《网络安全》PPT课件

第11章网络安全,本章内容提要,计算机网络安全概述数据加密技术密钥的分配身份认证与访问控制网络层安全协议族IPsec防火墙与入侵检测技术,网络安全基本概念,从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术与原理，都是网络安全所要研究的领域。,网络安全是指网络系统的硬件、软件及其系统中的数据的安全，它体现在网络信息的存储、传输和使用过程中。它的保护内容包括：（1）保护服务、资源和信息；（2）保护结点和用户；（3）保护网络私有性。,计算机网络通信面临的威胁,（1）截获(interception)（2）中断(interruption)（3）篡改(nodification)（4）伪造(fabrication)（5）重发（Repeat）,主动攻击和被动攻击,被动攻击攻击者只是观察和分析某一协议数据单元PDU而不干扰信息流。攻击者通过分析PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，一边了解所交换的数据的性质。这种被动攻击又称为通信量分析。主动攻击攻击者对某个连接中通过的PDU进行各种处理。如有选择地更改、删除、延迟这些PDU（包括记录和复制它们）。还可在将以前录下的PDU插入这个连接（即重放攻击），或将可合成的或伪造的PDU送入到一个连接中去。,主动攻击的类型,更改报文流拒绝报文服务攻击者通过删除通过某一连接的所有PDU，或者将双方或单方的所有PDU加以延迟。网站的服务器一直处于“忙”的状态，因而拒绝向发出请求的客户提供服务。这种攻击方式称为拒绝服务DoS（DenialofService）。若从因特网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务DdoS（DistributedDenialService）。伪造连接初始化攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。,网络安全的特征,（1）保密性（2）完整性（3）可用性（4）可控性（5）可审查性（6）可保护性,网络安全机制,访问控制机制、加密机制、认证交换机制、数字签名机制、业务流分析机制、路由控制机制。,美国网络安全标准,美国国防部所属的国家计算机安全中心（NCSC）在20世纪90年代提出了网络安全性标准（DoD5200.28-STD），即可信任计算机标准评估准则（TrustedComputerStandardsEvaluationCriteria），也叫橘黄皮书（OrangeBook）。TCSEC将网络安全性等级划分为A、B、C、D等4类共七级，其中，A类安全等级最高，D类安全等级最低。,1.D1级D1级叫做酌情安全保护，是可用的最低安全形式。该标准说明整个系统都是不可信任的。2.C1级C级有两个安全子级别：C1和C2，或称自选安全保护（DiscretionarySecurityProtection）系统，它描述了一个UNIX系统上可用的安全级别。对硬件来说，存在某种程度的保护，因为它不再那么容易受到损害，尽管这种可能性存在。用户必须通过用户注册名和口令让系统识别自己。用这种方式来确定每个用户对程序和信息拥有什么样的访问权限。3.C2级除C1包含的特征外，C2级还包括其它的创建受控访问环境（Controlled-accessenvironment）的安全特性。该环境具有进一步限制用户执行某些命令或访问某些文件的能力。这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审核。审核可用来跟踪记录所有与安全有关的事件，比如哪些是由系统管理员执行的活动。,TCSEC的网络安全性等级,4.B1级B级又称作被标签的安全性保护，分为三个子级别。B1级或称标准安全保护（LabeledSecurityProtection），是支持多级安全的第一个级别，这一级说明了一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。5.B2级B2级也称为结构保护（StructuredProtection），要求计算机系统中所有对象都加标签，而且给设备分配单个或多个安全级别。6.B3级别B3级或称安全域级别（SecurityDomain），使用安装硬件的办法来加强域，该级别也要求用户终端通过一条可信任途径连接到系统上。7.A级A级或称验证设计，是当前橘黄皮书中的最高级别，它包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级包含了较低级别的所有特性。其设计必须是从数学上经过验证的，而且必须进行对秘密通道和可信任分布的分析。,我国安全标准简介,由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999计算机信息系统安全保护等级划分准则已经正式颁布。该准则将信息系统安全分为5个等级，分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等。,11.2数据加密技术,密码学指的是将报文转换成安全的、免受攻击的形式。它由密码编码学和密码分析学组成，密码编码学是关于密码体制的设计学，密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。明文与密文在进行转换之前，原始的报文称为明文。转换后的报文成为密文。加密算法将明文转换为密文；解密算法将密文转换回明文。加密与解密算法合称为密码算法。密钥是密码算法中参与运算的数值（或数值集）。,数据加密的一般模型,加密算法分类,加密算法分为两类：对称密钥（或秘密密钥）加密算法非对称（公钥）加密算法。,对称密钥密码学,非对称密钥密码学,11.2.3对称密钥密码学,传统加密算法是面向字符的传统对称密钥加密算法分成两大类：替换加密算法换位加密算法,替换加密算法,替代密码就是将明文中的每一个字符替换为密文中的另外一个字符。分为单字母替代单字母替代密码，就是明文的每一个字符用相应的密文字符代替。多字母替代多字母替代密码是将明文中的一个字符的每次出现采用不同的字符替换。,表11-1凯撒密码替代表ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC左位移了3个字母,密钥为3明文为NETWORKSECURITY，密文为QHWZRUNVHFXULWB。此类移位加密算法的密钥值在025之间，利用暴力攻击法非常容易攻破。,单字母替代算法,多字母替代算法,表11-2多字母替换的密码集ABCDEFGHIGKLMNOPQRSTUVWXYZ1FGHIJKLMNOPQRSTUVWXYZEDCBA2JKLMNOPQRSTUVWXYZEDCBAFGHI3PQRSTUVWXYZEDCBAFGHIJKLMNO明文被分为多个字符组，每组包含有三个字符，表中1，2，3表示字符所在位置，同一字符在组的不同位置则被替换为不同的字母。给定明文：HELLOWORLD，首先移除空格，分组后为：HELLOWORLD对应密文为：MNEQXLTEEI明文中第一个l被替换为E，而第二个l被替换为Q，第三个l被替换为E。多字母加密算法隐藏了字符的自然出现频度，利于抗统计分析。,置换加密算法,置换加密算法亦称换位加密算法。在置换加密算法中，字符不被替换，而只是改变字符的位置。它的思想是将明文分为固定长度的字符组，将字符组中的字符位置进行重新排列，而每个字符本身并不改变。,例：一个四字符分组的密钥置换密钥明文3142密文1234加密时将处于第3位的字符移到第1位，第一位的字符移到第2位，以此类推。给定明文：helloeverybody，移除空格，分组后为：helloeverybody在最后一个分组末尾添加伪字符z，得到helloeverybodyzz对应的密文为：LHLEVOEEBROYZDZY,现代加密算法,传统的加密算法是面向字符的，但现在加密的信息不仅仅是文本，还包含了图片，音频以及视频数据，这就要求加密算法必须要面向位。现代加密算法面向位的加密算法。现代加密算法：XOR加密算法旋转加密算法替换加密算法：S-盒置换加密算法：P-盒,数据加密标准(DES),DES是一个复杂的分组加密算法,DES原理,DES首先将明文进行分组，每一个组长为64bits，然后对每一个64bits二进制数据进行加密处理，产生一组64bits密文数据，最后将各组密文串接起来，即得出整个密文。DES使用的密钥为64bits（56bits为实际密钥，8bits用于奇偶校验）。,DES结构图,Ki是48bits密钥，从原来的64bits密钥经过若干次变换而得出，每次迭代密钥不同，模块算法相同，迭代模块算法如图11-6所示,三重DES,非对称密钥密码学,非对称密钥密码学又称为公开密钥密码学,就是使用两个不同的加密密钥与解密密钥的密码体制，这两个密钥一个称为私钥，由某一用户保存，一个称为公钥，宣布为公开的。,RSA公开密钥密码算法,它使用两个数字：e和d，作为公钥与私钥。,RSA密码系统原理,RSA密码系统的安全性基于大数分解的困难性。根据数论，寻求一对大素数的乘积很容易，但要对这个乘积进行因式分解则非常困难，因此，可以把一对大素数的乘积公开作为公钥，而把素数作为私钥，从而从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积。,RSA的密码选择,用户B使用以下的步骤选择私钥与公钥：1.选择两个不同的大素数p和q(一般都为100位左右的十进制数字)，计算乘积，得。2.计算另一个整数(n)3.随机取一整数e，1e(n)，且e和(n)互素。此时可求得d以满足：ed=1mod(n)，则可以得到d=e1mod对外公布e和n作为公钥，我们记为e,n，保留d和n作为私钥,记为d,n。加密和解密RSA加密消息m时，(这里假设m是以十进制表示的)，首先将消息分成大小合适的数据分组，假设为X，然后对分组分别进行加密。每个分组的大小应该比n小。设Y为明文分组加密后的密文，则加密公式和解密公式为加密时：解密时：,RSA例,选择两个素数，p=7，q=17，计算出,计算出,在1到96中间选取一个与96互素的数e，我们选e=5。根据5d=1mod96可解出d，d=77,因为ed=577=385=496+1=1mod96。于是，公钥为(e,n)=5,119,而密钥为(d,n)77,119。,加密过程,首先将明文划分为一个个分组，使得每个明文分组的值不超过n，即不超过119。假设明文X=19。加密：密文，即明文19对应的密文为66。解密：先计算。再除以119，得出商为1.06，余数为19。即明文,对于RSA算法，同样的明文映射为同样的密文。RSA体制的保密性在于对大数进行因数分解很花时间，但其并不是不可攻破的。,数字签名,数字签名可以用来证明消息确实是由发送者签发的，而且，当数字签名用于存储的数据或程序时，可以用来验证数据或程序的完整性。,数字签名应满足的条件,签名是可以被确认的。签名是不可伪造的。签名不可重用。签名是不可抵赖的。第三方可以确认收发双方之间的消息传送但不能篡改消息。,一个数字签名方案一般由两部分组成：签名算法和验证算法。签名文档是用发送方的私钥加密，而验证一个文档则用发送方的公钥进行签名。在数字签名中。使用发送方的私钥与公钥。发送方用他的私钥，而接收方用发送方的公钥。注意：数字签名方案没有提供保密的通信。如果需要保密，则必须用前面的对称密钥算法和非对称密钥加密算法加密。,11.3密钥分配,11.3.1对称密钥的分发11.3.2非对称密钥的分发,对称密钥的分发,密钥分发中心（KeyDistributionCenter，KDC）的可信任方。KDC与每个成员之间建立一个私钥。,A向B发送保密的过程,A向KDC发送一个请求，表明她需要和B之间的会话（暂时的）密钥；KDC向B通告A的请求；如果B同意，KDC创建一个会话密钥用于在A和B两者之间应用。会话密钥是KDC的两个成员之间保密通信使用的密钥。双方之间的对称会话密钥仅使用一次。,会话密钥的创建过程,非对称密钥的分发,设计一个可信任中心保存公钥的目录，记录用户及其对应的公钥，这个目录像电话薄一样是动态更新的。可信任中心要求每个用户在中心注册并检验身份。每个用户可选取一个私钥/公钥对，保留私钥并将公钥插入目录。,非对称密钥分发认证中心,分发过程,B向CA请求发布公钥，CA核实B的身份，然后向B索要公钥并将其写在证书上。为防止证书被伪造，CA根据证书生产一份摘要并用它的密钥对摘要加密。现在无论是CA或B都可以明文形式发布此证书和加密后的报文摘要。任何人想要得到B的公钥，都可以下载证书和加密后的报文摘要，根据证书生成摘要，并使用CA的公钥对加密的摘要进行解密。对两份摘要进行比较，如果它们相等，就说明证书是有效的，不是被人冒充的。,11.4身份认证与访问控制,身份认证即身份识别与验证(IdentificationandAuthentication，简称I&A)，它是让一个实体证明另一个实体身份的一种技术。一个实体可以是人、进程、客户机或服务器需要证明身份的实体称为申请者试图证明申请者身份的一方称为验证者。访问控制是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制。访问控制的目的是为了保证网络资源受控、合法地使用。用户只能根据自己的权限大小来访问系统资源，不能越权访问。,身份认证,身份认证中，验证者必须精确验证申请者的身份。鉴别身份采用的方法有：用户所知，如口令、个人识别号码(PIN)、密钥等；用户所有，如身份证、护照、驾驶证、信用卡或智能卡等；用户固有，如生物特征：声音、指纹、脸型、视网膜图样，或笔迹、签名等。,口令,口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配，该用户就可得到授权并获得访问权。缺点：安全性不强改进：一种方法是将口令的散列存储为口令文件，由于散列函数是单向的，即使得到了口令文件也几乎不可能猜测出口令值。另一种方法是两种认证的技术的组合，如ATM机卡与PIN（个人识别号）结合使用，ATM机卡属于“用户所有”，PIN属于“用户所知”。基于用户固有的生物特征识别的身份认证，如指纹,询问-应答,一种实时身份验证方法，这种认证方式中，申请者不用向验证者出示密码。询问-应答分类使用对称密钥加密使用非对称密钥加密使用数字签名,使用对称密钥加密,申请者与验证者共享一个秘密密钥。执行过程首先，申请者向验证者发出验证请求，然后，验证者随机选取一个瞬时值发给申请者，最后，申请者用他与验证者的共享密钥加密，并向验证者发送其结果。验证者解密该报文，如果解密得到的瞬时值与验证者发出的瞬时值相同，则允许申请者访问。,使用非对称密钥加密,此时的密码必需是申请者的私钥，申请者要向每个人公布与她自己私钥有关的可用的公钥。验证者用申请者的公钥加密询问，然后申请者用她的私钥解密，传回解密后报文，其对询问的应答是解密后的询问。执行过程图：,使用数字签名,申请者使用他自己的私钥签名，而不是用私钥解密。,第三方认证,所谓第三方认证就是在相互不认识的实体之间提供安全通信。最早实现第三方认证的是Kerberos认证系统，Kerberos是一个认证系统同时又是一个KDC，最初是在麻省理工学院开发的，Kerberos的设计目标就是提供一种安全、可靠、透明、可伸缩的认证服务。,Kerberos,Kerbero身份认证进程的处理过程有六个步骤,步骤1：用户A用明文向AS发送她的请求，使用的是她注册的ID。步骤2：AS发送一份用用户A的对称密钥KA加密过的报文。报文包括两项：一份A用来与TGS联系是所使用的会话密钥KS和一张票证。该票证是用TGS的对称密钥KTG来加密的。A并不知道KA，报文到达时，A输入他的口令，如果口令正确，由口令和相应的算法一起生成KA，口令立即被销毁，不发送给网路，也不驻留在终端，它只是暂时用来生成KA。现在，进程就可以使用KA来解密发送的报文，从而得到KS和票证。步骤3：A向TGS发送三项内容。第一项是从AS接收的票证，第二项是实际服务器B的名称，第三项是采用KS加密的时间戳。时间戳用来制止第三方的重放攻击。步骤4：TGS发送两张票证，每张都包括A和B之间的会话密钥KAB，给A的票证采用KS加密，给B的票证采用B的密钥KB进行加密。步骤5：A发送给B带有用KAB加密的时间戳的票证。步骤6：B通过将时间戳加1来确认接收。报文用KAB加密后发送给A。,访问控制,根据访问控制策略的不同，访问控制一般分为三种自主访问控制、强制访问控制、基于角色的访问控制三种。,自主访问控制,又称任意访问控制(DiscretionaryAccessControl，DAC)，是目前计算机系统中实现最多的访问控制机制。它是根据访问者的身份和授权来决定访问模式的。这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体，即用户(包括用户程序和用户进程)可选择同其它用户一起共享某个文件。所谓自主，是指具有授与某种访问权力的主体(用户)能够自己决定是否将访问权限授予其它的主体。安全操作系统需要具备的特征之一就是自主访问控制，它基于对主体及主体所属的主体组的识别来限制对客体的存取。,强制访问控制,(MandatoryAccessControl，MAC)是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级，对客体的访问实行限制的一种方法。它主要用于保护那些处理特别敏感数据(例如，政府保密信息或企业敏感数据)的系统。在强制访问控制中，用户的权限和客体的安全属性都是固定的，由系统决定一个用户对某个客体能否进行访问。所谓“强制”，就是安全属性由系统管理员人为设置，或由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。,强制访问控制系统的输入和输出：,强制访问控制系统读写判断准则：只有当主体的敏感等级高于或等于客体的等级时，访问才是允许的，否则将拒绝访问。根据主体和客体的敏感等级和读写关系可以有以下四种组合：(1)下读(ReadDown)：主体级别大于客体级别的读操作；(2)上写(WriteUp)：主体级别低于客体级别的写操作；(3)下写(WriteDown)：主体级别大于客体级别的写操作；(4)上读(ReadUp)：主体级别低于客体级别的读操作。这些读写方式保证了信息流的单向性。上读/下写方式只能保证数据的完整性，而上写/下读方式则保证了信息的安全性，也是多级安全系统必须实现的。,基于角色的访问控制,基于角色的访问控制(Role-BasedAccessControl，RBAC)的核心思想就是：授权给用户的访问权限通常由用户在一个组织中担当的角色来确定，所谓“角色”，是指一个或一群用户在组织内可执行的操作的集合。,基于角色的访问控制的五个特点：以角色作为访问控制的主体用户的角色决定了用户拥有的权限以及可执行何种操作。角色继承“角色继承”的概念是为了提高效率，避免相同权限的重复设置而采用的。角色继承把角色组织起来。最小特权原则(LeastPrivilegeTheorem)最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限。职责分离(主体与角色的分离)静态职责分离是指只有当一个角色与用户所属的其它角色彼此不互斥时，这个角色才能授权给该用户。动态职责分离指只有当一个角色与一主体的任何一个当前活跃角色都不互斥时，该角色才能成为该主体的另一个活跃角色。角色容量在一个特定的时间段内，有一些角色只能由一定人数的用户占用。,因特网的网络层安全协议族IPsec,IPSec是由因特网工程任务组（IETF）设计的用来为IP层的分组提供安全的一组协议。IPSec帮助生成经过鉴别的与安全的IP层分组。它提供了大量的安全特性，如：提供认证，加密，数据完整性和抗重放保护；加密密钥的安全产生和自动更新；使用强加密算法来保证安全性；支持基于证书的认证；支持下一代加密算法和密钥交换协议；为L2TP和PPTP远程接入隧道协议提供安全性。,IPSec以两种不同的方式运行：传输方式隧道方式,在传输方式下，IPSec保护传输层到网络层传递的内容，换言之，传输方式不保护整个IP分组，它不保护IP头部，仅保护网络层的有效载荷。在这种方式下，对来自传输层的信息增加IPSec的头部与尾部。然后再增加IP头部。,在隧道方式下，IPSec保护整个IP分组，包括头部。将IPSec加密方法用于整个分组，然后增加一个新的头部，这个IP头部与原来的IP头部有一些不同的信息。隧道方式通常用于两个路由器之间，或一个主机与一个路由器之间以及一个路由器与一个主机之间。,IPsec与安全关联,IPSec提供了多种选项来完成网络加密和认证。每个IPSec连接都能够提供加密，完整性和认证当中的一种或者两种。一个安全关联描述了两个或者多个实体如何使用安全服务来实现安全通信。IPSec用安全关联将IP无连接协议改进为面向连接的协议。我们可以将关联认为是连接。当A与B一致同意他们之间用一组安全参数，则他们之间已建立了一个逻辑连接（称为关联）。安全关联是单向的，这也就意味着每一对通信系统连接都至少需要两个安全关联-一个是从A到B，而另外一个是从B到A。,A想要利用关联与B进行双向通信。A要有一个出关联（用于到B的数据报）和一个入关联（用于来自B的数据报），同时B也要有相同的关联。这时的安全关联对于A和B来说可以简化为两个小表，如图11-21所示。,安全关联例：,虚拟专用网（VirtualPrivateNetwork，VPN）,内联网内联网是使用因特网模型的专业网（LAN），然而对网络的访问仅限于组织机构内部的用户。外部网外部网与内联网是相同的，但有一个主要差别：在网络管理员的监控下，组织机构外部的特定群体的用户可以访问某些资源。VPNVPN在隧道方式下使用IPSec来提供鉴别、完整性以及保密性，使数据穿越公共网络（通常是指因特网）。从用户的角度来看，信息是在一条专用网络连接上传输，而不管实际的隧道所在物理网络的结构，,VPN建立一个专用但是虚拟的网络。其网络在物理上是公开的，但对内可以保证组织机构内部的保密性。,VPN的寻址方式,防火墙与入侵检测技术,防火墙是一种安装在组织机构的内部网络与因特网之间的由软件和/或硬件组合成的设备（通常是路由器或者是计算机），它用于转发某些分组而过滤掉（不转发）其他分组，从而限制外界用户对内部网络的访问以及管理内部用户访问外界网络的权限，来解决内联网和外联网的安全问题。入侵检测(IntrusionDetection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。,防火墙,防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”。防火墙位置：,防火墙要求具有下列性质：,(1)双向通信必须通过防火墙；(2)防火墙本身不会影响信息的流通；(3)只允许本身安全策略授权的通信信息通过。,防火墙主要提供的四种服务：,(1)服务控制：确定可以访问的网络服务类型。(2)方向控制：特定服务的方向流控制。(3)用户控制：内部用户、外部用户所需的某种形式的认证机制。(4)行为控制：控制如何使用某种特定的服务。,防火墙的主要类型,包过滤防火墙包过滤防火墙是一种可以根据网络层和传输层的头部信息来转发或阻止分组，这些头部信息是指：源和目的IP地址、源端口和目的端口地址以及协议类型（TCP或者UDP）。包过滤防火墙是最快的防火墙，这是因为它们的操作处于网络层或传输层，并且只是粗略检查特定的连接的合法性。代理防火墙应用级代理防火墙模式提供了十分先进的安全控制机制，它通过在协议栈的最高层(应用层)检查每一个包从而提供足够的应用级连接信息。因为在应用层中它有足够的能见度，应用级代理防火墙能很容易看见前面提及的每一个连接的细节从而实现各种安全策略。,包过滤防火墙,上图11-26中，对下列数据包进行过滤：对来自网络的数据包进行阻止；对目标是任何内部TELNET服务器（端口为23）的进入数据包进行阻止；对目标是内部主机的进入数据包要进行阻止。该主机只能作内部使用；对目标是HTTP服务器（端口是80）的流出数据包进行阻止。组织机构不希望内部机器浏览因特网。,代理防火墙,应用级代理防火墙在防火墙处终止客户连接并初始化一条到受保护内部网络的新连接。这一内建代理机制提供额外的安全，这是因为它将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。代理防火墙特点：代理服务安全性高，可以过滤多种协议，通常认为它是最安全的防火墙技术。不能完全透明地支持各种服务、应用，一种代理只提供一种服务。消耗大量的CPU资源，导致相对低的性能。,防火墙的体系结构,有以下三种：(1)双重宿主主机体系结构；(2)被屏蔽主机体系结构；(3)被屏蔽子网体系结构。,双重宿主主机体系结构(DualHomedHost),双重宿主主机体系结构是围绕具有双重宿主的计算机构筑的，该计算机至少有两个网络接口(NIC)。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络接口到另一个网络接口转发IP数据包。然而，实现双重宿主主机的防火墙体系结构禁止这种转发功能，因而，IP数据包并不是直接从一个网络(例如因特网)发送到其它网络(例如内部的、被保护的网络)。,被屏蔽主机体系结构,双重宿主主机体系结构提供的服务来自与多个网络相连的主机（但是主机路由关闭，否则从一块网卡到另外一块网卡的通信会绕过代理服务软件），而被屏蔽主机体系结构使用一个单独的路由器连接外部网络与内部网络，并且在内部网络设置堡垒主机，外部网络流量必须通过路由器和堡垒主机两个安全屏障才能到达内部网络。,屏蔽子网体系结构,屏蔽子网结构通过进一步增加隔离内外网的边界网络(PerimeterNetwork)为屏蔽主机结