第3章 第4节安全技术：加密技术、数字信封、数字签名、数字证书、防火墙技术

电子商务安全技术-加密技术

目录|

CONTENTS01加密技术TEAM密码体制PROFESSION02对称加密技术COURSE03非对称加密CHARAACTERISTIC04

信息安全技术的概念

信息安全技术主要保护数据免受未授权的泄漏、篡改和损坏，主要包含数据秘密性（secrecy）usergroupother数据真实性（authenticity）数据的完整性（integrity）信息安全的技术措施可分为:访问控制技术和密码技术两大类。电子商务安全技术体系结构

电子商务安全常用技术主要包括：加密、数字签名、电子证书、数字信封和双重签名等。DigitalSignature加密私钥与数字签名应用授权数字证书

JohnHancock保密性身份鉴证访问控制授权完整性抗抵赖01加密技术

加密技术:包括信息的加密和解密两个过程。

密码技术的基本思想是伪装信息，隐藏信息的真实内容，以使未授权者不能理解信息的真正含义，达到保密的作用。具体的就是对信息进行一组可逆的数学变换。伪装前的信息称为明文（Plaintext），伪装后的信息称为密文（Ciphertext）。将信息伪装的过程称为加密（Encryption）。加密在加密密钥（key）的控制下进行。

密码技术的基本思想（移位）加密就是将明文字母向后移动位形成密文。当＝3时有明密文对照关系如下：例如，明文：ILOVEYOULORYHBRX今晚9点发动总攻明文:JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ加密算法是将明文字母后移3位，解密就是将密文字母前移3位，3就是加解密的密钥，由它控制加解密的进行。ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC一个加解密的过程分析交易信息的初始形式称为明文，记为P。若P为字符系列时，则记为：

P=[P1，P2，┅┅Pn]明文经过加密后成密文。密文C也是字符系列，记为：

C=[C1，C2，┅┅Cn]明文与密文间的转换可记为：显然要求：C=E（P）及P=D（C）P=D（E（P））加密算法使用密钥K，使得密文不仅依赖于初始明文，还要与密钥的值有关。此时，加密过程可记为：C=E（P，K）（1）对称密码系统E是一组加密算法，而密钥则用于选择其中的一种特定算法。如果加密和解密采用相同的密钥，则要求：P=D（E（P，K），K）用同一密钥的加密和解密过程加密解密明文

密文

原来的明文

密钥

（2）非对称密码系统采用成对的不同的加密密钥和解密密钥。即：P=D（E（P，KE），KD）用两个密钥的加密和解密过程加密解密明文

密文

原来的明文

KE

Kd

02密码体制

密码体制（crytosystem）也称密码系统，是指一个加密系统所采用的基本工作方式。密码体制由五个部分组成：

1)

明文空间，它是全体明文的集合；

2)

密文空间，它是全体密文的集合；

3)

密钥空间，它是全体密钥的集合。其中每一个密钥均由加密密钥和解密密钥组成

4)

加密算法；

5)

解密算法。2.密码体制

图

密码体制明文信道解密算法加密算法明文加密密钥解密密钥密钥窃取者

根据密钥可以将密码体制分为单密钥密码体制（One-keySystem，也称对称密码体制或传统密码体制）双密钥密码体制（Two-keySystem，也称非对称密码体制或公开钥密码体制）。单密钥与双密钥密码体制图

单密钥密码体制图

双密钥密码体制

一个密钥（公钥）作为公共信息发布出去，必须保证无法从公钥推出私钥，否则保密算法再强也将失去效果。这种体制的关键便是密钥的生成，要能够加解密又要不能互推。03对称加密技术

对称密匙（保密密匙）加密流程明文消息密匙A加密加密消息明文消息密匙A解密举例：异或法加密

明文信息码与密钥码异或，得到密文信息码；该密文信息码再与同一密钥码异或，又可以还原为原来的明文信息码。就是说，加密过程和解密过程一致。例如：若明文为10011，密钥码为11010，则：加密

10011

明文

⊕

11010

密钥码

01001

密文解密

01001

明文

⊕

11010

密钥码

10011原来的明文

对称加密技术(1）在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。(2）当通信对象增多时，需要相应数量的密钥。

(3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。

典型的对称加密算法

DES、3DES、IDES、RC5、AES03-1DES算法

3-1、数据加密标准DESDES是美国国家标准局（NBS）于1977年颁布的数据加密标准算法（DataEncryptionStandard）,是一种分组密码技术，是对称密码体制的优秀算法。

DES算法原理

DES算法是一种分组密码算法。DES算法每次取明文中连续的64位数据，利用64位密钥（其中有8位属于奇偶效验位），经过一连串（16次循环）的组加密算法（替换和移位）将其转换成64位的数据（密文）。反复执行上述过程，就可将全部明文加密成密文。图

分组密码

DES算法的特点优点：加密和解密速度快，加密强度高，且算法公开。缺点：1、实现密钥的秘密分发困难，对于具有n个用户的网络，需要n(n－1)/2个密钥。在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。2、要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。3、对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。04公开密钥加密技术

4、公开密钥密码体制

加密和解密过程分别使用两个不同的密钥体系——非对称式加密体系。它使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）PKI；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。

公开密钥体制的应用老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息

典型的加密算法

RSA、背包算法、Rabin算法、概率加密算法、McEliece算法04-1RSA算法

4-1、RSA算法RSA的名字来历：

1977年，R.Rivest、A.Shamir和L.Adleman教授提出了RSA算法。N------>PXQ(素数）?模P乘法逆元(费尔马小定理)

对于整数a、p，如果存在整数b，满足a*bmodp=1，则说，b是a的模p乘法逆元。b=ap-1modp.其中b=ap-1modp是a的模p乘法逆元。例：整数a=7，b=?，p=120，则b=7119mod120=103是a的逆元。RSA密钥生成体制生成两个大素数p和q，计算n=p*q；计算z=(p-1)*(q-1)，并找出一个与z互质的数e；利用欧拉函数计算出e的逆，使其满足

e*dmod(p-1)(q-1)=1，mod为模运算；

d=ez-1modz公开密钥为：PK=(n，e)，用于加密，可以公开出去。秘密密钥为：SK=(n，d)，用于解密，必须保密。RSA加解密过程加密：设m为要传送的明文，利用公开密钥（n，e）加密，c为加密后的密文。则加密公式为：c=m^emodn，（0≤c<n）；解密：利用私密钥（n，d）解密。则解密公式为：m=c^dmodn，（0≤m<n）。RSA加解密举例选取p=11，q=13。则n=p*q=143。z=(p-1)*(q-1)=10*12=120；选取e=17（大于p和q的质数），计算其逆，d=17^119mod120=113。那么公钥PK为（143，17），私钥SK为（143，113）。

举例如下：

（1）选两个质数：p=47，q=71（为了计算方便，只选取十位数，实际加密时应该选取100位以上十进数的质数）

（2）计算：n＝pq＝47×71=3337，z＝（47-1）×（71-1）=3220

（3）e必须与z互质，选e=79

（4）计算：e*dmodz=1,d=79^(3220-1)mod(3220)，得出d=1019，这是因为1019×79=3220×25+1。

然后将e=79、n=3337公布，d=1019保密，p、q消毁即可。

如有一明文m=6882326879666683

加密过程如下：

先将m分割成多块：m1=688，m2=232，m3=687，m4=966，m5=668，m6=3

将第1块m1加密后得密文C1=m1^e（mod3337）=688^79（mod3337）=1570

依次对各区块加密后得密文C=15702756271422762423158

解密过程如下：

对C1解密得m1

M1=C1^d（mod3337）=1570^1019（mod3337）=688

依次解密得原文M。密钥生成难受到素数产生技术的限制。没有从理论上证明破译RSA的难度与大数分解难度等价。速度太慢RSA，为保证安全性，n至少也要600位以上。

RSA算法的特点公钥算法应用－加密模式明文明文A发送机密信息给B,知道只有B可以解密A用B的公钥加密(公开)B使用自己的私钥解密(保密)HiBobAliceB的私钥B的公钥CiphertextAliceBob加密解密HiBobAliceHiBobAliceHiBobAlice对称与非对称加密体制对比特性对称非对称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用作业：电子版教材学习：P120-P128/openr/45374_output/web/45374-undW2zAAbtbRDCXK3WyYN8pKjAL9CFy5-3.htmlENDTHANKSDES在电子商务交易过程中存在的问题要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。密钥的数目难于管理。因为对于每一个合作者都需要使用不同的密钥，很难适应开放社会中大量的信息交流。对称加密算法一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份。对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。电子商务安全技术：数字信封、数字签名、数字证书

目录|

CONTENTSDESRSA01数字信封TEAM数字签名PROFESSION02数字证书COURSE03CHARAACTERISTIC0401数字信封

在实际的应用，对于加密量大的应用,通常由对称密钥对数据加密，公开密钥用于对对称加密的密钥的加密，这种方式叫（数字信封）。1、数字信封公钥算法应用－加密模式明文明文A发送机密信息给B,知道只有B可以解密A用B的公钥加密(公开)B使用自己的私钥解密(保密)HiBobAliceB的私钥B的公钥CiphertextAliceBob加密解密HiBobAliceHiBobAliceHiBobAlice

组合对称密钥和公开密钥产生一个对称密钥——会话密钥用会话密钥加密信息最后用接收者的公钥加密会话密钥——因为它很短明文明文HiBobAliceHiBobAliceHiBobAlice会话密钥加密1.信息X2c67afGkz78会话密钥xaF4m78dKmAliceBob密文解密4.信息B的公钥加密2.会话密钥02数字签名

2、

数字签名

数字签名也称电子签名，是指使用密码算法，对待发的数据进行加密处理，生成一段数据摘要信息附在原文上一起发送，这段信息类似于现实中的签名或印章，接收方收到签名后，进行验证，判定原文的真伪（是否由真实发送方发送）。数字签名应该具有以下的功能：

(1)签名者事后不可否认自己的签名；

(2)任何其他人不能伪造签名；

(3)若当事双方出现争执，可以由公正的第三方通过验证确认签名真伪。如果A要发送一篇需要数字签名的文件给B，只需以下的几个步骤：（1）A用其私钥对要进行签名的数据加密，这就是签名；（2）将信息传送给B；（3）B从公钥库中得到A的公钥，用公钥将A发来的信息解密，若可读且符合一定要求B便可根据此确认该信息由A发出，并有效。

用公钥算法实现数字签名图6－9整体信息的数字签名原文原文数字签名加密算法解密算法数字签名发方私钥发方公钥原文比较发方收方对摘要信息（也称压缩信息）进行签名的方法：先对原文信息进行加密压缩形成数据摘要，然后再对数据摘要用发方私钥加密形成签名，发送给接收方，接收方收到信息后，对签名信息解密，同时使用发方压缩摘要的算法对收到的原文进行重新压缩，将压缩结果与签名解密的结果对比，若一致则可证明该发送方的身份和数据可靠性。压缩算法常用hash单向函数，生成128位的散列值(也称报文摘要)。对摘要信息的签名信息摘要生产与传送

图

信息摘要过程图对摘要信息签名发方收方比较解密算法发方公钥数字签名数据摘要数字签名加密算法发方私钥数据摘要压缩算法原文原文压缩算法数据摘要原文原文将数字摘要和数字签名结合明文AliceBobA的私钥HiBobAliceA的公钥

摘要哈希函数gJ39vzamp4xOurjj9rRr%9$数字签名HiBobAlice明文Ourjj9rRr%9$数字签名HiBobAlice明文gJ39vzamp4x

新摘要哈希函数gJ39vzamp4x=？相同1、没有篡改2、是Alice发送的1234567信息摘要数字签名

图

数字签名过程03数字证书与CA认证

3、数字证书

数字证书（DigitalCertificate或DigitalID）数字证书又称数字凭证，是用电子手段来证实一个实体的身份及其公钥的合法性，并将实体身份与公钥绑定。它是一个数字标识，可以实现身份的鉴别认证、完整性、保密性和不可抵赖等安全要求，也是公钥的管理媒介，公钥的分发、传送等都是靠数字证书来完成的。目前，数字证书的格式一般采用X.509国际标准。数字证书（DigitalCertificate或DigitalID）数字证书采用公钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

数字证书包括以下内容如图所示：l

证书拥有者的姓名；l

证书拥有者的公钥；l

公钥的有限期；l

颁发数字证书的单位；l

颁发数字证书单位的数字签名；l

数字证书的序列号等。数字证书的内容图3-30查看证书内容（1）图3-31查看证书内容（2）图3-32查看证书内容（3）数字证书主要有以下类型：（1）个人数字证书（2）单位（工商企业）证书（3）软件（代码）数字证书

(4)设备数字证书数字证书的类型CA也称认证中心是数字证书的签发机构，是电子商务体系中的核心环节，是电子交易中信赖的基础。认证中心作为一个电子商务交易中受信任和具有权威性的第三方，需要承担网络上安全电子交易的认证服务，负责产生、分发和管理用户的数字证书。为每个使用公开密钥的客户发放数字证书，检验公钥体系中公钥的合法性。它参与每次通信过程，但是不涉及具体的通信内容。数字证书的签发机构：认证中心CA（CertificateAuthority）（1）认证中心主要要完成证书的登记、审批、产生、发放、撤销、查询、管理等功能.（2）CA树形的层次结构结构(如图所示）

CA认证中心功能图SETCA体系结构第一层根CA第二层品牌CA第三层终端CARootCABrandCAEnduserCA支付网关证书持卡人证书商家证书PCAMCACCA国内常见的CA有

中国商务在线l中国数字认证网（），数字认证，数字签名，CA认证，CA证书，数字证书，安全电子商务。l北京数字证书认证中心

（），为网上电子政务和电子商务活动提供数字证书服务。l浙江数字证书认证中心

国内CA中心简介（1）下载并安装根证书（如图3-34~3-38所示）（2）申请证书（如图3-39~3-41所示）（3）将个人身份信息连同证书序列号一并邮寄到中国数字认证网数字证书的申请图3-34下载根证书（1）图3-35下载根证书（2）图3-36安装根证书（1）图3-37安装根证书（2）图3-38查看根证书图3-39申请个人免费证书图3-40下载个人证书图3-41查看个人证书带有数字签字和数字证书的加密系统

公开密钥体制的应用老张小李的公开密匙小李老张密文小李小李的私有密匙老张的私有密匙老张的公开密匙密文鉴别保密用RSA鉴别,只有老张能发出该信息用RSA保密,只有小李能解开该信息（四）移动数字签名移动签名技术可以实现移动支付业务所要求的身份认证、数据完整性、不可否认性，是移动支付业务最重要安全保证。移动签名涉及到手机端私钥及数字证书的生成过程、身份认证过程、签名过程和加密解密过程。1.手机端私钥、公钥以及证书的生成过程手机端数字证书和公钥私钥对的生成过程（1）用户向CA服务器发送携带个人信息（如手机号码）的认证请求；（2）CA服务器通过运营商的BOSS系统对用户身份进行认证；（BOSS（Business&OperationSupportSystem）指的是业务运营支撑系统；通常BOSS分为四个部分：计费及结算系统、营业与账务系统、客户服务系统和决策支持系统）（3）认证通过用户向用户手机返回确认。（4）手机端的密钥生成模块生成一对公钥、私钥对（SK,PK)。（5）手机端将生成的公钥PK及用户信息用CA的公钥加密发送给CA服务器。请求生成数字证书。（6）CA服务器收到请求以后，生成用户的数字证书，并将生成的证书发送给手机端，证书中包含CA的数字签名。（7）手机端收到证书以后，用CA服务器的公钥验证CA的签名，如果验证通过，说明生成的数字证书成功有效，并将其保存。2.身份认证过程用户在每次登陆移动支付的业务系统之前，需要对用户进行身份认证（1）手机端发送用户接入请求，请求中包含用户信息。（2）支付系统生成随机数R,并用该用户的公钥加密ER=Enc(R,PK),将ER发送给手机端。（3）用户手机端收到ER以后，使用用户自己的私钥SK对ER进行解密获得R，R=Dec(ER,SK)。并将解密以后的随机数R用支付系统的公钥加密DER=Enc(R,PK),返回给支付系统。（4）支付系统收到DER以后，用自己的私钥SK解密获得随机数R1，R1=Dec(DER,SK)验证获得随机数R1与是否等于R，如果正确则通过用户的身份认证。3.移动签名过程用户身份认证通过以后就可以进行数字签名的移动支付。（1）用户用私钥对SK对购买的指令TXT进行签名SignedTXT=Sign(TXT,SK)，将其发送给支付系统，同时发生的还包含用户的基本信息，如用户ID和手机号等。（2）支付系统根据用户的信息找到用户的证书，验证证书的有效期等信息。同时，用证书的公钥PK对SignedTXT进行解密，TXT1=Dec(SignedTXT,PK),验证用户的签名是否正确(比较TXT1与TXT)。（3）验证通过，可以进行后续的支付操作。4.加密与解密(数字信封的应用）(1)支付系统服务器产生的随机数R作为手机端与服务器之间进行加解密的会话密钥，同时用用户的公钥PK对R进行加密,ER=Enc(R,PK)。(2)支付系统服务器同时用R加密需要的加密的会话内容TXT:CyberTXT=Enc(TXT,R)。（对称加密）(3)支付系统服务器将ER与CyberTXT发送给手机。(4)手机端收到以后用私钥SK解密ER获得会话密钥R:R=Dec(ER,SK)。(5)手机端再用R解密CyberTXT获得TXT1，TXT1=Dec(CyberTXT,R)。5.手机数字签名系统手机数字签名系统

三、业务无关的移动签名将用户私钥保存在用户的手机（SIM卡）中，将待签名数据通过一个平台发送到用户手机中，用户只需比对手机中看到的信息与业务终端看到的信息一致，就可在手机上进行确认，从而实现对数据的签名。签名结果返回到业务服务器，业务服务器验证通过后，则认为当前交易得到了用户的合法授权。ENDTHANKS电子商务安全技术-防火墙技术

一.防火墙概述二.防火墙的类型三.防火墙的体系结构四.防火墙的选择

一、防火墙概述防火墙是指一个由软件和硬件设备组合而成，在Intranet和Internet之间构筑的一道屏障（如图3-26所示），用于加强内部网络和公共网络之间安全防范的系统。图3-26防火墙1.防火墙概念

防火墙是（Firewall）是在内部网和外部网之间构造的一道屏障，用以保护内部网的数据、资源等不受侵害。从本质上来说防火墙是一种保护装置，它一方面最大限度的让内部用户方便的访问外部网（一般为Internet），另一方面又尽可能的防止外部网对内部网的非法入侵，达到保护系统安全的目的。防火墙通常是运行于一台单独计算机之上的特别服务软件，从组成上来说，防火墙由硬件和软件两部分组成。（1）凡是没有被列为允许访问的服务都是被禁止的。（2）凡是没有被列为禁止访问的服务都是被允许的。返回本节2.防火墙的安全策略有两种(1)防火墙是保护内部网安全的屏障

(2)可对可疑操作进行审计跟踪(3)防止内部网信息泄漏3.防火墙的主要功能

4.防火墙的局限性

(1)防火墙无法防范内部用户的攻击（2）防火墙无法防范不通过它的连接（3）限制了有用的网络访问（4）防火墙很难防范病毒（5）防火墙不能防备新的网络安全问题（6）防火墙不能防止数据驱动式攻击二、防火墙的类型根据使用的技术、原理不同，防火墙分为很多种类型，大体上可分为两类：一类为基于包过滤（Packet

Filter），如包过滤路由器和应用层网关；另一类基于代理服务（ProxyService）,如应用层代理服务器。两者的区别在于：基于包过滤的防火墙通常直接转发报文，对用户完全透明，速度较快；基于代理的防火墙则是通过代理服务来建立连接，可以有更强的身份认证（Authentication）和日志（Log）功能。

数据包过滤（也称分组过滤）技术是在网络层对数据包中的IP地址过滤。它是按照系统管理员所给定的过滤规则进行过滤，如果防火墙设定某一IP地址不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤技术提供了有效控制网络流量的方法，在一定程度上保证了网络的安全。包过滤技术的操作在网络（TCP/IP）层进行，它的优点便是对用户透明，不要求客户机和服务器作任何修改，处理速度快而且易于维护。包过滤技术的原理简单、性能好，可对数据包的地址进行查看，因此可以用路由器来实现。1.

包过滤路由器应用层网关（ApplicationLevelGateways）是在网络应用层上建立协议过滤和转发功能。针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用层网关一般安装在专用工作站系统上。应用层网关只提供本地有代理程序的服务通过。

2．应用层网关

数据包过滤和应用层网关技术的共同点就是他们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接连接，外部的用户便有可能直接了解防火墙内部的网络结构和允许状态，这可能导致非法访问和攻击。基于包过滤路由器的弱点，防火墙可以通过软件程序来传输和过滤像WWW、telnet和FTP之类的服务，这样的应用程序被称为代理服务程序，而允许代理服务程序的主机被称为代理服务器。数据包过滤和应用层网关缺点代理服务是针对数据包过滤和应用层网关技术存在的不足而引入的防火墙技术。代理服务是在内部与外部的系统之间加一层服务器，用该服务器来做中间代理功能，即可保证内部用户可以安全的访问外部网，又可以很好的防止外部的攻击，由于代理访问的中间作用，攻击的也只是代理服务器，而不会是网络内部的系统资源。代理服务器通常是运行于两个网络之间（内部网与外部网），对于内部用户来说它像一台真的服务器，而对于外部的提供访问的服务器（外部网Internet上的服务器）来说它又是一台进行访问的客户机。

3.

代理服务当代理服务器接收到用户对某个站点的访问请求后会检查该请求是否符合规定，如果规则允许用户访问该站点，代理服务器会像一个客户一样去那个站点取回用户需要的信息再转发给用户。代理服务器通常都有一个高速缓存，这个缓存存储用户经常访问的站点内容，在下一个用户要访问时就不需重复的获取相同的内容，直接将缓存中的内容发给用户即可，即节省了时间又节省网络资源。代理服务器像一座墙一样位于内部用户和外部网之间，外部入侵者只能看到代理服务器而无法获知内部用户的信息和资源。如图6－1。代理服务工作流程客户客户代理访问控制服务器代理防火墙代理服务应答转发请求转发应答访问请求图6－1代理服务型防火墙工作示意图三、防火墙的体系结构

双宿主主机体系结构

屏蔽主机体系结构

屏蔽子网体系结构

1、双宿主主机体系结构所谓双宿主主机是指至少有两个网络接口的计算机系统。这两个网络接口一个为内部网接口，一个为外部网（Internet）接口。这样的主机可以充当这两个接口之间的路由器，能够从一个网络向另一网络发送IP数据包。但一般防火墙的结构禁止这种直接的发送功能，从外部网传来的IP数据包不可直接进入内部网。双宿主主机内外的网络均可与双宿主主机通信，但内外网络之间不可直接通信，也就是双宿主主机位于内外网络之间，内外网络通过它进行数据通信。结构示意见图6－2。图6－2双宿主主机体系结构

Internet…内部网防火墙双宿主主机2.屏蔽主机体系结构

屏蔽主机体系结构是由一个位于内部网络的堡垒主机（BastionHost）和一个位于堡垒主机与外部网之间的路由器（过滤路由器）组成，如图6－2。堡垒主机是一个计算机系统，它对外部网络（Internet）暴露，同时又是内部网络用户的主要连接点，是系统内可以访问外部网的计算机。这种体系结构中主要的安全机制由数据包过滤系统来提供（例如防止内部用户绕过堡垒主机直接连接到外部网络）。图6－3屏蔽主机体系结构Internet防火墙路由器…内部网堡垒主机3.屏蔽子网体系结构屏蔽子网体系结构是在屏蔽主机体系结构的基础上添加了额外的安全层，通过添加周边网络把内部网更进一步的与外部网分开，形成二层隔断，如图所示。周边网络在防火墙产品中也常称非军事区（De-MilitarizedZone，简称DMZ），它是一个安全层，是在外部网与内部网之间添加的一个附加网络。周边网允许Internet使用者透过防火墙存取开放的服务器，与内部网络为完全独立的两个区域，可避免将开放的服务器置于内部网络所需冒的风险。如果入侵者成功的进入了防火墙的外层领域，周边网络会在入侵者与内部网之间提供一个附加的保护层，相当一个双保险。图6－4屏蔽子网体系结构Internet周边网络外部路由器内部路由器堡垒主机防火墙6.2.3防火墙技术防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。1.防火墙概述

防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。服务器内部网可信网络Internet不可信网络基本概念主机：与网络系统相连的计算机系统。堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。双宿主主机