的关键词：IDS;入侵检测专家系统;人工神经网络;异常检测;智能体；防御技术18ABSTRACTIntrusion Detection System is a hot research field of information security issues. In explainingn the concept and types of intrusion detection system based on intrusion detection system that the current advantages and limitations. Neural networks, genetic algorithms, fuzzy logic, immune theory, machine learning, expert Introduced and analyzed the two kinds of intelligent methods based IDS, IDS proposed development in the future issues that need to improve.Defense technology is built on the inside and outside the network boundary filtering block mechanism, it considers the internal network is safe and reliableLai, while the external network is considered unsafe and unreliable【Keywords】: IDS; Intrusion Detection Expert System; artificial neural networks; anomaly detection; agent; defense technology目录摘 要IABSTRACTII目录III前 言1第一章 入侵检测检测的发展历程和定义21.1 发展历程21.2 入侵检测的定义2第二章 入侵检测的关键技术42.1基于行为的入侵检测技术422 基于知识的入侵检测技术423基于其它方法的入侵检测技术4第三章 入侵检测系统模型、分类和IDS53.1 入侵检测系统模型53.2 入侵检测系统分类53.3 IDS63.3.1 IDS的评价标准63.3.2 IDS的发展趋势7第四章 防御技术74.1 防火墙技术74.2 防火墙的分类84.3 典型防火墙的体系结构9结 束 语13致 谢 信14参 考 文 献15前 言我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。第一章 入侵检测检测的发展历程和定义1.1 发展历程1980年4月，JAMES P.A.为美国空军做了一份题为“Computer Security Threat Monitoring and Surveillance”的技术报告。该报告提出问题种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为3种，最重要的是它提出了利用审计数据来监视入侵活动的思想，即入侵检测系统的思想1。1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CLS公司计算机科学实验室的Peter Neumann研究出了一个名为入侵检测专家系统IDES (Intrusion Detection Expert Systems)的实时入侵检测系统模型2。该模型的六部件理论为构建IDS提供了一个通用框架。1988年，Teresa Lunt 等人针对当时爆发的莫里斯蠕虫，基于Dorothy Denning提出的入侵检测模型3开发出了用于检测单机上入侵企图的入侵检测专家系统IDS。1995年又推出了它的改进版本，名为下一代入侵检测专家系统NIDES（Next-generation Intrusion Detection Expert System）4。1989年，加州大学戴维斯分校的Todd Heberlein 写了一篇题为A Network Security Monitor的论文，文中提出了用监控器用于捕获TCP/IP分组报文，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。 时至今日，IDS的发展大致经历了3个阶段：第一代IDS包括基于主机日志分析、模式匹配，这个阶段的IDS基本是试验性的系统。第二代IDS出现在于20世纪90年代中期，它主要采用网络数据包截获，主机网络数据分析和审计数据分析等技术。代表性的产品有早期的ISS Real Secure(V6.0之前)、Snort等。国内的绝大多数IDS厂家的产品都属于这一类。第三代IDS是近几年才出现的，其特点是采用协议分析、行为分析等技术。协议分析技术的采用极大减小了计算量，减少了误报率；行为异常分析技术的采用赋予了第三代IDS系统识别未知攻击的能力。第三代IDS可以分为基于异常检测的IDS和基于误用(滥用)检测的IDS两大类。异常检测IDS是根据异常行为和计算机资源的使用情况来判断的，其代表性产品有Network ICE(2001年并入ISS)、Rea1Secure(V7.0)、NFR(v2.0)等。1.2 入侵检测的定义1980年，James P.Anderson 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透，内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念2并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（IDES），1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM(Network Security Monitor)。自此之后，入侵检测系统才真正发展起来。Anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使统不可靠或无法使用的企图。而入侵检测的定义为4：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括3：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测的目的：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大；第二章 入侵检测的关键技术2.1基于行为的入侵检测技术基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。它通过统计网络的日常行为建立一个模型，该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。为解决误报警问题，需要根据网络的实际使用情况对各种设定的统计值进行不断的调节。 基于行为的入侵检测技术的优点在干它可以检测到当前不为人知的入侵攻击方法。22 基于知识的入侵检测技术基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生川。这些标志主要包括:对一个敏感主机的登录失败次数；对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。23基于其它方法的入侵检测技术基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。除专家系统、数据挖掘技术之外，还有神经网络，模糊系统，遗传算法等。但是这些方法都有一的缺点。第三章 入侵检测系统模型、分类和IDS3.1 入侵检测系统模型美国斯坦福国际研究所（SRI）的D.E.Denning于1986年首次提出一种入侵检测模型2，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（Common Intrusion Detection Framework简称CIDF）组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型（一般称为CIDF模型）。它将一个入侵检测系统分为以下四个组件：事件产生器(Event Generators)事件分析器(Event analyzers)响应单元(Response units)事件数据库(Event databases)它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。3.2 入侵检测系统分类现有的IDS的分类，大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题，在这里采用五类标准：控制策略、同步技术、信息源、分析方法、响应方式。按照控制策略分类 控制策略描述了IDS的各元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中，监控和探测是由本地的一个控制点控制，层次似的将报告发向一个或多个中心站。在全分布式IDS中，监控和探测是使用一种叫“代理”的方法，代理进行分析并做出响应决策。按照同步技术分类同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中，事件一发生，信息源就传给分析引擎，并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。按照信息源分类按照信息源分类是目前最通用的划分方法，它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。按照分析方法分类按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。按照响应方式分类按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击者采取行动（这是一种不被推荐的做法，因为行为有点过激）。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。 3.3 IDS3.3.1 IDS的评价标准目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面5：（1）准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。（2）性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。（3）完整性。完整性是指IDS能检测出所有的攻击。（4）故障容错（fault tolerance）。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。（5）自身抵抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。（6）及时性（Timeliness）。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。除了上述几个主要方面，还应该考虑以下几个方面：（1）IDS运行时，额外的计算机资源的开销；（2）误警报率漏警报率的程度；（3）适应性和扩展性；（4）灵活性；（5）管理的开销；（6）是否便于使用和配置。3.3.2 IDS的发展趋势随着入侵检测技术的发展，成型的产品已陆续应用到实践中。入侵检测系统的典型代表是（国际互联网安全系统公司）公司的RealSecure。目前较为著名的商用入侵检测产品还有：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司Sessionwall3等。国内的该类产品较少，但发展很快，已有总参北方所、中科网威、启明星辰等公司推出产品。人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：（1） 大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。（2） 宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。（3）入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。（4）与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。如果选中的是位于导航结构最底层的网页（在其下没有子网页），将弹出“删除网页”对话框，若只需从导航结构中删除网页，可选择“将本网页从导航结构中删除”单选项，并单击“确定”按钮。 如果选择的是导航结构中的中层网页（其中包含子网页，其本身是另一个网页的子网页），将弹出“删除网页”对话框。单击“确定”按钮。 选择的是当前站点的主页，则会弹出“删除网页”对话框。其中只有一个选项，单击“确定”按钮即可。第四章 防御技术4.1 防火墙技术所谓防火墙(firewall)是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止未经授权地访问被保护的内部网络，通过边界控制强化内部网络的安全策略。它的实现有多种形式，但原理很简单，可以把它想象为一对开关，其中一个用来阻止传输，另一个用来允许传输。防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。在网络层，防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层，这个连接可以被端到端的加密，也就是进程到进程的加密。在应用层，它可以进行用户级的身份认证、日志记录和账号管理。因此防火墙技术简单说就是一套身份认证、加密、数字签名和内容检查集成一体的安全防范措施，所有来自Internet的传输信息和内部网络发出的传输信息都要过防火墙，由防火墙进行分析，以确保它们符合站点设定的安全策略，以提供一种内部节点或网络与Internet的安全屏障。4.2 防火墙的分类防火墙技术经历了包过滤、应用代理网关和状态检测3个发展阶段。包过滤型的防火墙通常直接转发报文，它对用户完全透明，速度较快；应用代理网关防火墙是通过服务器建立连接的，可以有更强的身份验证和注册功能；状态检测防火墙是在其核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。(1)包过滤型防火墙包过滤防火墙一般有一个包检查块(通常称为包过滤器)，数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层（即TCP和IP层)之间。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包。包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。由于只对数据包的IP地址、TCPUDP协议和端口进行分析，如果一条规则阻止包传输或接收，则此包便不被允许通过，否则该包可以被继续处理。包过滤、防火墙的处理速度较快，并且易于配置。包过滤防火墙的优点：防火墙对每条传人和传出网络的包实行低水平控制；每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等；防火墙可以识别和丢弃带欺骗性源IP地址的包；包过滤防火墙是两个网络之间访问的惟一通道；包过滤通常被包含在路由器数据包中，所以不必用额外的系统来处理这个特征。包过滤防火墙缺点：不能防范黑客攻击，因为网管不可能区分出可信网络与不可信网络的界限；不支持应用层协议，因为它不认识数据包中的应用层协议；访问控制粒度太粗糙，不能处理新的安全威胁。(2)应用代理网关防火墙应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力较强。其缺点：难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理地配置安全策略，由于配置烦琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性，但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器及业务程序等，就需要建立一个个服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。总之，应用代理防火墙不能支持大规模的并发连接，对速度要求高的行业不能使用这类防火墙。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。(3)状态检测技术防火墙 状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高。Internet上使用的是TCPIP协议，TCP协议的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”3次握手。例如最常用到的Web浏览、文件下载、收发邮件等都要经过这3次握手。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度，采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是一些规则复杂的大型网络。4.3 典型防火墙的体系结构一个防火墙系统通常是由过滤路由器和代理服务器组成。过滤路由器是一个多端口的IP路由器，它能够拦截和检查所有出站和进站的数据，它首先打开IP包，取出包头，根据包头的信息(如IP源地址，IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析，阻止或允许包传输或接收)，并进行记录。代理服务防火墙使用了与包过滤器不同的方法。代理服务器使用一个客户程序与特定的中间节点(防火墙)连接，然后中间节点与期望的服务器进行实际连接。与包过滤器所不同的是，使用这种类型的防火墙，内部与外部网络之间不存在直接连接，因此，即使防火墙发生了问题，外部网络也无法获得与被保护的网络的连接。代理提供了详细的注册及审计功能，这大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能。它是基于特定协议的，如FTP、HTTP等，为了通过代理支持一个新的协议，必须改进代理服务器以适应新协议。典型防火墙的体系结构包括过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网等类型。(1)包过滤路由器包过滤路由器又称屏蔽路由器，是最简单也是最常用的防火墙。它一般作用在网络层，对进出内部网络的所有信息进行分析，并按照一定的安全策略(过滤规则)对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。包过滤型防火墙往往可用一台过滤路由器来实现，对所接收的每个数据包做出允许或拒绝的决定，如图所示。采用包过滤路由器的防火墙优点在于速度快、实现方便；缺点是安全性能差、兼容性差(不同操作系统环境下。TCP和LIDP端口号所代表的应用服务协议类型有所不同)、没有或只有较少的日志记录能力。（2)双宿主主机双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机(又称堡垒主机)构成的，每一个接口都连接在物理和逻辑上分离的不同的网段，代理服务器软件在双宿主主机上运行，如图所示。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外网络之间的1P数据流被双宿主主机完全切断。结构上采用主机取代路由器执行安全控制功能，受保护网除了看到堡垒主机外，不能看到其他任何系统。同时堡垒主机不转发TCPIP通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。双宿主主机防火墙的优势是：堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等，有利于网络管理员的El后检查；其缺点是：由于隔开内部网和外部因特网之间只有一道屏障，若入侵者得到了双宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双宿主主机首先要禁止网络层的路由功能，还应具有强大的身份认证系统，尽量减少防火墙上用户的账户数目。（3）屏蔽主机网关屏蔽主机网关防火墙是由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤；应用网关的作用是代理服务，即在内部网络与外部网络之间建立两道安全屏障。屏蔽主机网关防火墙的结构如图所示。对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是允许直接访问Internet，还是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，可以使其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。屏蔽主机网关防火墙的优点是安全等级较高，可以提供公开的信息服务的服务器。如web，FTP等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。缺点是配置工作复杂。过滤路由器是否正确配置是这种防火墙安全与否的关键，过滤路由器的路由表应当受到严格的保护，如果遭到破坏，则数据包就不会被路由到堡垒主机上。（4）被屏蔽子网被屏蔽子网防火墙系统是由两个包过滤路由器和一个应用网关(堡垒主机)组成。包过滤路由器分别位于周边网与内部网、周边网与外部网之间，而应用网关居于两个包过滤路由器的中间，形成了一个“非军事区”(DMZ)，建立了一个极安全的防火墙系统。如图所示。 对于进来的信息，外面的这个路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击)，并管理Internet到DMZ网络的访问，它只允许外部系统访问堡垒主机(还可能有信息服务器)；里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责管理DMZ到内部网络的访问，对于去往Internet的数据包，里面的路由器管理内部网络到DMZ网络的访问，它允许内部系统只访问堡垒主机(还可能有信息服务器)；外面的路由器上的过滤规则要求使用代理服务(只接受来自堡垒主机的去往Internet的数据包)。 被屏蔽子网防火墙系统具有下列优点：1入侵者必须突破3个不同的设备(外部路由器、堡垒主机、内部路由器)才能侵著内部网络。2由于外部路由