《网络金融安全》PPT课件.ppt

引例 PayPal的结算监控系统 引例 PayPal的结算监控系统 PayPal公司成立于1999年 提供个人之间的网上资金转移服务 这是eBay的拍卖交易清算时使用最普遍的结算系统 有电子邮件的人也可以用PayPal进行资金转移 PayPal向企业用户只收取少量的费用 对个人用户免费 因此利润微薄 但却能迅速发展并赢得巨大的客户群 公司成功募集了2 11亿美元 其中一半是网络泡沫破灭以后募集的 前景一片光明 但是 在一次有组织的大规模欺诈攻击中 公司差点被毁掉 使公司免受灭顶之灾的功劳应归功于技术主管利夫钦的贡献 他为公司开发了一套结算监控系统 该系统持续监视所有访问 搜索当日发生的数以百万计的交易 寻找欺诈的迹象 发现可疑情况就立即通知管理人员 这个系统效果很不错 处理信用卡交易的公司在网上遭遇欺诈的比率 约1 13 一般要比传统店铺大 约O 70 但PayPal的欺诈率一直保持在0 50 以内 正是因为PayPal始终能够保持很低的欺诈率 所以PayPal能够在收取低于对手的交易费的情况下仍然盈利 行业观察家认为PayPal保持低欺诈率的能力还会使它成为银行在诸如信用卡处理等领域的可怕对手 本章重点 网络金融安全概述 网络金融安全需求 真实性需求 保密性需求 完整性需求 认可性的需求 有效性需求 可控性需求 网络金融安全概述 金融网络的安全隐患Internet的威胁 网络金融安全概述 金融网络的安全隐患Intranet的威胁 网络金融安全概述 金融网络的安全隐患黑客攻击的威胁 网络金融安全概述 金融网络的安全隐患网络病毒的威胁 网络金融安全概述 安全金融网络结构ISO安全体系ISO制定了5种标准的安全服务 网络金融安全概述 网络金融安全交易体系 加密技术 信息加密技术是一种主动的信息安全防范措施 它利用一定的加密算法 将那些要在公共通道 如Internet 传输的商务活动中的信息数据 称明文 先转换成为无意义的密文后 再通过公共通道传输 使非法用户 黑客 在获取通过网络传输的密文时 无法将它恢复成原文 以阻止他理解原始数据 从而确保数据的保密性 加密也就是使信息变异 加密技术 数据加密的一般模型 E m ke c D c kd m 加密技术 保密系统的基本要求系统即使达不到理论上是不可破的 也应当为实际上不可破的 系统的保密性不依赖于对加密体制或加密算法的保密 而依赖于密钥 加密和解密算法适用于所有密钥空间中的元素 系统便于实现和使用方便 加密技术 加密技术种类 加密技术 对称密钥加密技术也称密钥密码加密技术 私有密钥加密技术特征加密密钥和解密密钥相同 即 Ke Kd K 密钥K 加密技术 小王使用密钥进行解密 老李使用密钥进行加密 老李 小王 Py75c bn 9 fDe bDFaq xzjFr g5vMd rkgMs 密文 Internet 解密Decryption 加密Encryption 我们的五年计划是 我们的五年计划是 Ke Kd K 1 替换加密法例1 Caesar 恺撒 密码 m end c IRH K 4 加密技术 对称密钥加密体制常用算法 例2 单表置换密码 Key GUANGDONGGDCCHUMEIYAN m internet c MFRDPFDR 加密技术 2 转换加密法例3 m itcanallowstudentstogetcloseupviewsitcanallowstudentstogetcloseupviews C1 IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS C2 NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV 加密技术 3 数据加密标准 DES 算法DES DataEncryptionStandard 数据加密标准DES的加密运算法则 每次取明文中的连续64位数据 利用64位密钥 经过16次循环加密运算 将其变为64位的密文数据 较为常见的有二重DES和三重DES 其中二重DES是多重使用DES的最简单的形式 二重DES使用两个加密密钥对信息进行加密 解密时 以相反的顺序使用两个密钥进行解密 三重DES又有两个密钥的三重DES和三个密钥的三重DES 两个密钥的三重DES是使用两个密钥 进行三次加密 三个密钥的三重DES是使用三个密钥 对信息进行三次加密 加密技术 加密技术 对称密钥加密体制存在的问题1 贸易双方如何安全交换密钥的问题 虽然对称加密体制使加密和解密都比较快 问题是如何将密钥传给要保密的用户 因为 密钥的传送也属于信息的传递 一旦被黑客截获 原信息虽然已经被加密 在传送过程中也不再安全 2 当某一贸易方有n个贸易关系时 那么他就要维护n个专用密钥 即每把密钥对应一个贸易方 密钥空间为n n 1 3 无法鉴别贸易发起方和贸易最终方 4 用穷举搜索法破译DES已成为可能 5 密钥更新的周期长 为了解决DES免糟破译的问题 需要加长或常更密钥 加密技术 非对称密钥加密技术也称公开密钥加密技术 简称公钥加密技术特征加密密钥和解密密钥不同 即 Ke Kd 加密技术 公开密钥加密原理共用2个密钥 在数学上相关 称作密钥对 用密钥对中任何一个密钥加密 可以用另一个密钥解密 而且只能用此密钥对中的另一个密钥解密 公钥KP publickey 是可以公开的 它可以像电话号码一样注册公布私钥KS selfkey 是秘密的 私用的 由KP不能计算出KS Internet Py75c bn 9 fDe bDFaq xzjFr g5vMd rkgMs 我们的五年计划是 小王使用自己的私钥进行解密得到明文 老李使用对方的公钥对信息明文进行加密 老李A 密文 我们的五年计划是 解密Decryption 加密Encryption 小王的公钥 小王的私钥 小王B 公钥密码 非对称密钥 体制 就是加密密钥和解密密钥不同 即 Ke Kd 加密技术 具体步骤为 1 信息接收端首先产生一对密钥 其中一把作为私钥保存起来 另一把作为公钥 通过非保密方式传送给信息发送方 2 信息发送方使用接收到的公钥和公开密钥加密算法对发送的信息进行加密 产生密文 3 密文通过网络传送到信息接收方 4 信息接收方使用自己的私钥和公开密钥加密算法对密文进行解密 得到信息明文 A端C EKPB m B端m DKSB c DKSB EKPB m 加密技术 加密技术 RSA算法RSA算法是非对称密码体系中最著名的一个算法 它是在1979年由Rivest Shamir Adleman三个人提出的一种分组密码算法 从其提出到现在的二十多年间 它经受了各种安全测试的考验 被证明是目前最安全的非对称密码算法 RSA算法是建立在 大数分解和素数检则 的理论基础上的 两个大素数相乘在计算机上是容易实现的 但将该乘积分解为两个大素数因子的计算量却相当巨大 大到甚至在计算机上也不可能实现 迄今还没有找到一种算法来完成分解 在RSA算法中存在着一对互不相同但又密切相关的密钥 我们称之为公钥和私钥 它们的密钥长度都大于512位 从算法的原理上我们很难从其中的一个密钥去推算出另一个密钥 从而破解该系统 加密技术 1 随机选择两个秘密素数p与q2 计算公开的模数r p q3 计算秘密的欧拉函数 r p 1 q 1 4 选择一个与 r 互素的K K可以定义为秘密密钥SK或公开密钥PK5 用欧几里德算法计算模为 r 时 K的乘法逆元素 这个量规定为秘密密钥SK或公开密钥PK 它取决于第4步的选择 6 将明文M自乘PK次幂后按r取模进行加密运算 从而产生密文C7 将密文C自乘SK次幂后按r取模进行解密运算 从而产生明文M 这样就将密文恢复为原来的明文 混合加密技术 公钥 公钥 私钥 私钥 Internet 对称密钥 加密技术 加密技术 Internet Encryption Decryption m m c c Encryption DES Kpb Decryption Ksb DES A B Kpb publickeyofreceiverBKsb secretkeyofreceiverB 随机产生一个密钥DES 使用DES算法用对称密钥将明文原信息m加密获得密文c 使用接收方B的公开密钥Kpb将对称密钥DES加密 获得加密的DES密钥 将密文c EDES m 和加密的密钥 Ekpb DES 一起通过网络传送给接收方B 接收到密文信息后 用自己的私钥ksb解密加密的密钥Dksb Ekpb DES 而获得DES密钥 用密钥DES将密文c解密而最后获得明文原信息 m DDES c 认证技术 认证技术可以直接满足身份认证 信息完整性 不可否认和不可修改等多项网上交易的安全需求 较好地避免了网上交易面临的假冒 篡改 抵赖 伪造等种种威胁 认证的目的有两个 确认信息的发送者的身份 验证信息的完整性 即确认信息在传送或存储过程中未被篡改过 认证技术 问题的提出伪造 从一个假冒信息源向网络中插入消息 内容修改 消息内容被插入 删除 变换 修改 顺序修改 插入 删除或重组消息队列 时间修改 消息延迟或重放 否认 接收者否认收到过消息 发送者否认发送过消息 认证技术 数字摘要 数字摘要是利用数字指纹来保证信息完整性的一种手段 在传输信息时将文件的数字指纹加入文件一同送给接收方 接收方收到文件后 用相同的方法进行变换运算 若得到的结果与发送来的数字摘要码相同 则可断定文件未被篡改 信息摘要技术 1 杂凑函数杂凑函数 hashingfunction 是将任意长的数字串M映射 压缩 成一个较短的定长输出数字串H的函数 H h M 即H为M的杂凑值 杂凑码 h x 为杂凑函数 Hash函数有以下特征 已知Hash函数的输出 求解它的输入是困难的 即已知y Hash x 求x是困难的 已知x 计算y H x 构造x 使H x y 是困难的 y H x y的每一比特都与x的每一比特相关 并有高度敏感性 即每改变x的一比特 都将对y产生明显影响 认证技术 2 基于杂凑函数的数字摘要应用 1 C Ek M h m 2 C M Ek h m 认证技术 3 C M Eksa h m 4 C Ek M Eksa h m 认证技术 认证技术 数字签名 数字签名就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据 个人标记 而且这段数据是原消息数据加密转换生成的 用来证明消息是由发送者发来的 认证技术 数字签名数字签名的功能数字签名是重要的认证方法 能够解决如下网络通信中特有的安全问题 冒充 接收者能够验证发送方的身份 否认 发送者事后不能否认自己发送过文件 伪造 接收者不能伪造文件 声称它来自发送者 或篡改收到的消息 公证 第三者可以公证收发双方之间的消息但不能伪造这一过程 认证技术 例1 对发送的信息m进行整体签名 Ksa secretkeyofsenderAKpa publickeyofsenderA 例2 利用杂凑函数进行数字签名 数字签名 Hash算法 私人密钥加密 认证技术 Internet Decryption m Encryption Ksa Kpa SendingA ReceivingB compare m Hash H m Hash H m H m Digitalsignature Digitalsignature 信息发送方使用安全单向Hash函数对要发送的信息进行变换 生成信息摘要 发送方使用公开密钥加密算法和自己的私钥 对生成的信息摘要进行数字签名 发送方将签名的信息摘要和原信息一起发送给信息接收方 接收方使用与发送方相同的单向Hash函数对收到的信息进行变换 生成一个新的消息摘要 接收方使用公开密钥算法和发送方的公钥 解密接收到的信息摘要 将解密后的信息摘要和新生成的信息摘要对比 如果相同 则证明了信息在传输过程中没有被更改和遗漏 同时 证明发送方的身份的真实性 如果不同 则数字签名无效 不与接受 这通过上述数字指纹特性得到保证 认证技术 数字证书 数字证书也叫数字标识 是一段包含有用户身份信息 用户公钥信息以及证书认证中心数字签名的数据 数字证书用电子手段来证实一个用户的身份和对网络资源的访问权限 是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明 认证技术 数字证书数字证书的内容 数字证书内容一般包括 证书拥有者的姓名 证书拥有者的公钥 公钥的有效期 颁发数字证书的单位 颁发数字证书单位的数字签名 数字证书的序号 证书拥有者的数字签名 证书的版本号 认证技术 认证中心CA CertificationAuthorityCA是一个具有权威性和公证性 提供身份认证的第三方机构 它是交易双方都信任的组织实体 CA的基本功能 证书颁发 证书的更新 证书的查询 证书申请的查询 用户证书的查询 证书的作废 私钥泄密 过了有效期 上级CA对下级CA不能信赖 证书归档 管理作废证书和作废私钥 提供密钥托管和密钥恢复服务 CA认证机构的结构 认证技术 Root CA CA A CA B CA D CA C Customer1 Customer2 认证技术 数字时间戳 数字时间戳是用来证明信息的收发时间 是经过加密后形成的凭证文档 时间和签名一样都是证明电子商务交易文件的有效性内容 认证技术 数字时间戳 数字时间戳应当保证 信息文件加上去的时间戳与存储信息的物理媒介无关 对已加上数字时间戳的信息文件不能作任何改动和伪造 要想在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的 数字时间戳产生过程 用户 文件 数字签名 Hash 权威时间源 时间戳服务器 时间戳请求 经数字签名的时间戳反馈 认证技术 认证技术 用户首先对需要加时间戳的文件取其摘要 然后 将该摘要发送到提供数字时间戳服务的权威机构DTS DTS对原摘要加上时间 DTS对加了时间戳的摘要进行数字签名 最后发送给原用户 数字时间戳技术中要注意的几点 1 加了数字时间戳的信息包含的内容有 原信息的摘要 DTS为摘要添加进去的日期和时间 DTS的数字签名 2 数字时间戳上的时间是由认证单位DTS 第三方 加上去的 与书面文件签署的时间不一样 书面文件签署的时间是由签署人自己写上去的 3 数字时间戳中的时间是以DTS收到发送端发送过来的信息摘要的时间为依据 认证技术 安全协议 为了保证网上金融活动的安全 需要营造一个可信赖的金融活动环境 现实中 不同企业会采用不同的手段来实现 这些就在客观上要求有一种统一的标准来支持 为解决这个问题 已出现了各种各样的用于加强Internet通信安全性的协议 在网络中 安全措施可以在网络协议的任何一层采取 安全协议 网络体系架构 优点以用户为背景执行 更容易访问用户凭据对用户想保护的数据具有完整的访问权应用可以自由扩展应用程序对数据有着充分的理解缺点针对每个应用须设计一套安全机制 应用层安全应用层安全必须在终端主机上实施 安全协议 Internet安全性途径 传输层安全传输层安全只能在端系统上实现 优点不会强制要求每个应用都在安全方面作出相应改进缺点由于要取得用户背景 通常假定只有一名用户使用系统 与应用级安全类似 只能在端系统实现应用程序仍需要修改 才能要求传输层提供安全服务 网络层安全 优点密钥协商的开销被大大削减了需要改动的应用程序要少得多能很容易构建VPN缺点很难解决 抗抵赖 之类的问题 安全协议 IPSecIPSec InternetProtocolSecurity Internet协议安全性 是一种具有互操作性 高质量 基于加密的 适用于IPv4和IPv6的规范 IPSec能够对数据的存取控制 机密性 完整性和可用性提供保证 并能够防止重放攻击 IPSec的工作原理类似于包过滤防火墙 可以看作是对包过滤防火墙的一种扩展 当接收到一个IP数据包时 IPSec通过查询SD SecurityPolicyDatabase安全策略数据库 来决定对接收到的IP数据包的处理 安全协议 SSLSSL SecureSocketLayer 安全套接层协议安全套接层协议是由Netscape公司1994年设计开发的安全协议 主要用于服务器和浏览器之间的安全连接 该协议向基于TCP IP的客户 服务器应用程序提供了客户端和服务器的鉴别 数据完整性及信息机密性等安全措施 该协议通过在应用程序进行数据交换前交换SSL初始握手信息 来实现有关安全特性的审查 对于电子商务应用来说 使用SSL可保证信息的真实性 完整性和保密性 安全协议 SSL协议是运行在TCP IP协议之上而在其他高层协议之下的网络传输层协议 SSL采用了公开密钥和专有密钥两种加密 在建立连接过程中采用公开密钥 在会话过程中使用专有密钥 加密的类型和强度则在两端之间建立连接的过程中判断决定 安全协议 SSL运行过程 建立连接阶段 客户通过网络向服务商打招呼 服务商回应 交换密码阶段 客户与服务商之间交换双方认可的密码 会谈密码阶段 客户与服务商之间产生彼此交谈的会谈密码 检验阶段 检验服务商取得的密码 客户认证阶段 验证客户的可信度 结束阶段 客户与服务商之间相互交换结束信息 安全协议 基于SSL的电子商务交易电子商务交易过程中 由于有银行参与 按照SSL协议 客户购买的信息首先发往商家 商家再将信息转发银行 银行验证客户信息的合法性后 通知商家付款成功 商家再通知客户购买成功 将商品寄送客户 安全协议 SSL的使用 安全协议 安全协议 SETSET SecureElectronicTransaction 安全电子交易SET是一个通过开放网络 包括Internet 进行安全资金支付的技术标准 由VISA和MasterCard组织共同制定 1997年5月联合推出 由于它得到了IBM HP Microsoft Netscape等众多大公司的支持 因此已成为事实上的工业标准 并获得了IETF InternetEngineeringTaskForce 互联网工程工作小组 标准的认可 安全协议 SET的电子交易过程 首先由社会权威部门成立网络动态认证中心 所有希望今后在网络空间上从事商务活动的买卖双方以及双方的发卡机构和代理银行等都必须事先将自己的详细情况在网络动态认证中心进行注册登记 只有进行了注册登记的用户才能够安全地在网上从事支付活动 每个进行了登记的用户都会得到两个加密处理的钥匙 一个是公钥 一个是私钥 公钥用于提供对方解密有关的信息内容和加密回馈的信息内容 私钥用于自己解密得到的信息和加密发出的信息 通过网络动态认证的方式来实现在实际网上交易过程中确认对方的身份 以及动态地得到对方的公钥并进行上述加密过程 即交易双方在完成了商品供需信息的沟通和商贸磋商以后 系统立刻会通过网络自动地对双方的身份进行动态认证 同时使双方获得对方的各相关单位的公钥 最后才开始实质性的商品交易和支付过程 安全协议 SET处理流程 客户 商家 收单行 发卡行 1 支付初始化请求 2 支付初始化回应 3 支付请求 6 支付响应 认证 认证 认证 4 授权请求 5 授权响应 当客户决定要购买商家的商品并使用SET钱夹付钱时 商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱 SET钱夹则要求客户输入口令然后与商家服务器交换 握手 信息 使客户和商家相互确认 即客户确认商家被授权可以接受信用卡 同时商家也确认客户是一个合法的持卡人 客户发一报文 包括订单和支付命令 订单和支付命令中必须有客户的数字签名 同时利用双重签名技术保证商家看不到客户的账号信息 只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息 商家收到订单后 POS组织一个授权请求报文 其中包括客户的支付命令 发送给支付网关 支付网关是一个Internet服务器 是连接Internet和银行内部网络的接口 授权请求报文通过到达收单银行后 收单银行再到发卡银行确认 收单银行得到发卡银行的批准后 通过支付网关发给商家授权响应报文 商家发送订单确认信息给顾客 顾客端软件可记录交易日志 以备将来查询 同时商家给客户装运货物 或完成订购的服务 到此为止 一个购买过程已经结束 安全协议 SET安全支付原理 数字证书 安全协议 发送端A H MAC E kSA EKSA MAC DES E E m MUX kPB EDES m EKPB DES EKPB DES EDES m EKSA MAC C 随机产生一个对称密钥DES 用该密钥对要发送的信息m加密 EDES m 用哈希算法Hash对m处理 取其信息码 MAC H m 用发送端私钥对MAC加密 即数字签名 EKSA MAC 用接收端的公钥对DES加密 即数字信封 EKPB DES C EKPB DES EDES m EKSA MAC 安全协议 接收端B EKPB DES EDES m EKSA MAC D kSB C D D DES kPA m MAC 比较 H MAC 接收端用自己的私钥打开信封 取出密钥DES 用该密钥对收到的密文解密 DDES EDES m m 用发送端公钥验证数字签名 并获取MAC 用哈希算法Hash对m 处理 取其息码 MAC H m 对比MAC与MAC 如果相同 表示所收到的m 确实是mifMAC MACthanm m SSL还有一个很大的缺点 就是无法保证商户看不到持卡人的信用卡账户等信息 在持卡人与商户建立了安全连接后 持卡人可以安全地将信用卡号等敏感信息传送给商户 但是这些信息到了商户哪儿 都变成了明文 而SET协议则在这方面采取了强有力的措施 用网关的公开密钥来加密持卡人的敏感信息 并采用双重签名等方法 保证商户无法看到持卡人传送给网关的信息 SSL协议中 商户也有数字证书 可以向持卡人证明自己是一家真实存在的商户 有些系统也向持卡人发放证书 但这证书是发给浏览器的 而不是像SET那样 与信用卡绑在一起 SET的方法更加安全 而SSL的方法则比较简单 当今市场上已有许多SSL相关产品及工具 而有关SET的相关产品却相对较少 也不够成熟 SSL已被大部分Web浏览器和Web服务器所内置 比较容易被接受 而SET要求在银行建立支付网关 在商户的Web服务器上安装商户软件 持卡人的个人计算机上安装电子钱包软件等 这些成了SET被广泛接受的阻力 另外 SET还要求必须向交易各方发放数字证书 这也成为阻碍之一 所有这些使得使用SET要比使用SSL麻烦得多 安全协议 SSL与SET比较 出现时间 加密体制 运行层次 应用市场 数字证书 其它 SSL与SET两种协议在网络中的层次不一样 SSL是基于传输层的协议 而SET则是基于应用层的协议 SSL在建立了通讯双方的安全通道之后 所有传输的信息都会被加密 而SET则会有选择地加密一部分敏感信息 SSL与SET采用的都是公开密钥加密法 在这一点上 两者是一致的 从对信息传输的保密上来说 两者的功能是相同的 都能保证信息在传输过程中的保密性 在SET出现之前 网上交易就已经有了 所用安全措施主要是SSL协议 到目前为止 还有许多网上交易系统采用SSL协议 防火墙的概念防火墙是指一种逻辑装置 用来保护内部的网络不受来自外界的侵害 也就是在内部网与外部网之间的界面上构造一个保护层 并强制所有的连接都必须经过此保护层 在此进行检查和连接 只有被授权的通信才能通过此保护层 从而保护内部网资源免遭非法入侵 防火墙图示 防火墙技术 1 企业内联网 2 部门子网 3 分公司网络 防火墙技术 防火墙的功能及特点防火墙主要用于实现网络路由的安全性 网络路由的安全性包括两个方面 限制外部网对内部网的访问 从而保护内部网特定资源免受非法侵犯 限制内部网对外部网的访问 主要是针对一些不健康信息及敏感信息的访问防火墙具有以下优点 保护那些易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 对网络访问进行记录和统计 防火墙技术 防火墙的安全控制模型 没有被列为允许访问的服务都是被禁止的这种控制模型需要确定所有可以被提供的服务以及它们的安全特性 然后 开放这些服务 并将所有其它未被列入的服务排除在外 禁止访问 没有被列为禁止访问的服务都是被允许的这种防火墙模型与上种模型正好相反 它需要确定那些被认为是不安全的服务 禁止其访问 而其它服务则被认为是安全的 允许访问 防火墙技术 防火墙的工作原理 数据包过滤 PacketFilter 数据包过滤是利用路由器里安装防火墙软件方式来保护网络内部系统 这种包过滤实际上是在网络层中对数据包实施有选择的通过 依据系统内事先设定的过滤逻辑规则 检查数据流中每个数据包 根据数据包的源 目的地址 所用的IP端口等因素来确定是否允许该数据包通过 防火墙技术 数据包过滤防火墙实现原理图 内部受保护的网络 外层网络 防火墙技术 应用网关 ApplicationGateways 应用网关是在网络应用层上建立协议过滤和转发功能 它针对特定的网络应用协议 使用指定的数据过滤逻辑 并在过滤的同时 对数据包进行必须的分析 登记和统计 形成报告 实际中的应用网关通常安装在专用工作站系统上 防火墙技术 应用网关防火墙实现原理示意 外层网络 内部受保护的网络 防火墙技术 3 代理服务 ProxyService 代理服务使用一个客户程序与特定的中间结点 代理服务器 即防火墙 建立连接 然后中间结点与服务器进行实际连接 代理服务在应用层上进行 防火墙代理 访问控制 客户代理 服务器代理 服务器 客户 请求 应答 请求转发 转发应答 代理服务器防火墙数据控制及传输示意 防火墙技术 防火墙实现方式 1 IP包过滤路由器IP包过滤路由器 IPPacketFilteringRouter 是基于数据包过滤技术上的防火墙 它在路由器里安装防火墙软件 这个路由器位于内部网络和外部网络的连接处 该软件对于每个试图通过的IP包 都要和安全访问控制表进行比较 以确定该包是否可以通过防火墙 特点 安全模式为 没有被列为禁止访问的服务都是被允许的 使用存取表单 access list 来过滤数据包 防火墙技术 Internet IPPacketFilteringRouter 基于IP包过滤路由器防火墙体系图示 防火墙技术 2 双穴防范网关双穴防范网关 DualHomedGateway 也称堡垒主机体系结构防火墙 它是在被保护网络 内部网 和Internet网络之间设置一个系