【教学课件】第7章计算机网络安全.ppt

《【教学课件】第7章计算机网络安全.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第7章计算机网络安全.ppt（64页珍藏版）》请在三一办公上搜索。

1、第7章 计算机网络的安全,7.1网络安全问题概述7.2 网络攻击7.3 密码技术及应用7.4 防火墙,7.1网络安全问题概述,计算机网络面临的安全性威胁 网络攻击的方式千变万化，多种多样。根据它是否破坏通信环境、篡改通信数据，可以分为主动攻击和被动攻击两大类：主动攻击：更改数据流或伪造假的数据流。主动攻击有4种形式：伪装、重放、篡改报文、和拒绝服务。被动攻击：是对传输进行偷听与监视。其目的是获得有关传输的信息。有两种类型的被动攻击：报文分析和流量分析。,主动攻击表现了与被动分析相反的特点。虽然被动攻击难以检测，但可以采取措施防止此类攻击。完全防止主动攻击是困难的，因为这需要在所有时间都能对所有

2、通信设施和路径进行物理保护。相反防止主动攻击的目的是检测主动攻击，并从主动攻击引起的任何破坏和时延中予以恢复。,网络安全服务 在计算机通信网络中、主要的安全防护措施被称作安全服务。网络安全服务定义了网络的各层可以提供的安全功能，这些功能可以在几层同时提供，也可由某一层提供。有六种通用的安全服务：机密性服务、认证服务、完整性服务、非否认服务、访问控制服务、可用性服务。,网络安全模型 一个通用的网络安全模型如图7-1所示。一个消息跨越某种形式的互联网从一方传送到另一方，收发双方都是该事物的责任者，他们必须就所发生的交换进行协调。信息信道是指通过互联网定义从源到目的地的路由以及两个责任者合作使用的通

3、信协议创建一条逻辑信道。,网络安全模型,网络访问安全模型,7.2 网络攻击,网络攻击的基本概念1.攻击的位置（1）远程攻击：从该子网以通过所在的局外的地方向该子网或者该子网内的系统发动攻击。（2）本地攻击：域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。（3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。,2.攻击的层次（1）简单拒绝服务（如邮件炸弹攻击）；（2）本地用户获得非授权读或者写权限；（3）远程用户获得了非授权的帐号；（4）远程用户获得了特权文件的读写权限；（5）远程用户拥有了根（roo

4、t）权限）。3.攻击的目的（1）进程的执行；（2）获取文件和传输中的数据；（3）获得超级用户权限；（4）对系统的非法访问；（5）进行不许可的操作；（6）拒绝服务；（7）涂改信息；（8）暴露信息；（9）挑战；（10）政治意图；（11）经济利益；（12）破坏,4。漏洞的概念（1）漏洞的范围漏洞涉及的范围很广，涉及到网络的各个环节、各个方面，包括：路由器、防火墙、操作系统、客户和服务器软件。比如一台提供网上产品搜索的Web服务器，就需要注意操作系统、数据库系统、Web服务软件及防火墙。（2）漏洞的时间性系统发布漏洞暴露发布补丁新漏洞出现一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会

5、被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。,（3）漏洞的类型管理漏洞：如两台服务器用同一个用户/密码，则入侵了A服务器后，B服务器也不能幸免。软件漏洞：很多程序只要接收到一些异常或者超长的数据和参数，就会导致缓冲区溢出。结构漏洞：比如在某个重要网段由于交换机、集线器设置不合理，造成黑客可以监听网络通信流的数据；又如防火墙等安全产品部署不合理，有关安全机制不能发挥作用，麻痹技术管

6、理人员而酿成黑客入侵事故。信任漏洞：比如本系统过分信任某个外来合作伙伴的机器，一旦这台合作伙伴的机器被黑客入侵，则本系统的安全受严重威胁。,网络攻击的一般过程1.寻找目标主机并收集目标信息（1）锁定目标（2）服务分析（3）系统分析（4）获取帐号信息2.攻击测试与攻击策略的制定3.数据分析4.获得对系统访问的权力,5.获得系统超级用户的权力可以读取邮件，搜索和盗窃私人文件，毁坏重要数据，破坏整个系统的信息。6.摧毁系统,攻击的主要方式 一、缓冲区溢出攻击1.缓冲区溢出攻击 攻击者主要利用程序设计上的某些缺陷来实施缓冲溢出攻击，其目的是通过缓冲溢出执行一些恶意代码，获得一个主机的控制权，为实施进一

7、步的攻击提供基础。缓冲溢出的后果：（1）覆盖相邻存储单元，导致系统崩溃。（2）转向执行攻击者设定的指令，甚至获得Root特权。,2.缓冲溢出攻击方法 缓冲溢出攻击有多种方式，主要是采用程序重定向方法来达到攻击目的。例如：（1）在程序的地址空间里安排攻击代码的方法。（2）控制程序转移到攻击代码的方法。,3.缓冲溢出的预防（1）编写不产生缓冲溢出的程序。进行数组越界检查；用安全的函数代替strcpy等；注意数据类型转换的安全问题；Java受缓冲溢出攻击：由于Java平台JVM来自C程序。（2）非执行的缓冲区：使被攻击程序数据段地址空间不可执行，从而使攻击者不能执行植入被攻击程序缓冲区的代码。（3）

8、程序指针完整性检查：采用堆栈保护的编译技术程序指针被引用之前要检查未被修改才可使用。（4）安装程序补丁：用最新的程序更新有缺陷的程序。,二、分布式拒绝服务（DDOS）攻击1.分布式拒绝服务 拒绝服务（DOS）的攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。DOS采用单点结构，攻击力有限。DDOS攻击采用分布式结构，攻击力强大形成“规模效应”，DDOS攻击网络组成下图所示。,DDOS攻击网络组成,2.

9、用工具软件实现DDOS攻击 DDOS攻击常用工具：trinoo、TFN、Stacheldraft等。它们利用TCP/IP协议漏洞，如允许碎片包、大数据包、IP路由选择、TCP半连接、数据包Flood等，使系统性能降低甚至崩溃。,3.应付DDOS攻击的策略 IDS的检测方法是：分析一系列的UDP报文，寻找那些针对不同目标端口，但来自于相同源端口的UDP报文。或者取10个左右的UDP报文分析那些来自于相同的IP、相同的目标IP、相同的源端口，但不同的目标端口的报文。这样可以逐一识别攻击的来源。还有一种方法是寻找那些相同的源地址和相同的目标地址的ICMP Port Unreachable的信息。由于

10、DDOS攻击的主要目的是消耗主机的带宽，所以很难抵挡。,三、IP欺骗1.IP欺骗 利用主机之间的正常信任关系发动的攻击。信任关系：在Unix系统中，rlogin,rsh,rcp等远程调用命令的信任基础是IP地址，若地址验证通过，则无须口令验证就能远程登录。修改$HOME/.rhosts文件内容，可建立两台机器之间的信任关系。当/etc/hosts.equiv中出现一个“+”或$HOME/.rhosts中出现“+”时，表明任意地址的主机无须口令可直接用r命令登录此主机。,2.IP欺骗攻击过程1）发现攻击目标A和B具有伙伴信任关系。假设黑客想冒充B去和A对话。2）要使目标B瘫痪（如用拒绝服务攻击）

11、，避免露馅3）采样A发出的TCP序列号，反复尝试猜测它的初始序列号ISN。ISN为32位计数器，无连接时9.32小时复位一次。预测ISN考虑因素：ISN每秒增加128000；每次连接增加64000；A和B之间的往返时间；4)将源地址伪装成B机地址，发送带有SYN标志的数据段请求连接。5）然后等待A发送SYN+ACK给瘫痪的B，因为这时黑客看不到这个包。6）再次伪装成B向A发送ACK，此时发送的数据段带有预测目标机A的ISN+1。7）连接建立，发送命令。,3.IP欺骗的防止抛弃基于地址的信任策略删除.rhosts文件；清空/etc/hosts.equip文件；用telnet、ssh取代r类远程调

12、用命令。进行包过滤只信任内部主机；利用路由器屏蔽掉所有外部希望向内部发出的连接请求。使用加密传输和验证的方法使用随机化的初始序列号使得TCP序列号难以猜测。,7.3 密码技术及应用,密码学概述 信息安全问题是信息化建设中的关键问题。密码技术是信息安全技术的核心。信息安全所要求的信息保密性、完整性、可用性和可控性，都可以利用密码技术得到满意解决的。现在的各种安全产品，为了保证数据加工、存储和传输的安全性都需要密码技术。密码技术包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等可以说密码技术是保护大型通信网络上传输信息的惟一实用手段。,密码学可分为：密码编码学

13、(cryptography)和密码分析学(cryptanalysis)。密码编码学是密码体制的设计学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。加密技术是网络安全的基石。任何一个加密系统至少包括下面4个部分：（1）明文（未加密的报文）（2）密文（已加密的报文）（3）加密解密算法（4）加密解密

14、的密钥,密码通信模型,传统的加密方法传统的加密方法，其密钥是由简单的字符串组成的，它可以选择许多加密形式中的。只要有必要就可以经常改变密钥。传统的加密方法可以分为两大类：替代密码与置换密码。一、替代密码替代密码（substitution cipher）是用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母位置不变。在替代加密体制中，使用了密码字母表。它可以由一个明文字母表构成，也可以由多个明文字母构成。由一个明文字母表构成的替代密码，称为单表替代密码。其替代过程就是明文和密文之间进行一对一的映射。,恺撒密码是最古老替代密码，将字母a,b,c,d,w,x,y,z的自然顺序保持不变，但使之与

15、D,E,F,G,X,A,B,C分别对应abcdefghijklmnopqrstuvwxyzDEFGHIJKIMNOPQRSTUVWXYZABC若明文为小写字母caesar cipher,则对应的密文为大写字母FDHVDU FLSKHU（此时密钥为3，因为对应的大写字母向左位移了3个字母的位置）。这种密码很容易破译。因为最多只需常试25次即可破译。,二、置换密码 置换密码（transposition cipher）是采用移位法进行加密的，它将明文中的字母重新排列，本身不变，但位置变了。例如，以CIPHER这个字作为密钥。根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母中的相对

16、先后顺序，例如，因为没有A和B，因此C为第1。同理，E为第2，H为第3，,R为第6。于是得出密钥字母的相对先后顺序为145326。形成密文的规律如下：若密钥中的数字i在密钥中的顺序是第j个，则表示第 i次读取第j列的字符。具体来说，数字1在密钥中排为第1个，因此第1次读取第1列的字符a b a。数字2在密钥中排在第5个，因此第2次读取第5列的字符c n u。下面依次读取第4列、第2列、第3列、和第6列。,下面将明文也以6个字符为一组从上到下写在密钥下，如：密钥CIPHER顺序145326明文attack begins atfour 这样得出密文为 abacnuaiotettgfksr。接收者按

17、密钥中的字母顺序按列写下，按行读出，即得明文。由于这种密码很容易破译，所以置换密码也是作为加密过程中的中间步骤。,对称密钥密码体制-DES DES是Data Encryption Standard（数据加密标准）的缩写。它是IBM公司W.Tuchman 和 C.Meyer 1971-72年研制的一种加密算法，美国国家标准局于1977年公布把它作为非机要部门使用的数据加密标准，二十年来，它一直活跃在国际保密通信的舞台上，扮演了十分重要的角色。,DES是一个分组加密算法，也是一个对称算法：加密和解密用的是同一个算法。DES是一种对二进制数据进行加密的算法，数据分组长度为64位，密文分组长度也是64

18、位，使用的密钥为64位，有效密钥长度为56位（因为每个第8位都用作奇偶校验），而且可以任意时候改变。解密时的过程和加密时相似，但密钥的顺序正好相反，DES的整个体制是公开的，系统的安全性完全靠密钥的保密。DES在加密前，先对整个明文进行分组。每一个组长为 64 bit。然后对每一个 明文进行分组是在一个初始置换(IP，Initial Permutation)后，明文组被分成左半部分和右半部分，每部分32位，以L0和R0表示，然后是16轮迭代的乘积变换，称为轮函数f，将数据和密钥结合起来。16轮之后，左右两部分进行一次交换，再经过一个初始逆置换IP-1，算法结束。,DES算法框图,1.初始变换I

19、P和初始逆变换IP-1 初始变换IP和初始逆变换IP-1如表7-2所示。输入64个二进制位明码文数据区组m=m1m2m64按初始换位表IP进行换位，得到区组IP（m）=m58m50m42m34m15m7记成L0、R0左右两部分。逆初始变换IP-1表示，它和IP互逆。例如，第58位经过初始置换后，处于第1位，而通过逆置换，又将第1位换回到第58位。可见输入组m和IP(IP-1(m)是一样的。,初始变换IP和初始逆变换IP-1,2.迭代变换迭代变换（轮函数f）是DES算法的核心部分，算法框图如图7-7所示。轮函数f是由选择扩展运算E、与子密钥的异或操作、选择压缩运算S和置换运算P组成。,DES的一

20、轮迭代,选择扩展运算E：如表7-3所示，将输入的32比特数据扩展为48比特的输出数据。如果将输入的32比特的数据按E中所标位置顺序读出，则可得到48比特的数据输出。可以看出一些位被读了两次。,选择扩展运算E和置换P,选择压缩运算S：将输入的48比特数据从左至右分成8组，每组6比特。然后输入8个S盒，每个S盒为一线性变换（如图7-8所示），有4比特输出。,盒S1，S2，S3，S4，S5，S6，S7，S8的选择函数关系分别如下表所示：,对每个盒Si,6比特输入中的第1和第6比特组成的二进制数确定Si的行，中间4位二进制数用来确定Si的列。Si中相应行、列位置的十进制数的4位二进制数表示作为输出。例

21、如，S1的输入是101100，则列为0110，行为10，坐标为（2，6），然后在S1表中查得对应的数为2，以4位二进制表示为0010，此即选择函数S1的输出。,子密钥的生成 给定64位密钥K，经过子密钥置换选择PC-1的变换后，K 的位数由64 位变成了56位（去掉了输入的第8、16、24、32、40、48、56、64位，这8位是奇偶校验位，并重排剩下的56位）。把变换后的密钥等分成两部分,前28位记为C0,后28位记为D0。计算子密钥(共16个)，从i=1开始。分别对Ci-1、Di-1作循环左移来生成Ci、Di(共16次)。串联Ci、Di，得到一个56位数，然后对此数作子密钥置换选择PC-2

22、变换（去掉了第9、18、22、25、35、38、43、54位，同时重排剩下的48位）以产生48位子密钥Ki。按以上方法计算出16个子密钥。循环左移表示左移1位（当i=1，2，9，16时）或2位。置换选择PC-1 和PC-2如下表所示。密钥产生算法如下图所示。,密钥置换选择表,密钥产生算法,DES解密 在经过所有的替代、置换、异或和循环之后，你也许认为解密算法与加密算法完全不同。恰恰相反，经过精心选择的各种操作，获得了一个非常有用的性质：加密和解密使用相同的算法。DES加密和解密唯一的不同是密匙的次序相反。如果各轮加密密钥分别是K1,K2,K3.K16那么解密密匙就是K16,K15,K14K1。

23、,公开密钥密码体制对称密码算法存在以下问题：（1）密钥管理量问题：两两分别用一对密钥，当用户量增大时，密钥空间急剧增大。举例来说，A与B两人之间的密钥必须不同于A和C两人之间的密钥，否则给B的消息的安全性就会受到威胁。在有1000个用户的团体中，A需要保持至少999个密钥（更确切的说是1000个，如果她需要留一个密钥给他自己加密数据）。对于该团体中的其它用户，此种情况同样存在。这样，这个团体一共需要将近50万个不同的密钥！推而广之，n个用户的团体需要n2/2个不同的密钥。（2）对称算法无法实现抗否认需求数字签名,现有几种公开密钥密码体制，其中最著名的是RSA 体制，它基于数论中大数分解问题的体

24、制，由美国三位科学家 Rivest,Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。RSA公开密钥密码体制基本原理：RSA算法是R.Rivest、A.Shamir和L.Adleman于1977年在 美国麻省理工学院开发，于1978年首次公布。RSA公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法之一。RSA算法的安全性基于数论中大素数分解的困难性，所以，RSA需采用足够大的整数。因子分解越困难，密码就越难以破译，加密强度就越高。,RSA算法如下1）选择两素数p、q，（素数 p 和 q 一般为 100 位以上的十进数）并且两数的长度相同，以获得

25、最大程度的安全性。2）计算两数的乘积n=p*q3）计算n的欧拉函数(n)=(p-1)(q-1)4）随机选择整数e，使e与(n)互质，且1 e(n)5）计算d，使d*e=1 mod(n)其中，公钥(即加密密钥)PKe,n，私钥（即解密密钥）SK=d,n，两素数p、q不在需要，可以舍弃，但决不能泄露。,数字信封和数字签名公钥密码体制在实际应用中包含数字信封和数字签名两种方式。数字信封(Digital Envelop)的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了单钥密码体制和公钥密码体制。

26、信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输不可抵赖性,数字信封的实现,数字签名必须保证以下三点：(1)接收者能够核实发送者对报文的签名；(2)发送者事后不能抵赖对报文的签名；(3)接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公开密钥算法要比采用常规密钥算法更容易实现。图7-11是具有保密性的数字签名的实现。,具有保密性的数字签名,7.4 防火墙,防火墙是指目

27、前广泛应用的网络安全技术，是建立在两个网络的边界上的实现安全策略和网络通信监控的系统或系统组，强制执行对内部网和外部网的访问控制。通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。,防火墙在互联的网络中的位置,防火墙的基本规则配置防火墙有两种基本规则：（1）一切未被允许的就是禁止的（No规则）：在该规则下，防火墙封锁所有的信息流，只允许符合开发规则的信息进出。这种方法可以形

28、成一种比较安全的网络环境，但这是以牺牲用户使用的方便为代价的，用户需要的新服务必须通过防火墙管理员逐步添加。（2）一切未被禁止的就是允许的（Yes规则）:在该规则下，防火墙只禁止符合屏蔽规则的信息进出，而转发所有其他的信息流。这种方法提供了一种更为灵活的应用环境，但很难提供可靠的安全防护。具体选用那种规则，要根据实际情况决定，如果出于安全考虑就选择第一条规则，如果出于应用的便捷性考虑就选用第二条规则。,防火墙技术 防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成。实现防火墙的主要技术有:数据包过滤,应用网关和代理服务等。1.包过滤技术 包过滤(Packet Fil

29、tering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。工作在网络层和传输层。,数据包头部大致包含以下信息：IP源地址和目标地址协议（TCP、UDP或ICMP包）TCP/UDP源和目的端口TCP头中的ACK位ICMP信息类型数据包要到达的端口和要出去的端口,包过滤的优点：一个包过滤路由器即可保护整个网络不需要用户软件支撑，不需要对用户作特别培训包过滤产品比较容易获得包过滤的缺点：包过滤规则配置比

30、较困难对包过滤规则配置的测试比较麻烦包过滤功能有种种局限性 包过滤技术作为防火墙的应用有三类：一是路由设备在完成路由选择和数据转发之外,同时进行包过滤,这是目前较常用的方式；二是在工作站上使用软件进行包过滤,这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。,2.应用网关技术 应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录

31、，如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。,代理服务技术 代理服务(Proxy Service)也称电路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信分为两段。代理服务作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它接点的直接请求。,防火墙的体系结构常见的防火墙的体系结构有三种：双

32、宿主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。1.双宿主机体系结构 双宿主机体系结构围绕双宿主机构筑。双宿主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。然而双宿主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双宿主机通信，内部网络也能与双宿主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双宿主机的过滤和控制。双宿主机体系结构中，堡垒主机可以采用包过滤技术，也可采用代理服务技术。在使用代理服务技术的双重宿主机中，主机的

33、路由功能应当被禁止，两个网络之间的通信通过应用层代理服务来完成。,双宿主机体系结构,2.屏蔽主机体系结构双宿主机体系结构防火墙没有使用路由器。而屏蔽主机防火墙则使用一个路由器把内部网络和外部网络隔离开，堡垒主机安装在内部网络上。在这种体系结构中，包过滤路由器配置是否正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机能够被绕过，是内部网络完全暴露。屏蔽主机防火墙实现了网络层和应用层的安全。,3.屏蔽子网体系结构 屏蔽子网体系结构是在屏蔽主机结构中增加一层(DMZ)或称周边网的安全机制，使内部网与外部网之间有两层隔断。屏蔽子网体系结构的最简单的形式为，两个包过滤路由器，每一个都连接到非军事区网络中。一个位于非军事区与内部网络之间，另一个位于非军事区与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。管理员可以将Web服务器、Mail服务器放在非军事区网络中。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。,屏蔽子网体系结构,