当前位置：首页 > news >正文

计算机网络 | 7.网络安全

news 来源：原创 2025/7/21 9:50:25

1.网络安全问题概述

（1）计算机网络面临的安全性威胁

<1>计算机网络面临的完全性威胁

两类威胁

计算机网络面临的两大类安全威胁：被动攻击和主动攻击
- 被动攻击
  - 截获：从网络上窃听他人的通信内容。
- 主动攻击
  - 篡改：故意篡改网络上传送的报文
  - 伪造：伪造信息在网络上传送（也属于篡改）
  - 恶意程序：种类较多，下面会详细介绍
  - 拒绝服务DOS

a.截获

在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU (这里使用 PDU 这一名词是考虑到所涉及的可能是不同的层次)而不干扰信息流。
攻击者可以通过分析截获的数据，拿到用户的账号密码等信息。
截获攻击举例
- 恶意主机C安装类似cain的软件
- 主机A要和Internet中的 WEB服务器通信
- 主机A发送请求，恶意主机C发送ARP欺骗信息，恶意主机C将自己的IP及MAC地址伪装成网关发送给主机A。（此时，主机A与外界的通信都经过恶意主机C）
- 至此，主机A与WEB服务器的通信内容全部被恶意主机C截获。
- 恶意主机C甚至可以使用cain之类的软件破解出用户在WEB服务器上的账号密码信息。

b.篡改

截获并且修改了资源，这是对数据完整性的攻击。
篡改举例（钓鱼网站举例）
- 主机A要登陆某银行网站XYZWEB服务器1，输入网址XXX.com
- DNS域名解析，当解析后的数据发送给主机A时，恶意主机截获数据，然后将XXX.com对应的IP替换成WEB服务器2的IP
- 黑客做一个和XYZ银行网站一模一样的页面
- 用户使用主机A发送请求，但由于IP换掉，实际上是在WEB服务器2上的虚假网页上输入了自己的账号密码
- 由于虚假的网站对账号密码等数据不进行加密，因此黑客直接获得用户输入的银行账号密码，造成资产的不安全。

c.伪造

以未授权方式将伪造的对象插入系统，这是对真实性的攻击。
伪造举例（简单例子）
- 假设WEB服务器只对指定的IP通信，如主机A，IP为199.162.0.20；主机B无法与WEB服务器通信。
- 假设某一时刻，主机A关机。（如果主机A不关机，主机B更改为主机A的IP地址，会造成IP地址冲突）
- 此时，恶意主机B将自己的IP更改为主机A的IP地址199.162.0.20；则主机B实现了与WEB服务器的通信。

d.恶意程序

计算机病毒
- 一种会"传染"其他程序的程序， 64传染"是通过修改其他程序来把自身或自己的变种复制进去而完成的。
  - 例如2006年的熊猫烧香，会更改计算机中的其他内容，甚至会强制删除掉计算机上的文件。
计算机蠕虫
- 一种通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动运行的程序。
- 蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。
  - 蠕虫会自动逐步占领你的主机的系统资源，通常是CPU和内存。占满CPU和内存时，电脑只能重启，但重启之后蠕虫又会重新占领你的CPU和内存。此时，需要全盘杀毒或者重装系统。
特洛伊木马
- 一种程序，它执行的功能并非所声称的功能而是某种恶意功能。
- （在传输层介绍端口的安全时，介绍过灰鸽子木马程序）
- 木马通常作为内应，主动与放出木马的主机通信，可以将你电脑中的文件偷偷发送给黑客。由于是木马在被入侵主机主动与黑客通信，因此Windows防火墙不起作用。
逻辑炸弹
- 一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
- 例如编辑程序，平时运行良好，只在每周五删除被入侵主机的系统中所有文件。
后门入侵
- 是指利用系统实现中的漏洞通过网络入侵系统。
流氓软件
- 一种未经用户允许就在用户计算机上安装运行并损害用户利益的软件，其典型特征是:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等等。
  - 在许多下载站有这种病毒。非常不幸，我在装安装MSDN下载的系统后，从系统之家下载“小马激活工具”时中招过。

e.拒绝服务DoS

大学生选课抢课、早期12306抢票崩溃。与DoS攻击原理一样。

DoS攻击

DOS攻击
- 指攻击者向互联网上的某个服务器不停地发送大量分组，使该服务器无法提供正常服务，甚至完全瘫痪。
- 在图片中，主机A访问WEB服务器1时，如果A不停发送大量分组，致使WEB服务器1无法正常通过。
  - 现实中，主机A在局域网中的带宽小，WEB服务器1（链路S）的带宽很大，仅靠一台主机A很难实现DoS攻击。此时，大多使用DDoS攻击（CC攻击是DDoS攻击的一种）。
DDoS攻击（图片中的红色虚线）
- 肉鸡的概念：
  - 肉鸡也称傀儡机，是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情。（肉鸡不仅可以是网络中的主机，也可以是服务器）
  - 图片中，充当肉鸡功能的是主机B、主机C、主机D、WEB服务器A。
- 主机A操纵肉鸡一起向WEB服务器1发送大量请求致使WEB1服务器崩溃。
- 这种方式，没有很好的防范方法，只能提高自己的带宽（链路S），提升CPU处理能力、扩展内存。
  - 假如WEB服务器1使用服务提供商提供的服务器，严重情况下，会导致整个服务提供商其他服务器的访问。（攻击者占用了服务提供商的总带宽，进而影响WEB服务器2、WEB服务器3，尽管服务器2、服务器3与路由器连接的分线路上带宽没被占用）
- 挖坑：高防CDN可以防护服务器免受DDoS攻击，以后了解了再详细介绍。

<2>安全的计算机网络

保密性
- 保密性就是只有信息的发送方和接收方才能懂得所发送信息的内容，而信息的截获者则看不懂所截获的信息。
端点识别
- 安全的计算机网络必须能够鉴别信息的发送方和接收方的真实身份。
信息的完整性
- 即使能够确认发送方的身份是真实的，并且所发送的信息都是经过加密的，我们依然不能认为网络是安全的。还必须确认所收到的信息都是完整的，也就是信息的内容没有被人篡改过。
运行的安全性
- DoS攻击没有窃取信息，仍攻击了服务器。
- 访问控制对计算机系统的安全性非常重要。必须对访问网络的权限加以控制，并规定每个用户的访问权限。

<3>数据加密模型

加密模型

2.两类密码体制

（1）对称密钥密码体制

所谓对称密钥密码体制，即加密密钥与解密密钥是使用相同的密码体制。

数据加密标准 DES
- 加密过程
  - 在加密前，先对整个的明文进行分组。每一个组为 64 位长的二进制数据。
  - 然后对每一个 64 位二进制数据进行加密处理，产生一组 64 位密文数据。
  - 最后将各组密文串接起来，即得出整个的密文。
  - 使用的密钥占有 64 位(实际密钥长度为 56 位，外加 8 位用于奇偶校验)。
- DES 的保密性仅取决于对密钥的保密，而算法是公开的。
  - 56位密钥刚开始比较安全，在计算机硬件发展之后，破解速度较快
  - 因此，后来使用了128位密钥
对称加密的优缺点
- 优点：
  - 效率高，压缩后文件没有变大
- 缺点：
  - 密钥不适合在网上传输。（如果密钥给截获，同样不安全）
  - 密钥维护较麻烦。（假如部门经理A有30名员工，使用这种方法，部门经理需要分别和30名员工配置密钥对。<对比理解非对称加密——公钥私钥>）

（2）非对称加密

公钥密码体制使用不同的加密密钥与解密密钥。

<1>非对称加密理解

在公钥密码体制中，加密密钥（即公钥)是向公众公开的。
而解密密钥 SK C secret key，即私钥或秘钥)则是需要保密的。
加密算法 E 和解密算法 D 也都是公开的。

<2>常用介绍

对称密钥的分发（后续介绍）
- 详细介绍见下文 “（3）对称加密和非对称加密混合使用”
数字签名（后续介绍）
- 因为A的私钥只有A有，因此可用来数字签名

<3>非对称加密解密过程

1）密钥对产生器产生出接收者 B 的一对密钥：加密密钥 PKB和解密密钥 SKB。
- 发送者 A 所用的加密密钥PKB就是接收者 B 的公钥，它向公众公开。
- 而 B 所用的解密密钥 SKB就是接收者 B 的私钥，对其他人都保密。
2）发送者 A 用 B 的公钥 PKB通过E 运算对明文X加密，得出密文 Y，发送给 B。
3）B 用自己的私钥 SKB通过 D 运算进行解密，恢复出明文。
4）虽然在计算机上可以容易地产生成对的 PKB和 SKB，但从己知的 PKB 实际上不可能推导出 SKB，即从 PKB 到 SKB是"计算上不可能的"。
5）虽然公钥可用来加密，但却不能用来解密。
6）先后对X进行 D 运算和 E 运算或进行 E 运算和 D 运算，结果都是一样的。

<4>非对称加密的优缺点

优点：
- 安全性更高，公钥是公开的，秘钥是自己保存的，不需要将私钥给别人。
缺点：
- 效率低，仅使用小文件的加密。

（3）对称加密和非对称加密混合使用

混合使用对称加密和非对称加密，取他们的优点来使用

对称+非对称

对称加密的优点：效率高
对称加密的缺点：密钥分发困难（不能在网路中传输，防止被截获）
非对称加密的优点：安全性高
非对称加密的缺点：速度慢，效率低，加密后文件变大。
两种加密方式混合使用
- 对500M文件，仍然使用对称加密（对称加密优点：效率高）
- 使用非对称密钥传输“上一步对称加密的密钥”（非对称加密优点：安全性高）
- 这样就解决了对称加密密钥分发困难、非对称加密效率低的问题。

3.数字签名及证书颁发机构CA

（1）数字签名

<1>数字签名的功能

1）接收者能够核实发送者对报文的签名。
- 也就是说，接收者能够确信该报文的确是发送者发送的。其他人无法伪造对报文的签名。这叫做报文鉴别。
2）接收者确信所收到的数据和发送者发送的完全一样而没有被篡改过。
- 这叫做报文的完整性。
3）发送者事后不能抵赖对报文的签名。
- 这叫做不可否认。
数字签名没有加密功能！！！！！！！！！！

<2>数字签名的举例

实际举例：假如公司要发布一个“放假文件”，接收到的员工必须确定3件事（即数字签名的3个特征：）
a.这个文件是的确公司老板发的
b.这个文件没有被更改过（比如放假日期）
c.事后，老板不能抵赖说没发过这个“放假文件”
“放假文件”不是公司机密，不需要加密
*

（2）数字证书颁发机构CA

证书颁发机构CA，即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

其主要功能为：产生密钥对、生成数字证书、分发密钥、密钥管理等。
CA证书作用
- 保密性 - 只有收件人才能阅读信息。
- 认证性 - 确认信息发送者的身份。
- 完整性 - 信息在传递过程中不会被篡改。
- 不可抵赖性 - 发送者不能否认已发送的信息。

如果私钥丢失，需要在CA认证处“挂失”
通俗理解：如果公司自己产生数字证书，与其他公司进行交易时，别人不信任你。假如信任了你的数字证书，签过合同你抵赖怎么办？这时候就需要第三方（类似派出所发身份证）

（3）报文鉴别

<1>密码散列函数

数字签名就能够实现对报文的鉴别。然而这种方法有一个很大的缺点，就是对较长的报文(这是很常见的)进行数字签名会使计算机增加非常大的负担，因为这需要进行较多的时间来进行运算。

散列函数的特点
- 散列函数的输入长度可以很长，但其输出长度则是固定的，并且较短。
- ** 不同的散列值肯定对应于不同的输入，但不同的输入却可能得出相同的散列值。**
密码散列函数的特点
- 要找到两个不同的报文，它们具有同样的密码散列函数输出，在计算上是不可行的。
  - 也就是说，不同的输入必定对应不同的输出

<2> 实用的密码散列函数 MD5

报文摘要（2004年，中国学者王小云证明可以用系统的方法找到一对报文，他们的MD5报文摘要相同，此后，多名学者开发了对MD5的攻击。因此现被SHA取代）

MD5 算法的大致过程如下:
- 1）先把任意长的报文按模 264计算其余数 (64 位)，追加在报文的后面。
- 2)在报文和余数之间填充 1-512 位，使得填充后的总长度是 512 的整数倍。填充的首位是1，后面都是 0。
- 3)把追加和填充后的报文分割为一个个 512 位的数据块，每个 512 位的报文数据再分成 4 个 128 位的数据块依次送到不同的散列函数进行 4 轮计算。每一轮又都按 32 位的小数据块进行复杂的运算。一直到最后计算出 MD5 报文摘要代码(128 位)。

<3>报文鉴别码

a.为什么使用报文鉴别

不适用报文鉴别简单步骤：
- 1）)用户 A 首先根据自己的明文 X 计算出散列H(X)(例如，使用 MD5)。为方便起见，我们把得出的散列 H(X）记为 H。
- 2）用户 A 把散列 H拼接在明文X的后面，生成了扩展的报文(X，H) ，然后发送给 B。
- 3）用户 B 收到了这个扩展的报文(X，H)。因为散列的长度 H是早己知道的固定值，因此可以把收到的散列 H 和明文 X 分离开。 B 通过散列函数的运算，计算出收到的明文 X 的散列 H(X)。若 H(X) =H，则 B 似乎可以相信所收到的明文是 A 发送过来的。
问题：
- 像上面列举的做法，实际上是不可行的。设想某个入侵者创建了一个伪造的报文 M，然后也同样地计算出其散列 H(M)，并且冒充 A 把拼接有散列的扩展报文发送给 B。B 收到扩展的报文(M， H(M))后，按照上面步骤（3)的方法进行验证，发现一切都是正常的，就会误认为所收到的伪造报文就是 A 发送的。

b.报文鉴别

报文鉴别

用户 A 用其私钥对散列 H 进行 D 运算，得出报文鉴别码 MAC。然后 A 把报文鉴别码 MAC 拼接在报文 X 的后面，构成扩展的报文发送给 B。B 收到扩展的报文后，采取的做法和前面所述的基本一样，不同的地方是，对收到的报文鉴别码 MAC 是用 A 的公钥进行 E 运算。由于入侵者没有 A 的私钥，因此他不可能伪造出 A 发出的报文。

（4）实际问题举例

假如A公司要买B公司的产品，需要签约合同，会有一系列问题：
- 问题1：B公司如何保证对方是公司A ？
- 问题2：B公司签约后，如何保证双方不对签约内容进行篡改？
- 问题3：？
实际数据图
发送方（公司A）
- 1）公司A向CA申请数字证书，有A的公钥、A的私钥，以及CA数字签名（CA私钥、CA公钥）
  - CA的私钥对数字证书进行签名（我的理解是CA用CA的私钥对A的公钥签名，用来证明A的私钥、公钥是由CA颁发的。<因为CA的私钥只有CA有>）
- 2）公司A对合同内容进行MD5/SHA进行摘要得到“摘要M”（不同的合同对应不同的摘要，只要合同更改一个数字，得到的SHA摘要就会变化）
- 3）公司A用A的私钥对得到的“摘要M”进行加密签名，用来证明“摘要M”是A公司发出去的（因为A的私钥只有A公司有）
- 4）对合同使用对称加密，对称密钥为ABCxx（对称加密效率高）
- 5）对对称密钥ABCxx 使用B的公钥加密（防止密钥泄露）
- 6）将数据拼接发送给公司B
  - 其中的数据有：“对称加密的合同”、“B公钥加密的对称密钥ABCxx”、“使用A私钥签名的摘要M”、“使用CA私钥签名的 A的公钥”
接收方（公司B）
- 1）验证对方是否是公司A
  - 先使用CA公钥，验证“使用CA私钥签名的 A的公钥”。验证A的公钥、私钥是否是CA颁发的。
  - 如果是CA颁发的，再验证A的签名是否过期、A的私钥是否在CA“挂失”
  - 如果都没有问题，则表明对方的确是公司A，进行下一步
- 2）解密合同并获取（自己得到的）摘要N
  - 使用B的私钥对“B公钥加密的对称密钥ABCxx”进行解密，得到对称密钥ABCxx
  - 使用对称密钥ABCxx解密“对称加密的合同”，得到原合同
  - 对原合同进行MD5/SHA摘要，得到摘要N
- 3）对比摘要
  - 使用A的公钥，解密“使用A私钥签名的摘要M”，得到摘要M
  - 对比摘要N和摘要M。如果完全相同，则表明合同没有被篡改。
问题解答
- 验证对方是公司A ？
  - 由于公司A的公钥是CA的私钥签名的，验证成功公钥私钥是合法的（A的公钥、私钥是CA签发的）。且由于A的私钥没有挂失、过期，因此认为对方的确是公司A
- 验证合同是公司A发的？
  - 由于“合同摘要M”使用了A的私钥进行签名，而A的私钥只有A公司有，因此认为合同的确是公司A发的。（因此A公司也不能抵赖）
- 验证合同没有被篡改？
  - 相同的合同对应相同的摘要，只要更改一个字，摘要变不完全相同。
  - 由于公司A发送了“合同摘要M”，公司B又通过合同得到“摘要N”。对比“摘要M”和“摘要N”，完全相同，则可证明合同没有被篡改过。

4.互联网使用的安全协议

（1）应用层安全协议

电子邮件安全协议
- PEM
- S/MIME
- PGP
远程登陆的安全协议
- SSH（很常用）
Web安全协议
- S-HTTP

（2）传输层安全协议SSL

SSL实际上介于应用层和传输层之间

SSL

SSL在传输层与应用层之间对网络连接进行加密。
- 1）认证用户和服务器，确保数据发送到正确的客户机和服务器；
- 2）加密数据以防止数据中途被窃取；
- 3）维护数据的完整性，确保数据在传输过程中不被改变。
SSL提供以下三种功能
- SSL服务器鉴别，允许用户证实服务器的身份。 支持 SSL 的客户端通过验证来自服务器的证书，来鉴别服务器的真实身份并获得服务器的公钥。
- SSL 客户鉴别， SSL 的可选安全服务，允许服务器证实客户的身份。
- 加密的 SSL 会话，对客户和服务器间发送的所有报文进行加密，并检测报文是否被篡改。
SSL建立过程
SSL与HTTP
- HTTP使用SSL协议，变为HTTPS，使用端口TCP-443
- HTTPS实际上应用了Netscape的安全套接字层（SSL）作为HTTP应用层的子层。
- 客户端需要使用服务器的公钥，对“对称密钥”进行加密，然后通信使用对称加密。
  - 实际举例：工商银行官网首页与登陆的区别
  - 首页使用HTTP，转换为登录页时，换位HTTPS
SSL与IMAP
- IMAP使用SSL协议，变为IMAPS，使用端口TCP-993
SSL与POP3
- POP3使用SSL协议，变为POP3S，使用端口TCP-995
SSL与STMP
- STMP使用SSL协议，变为STMPS，使用端口TCP-465

（3）网络层安全协议IPSec

讨论虚拟专用网 VPN 时，提到在 VPN 中传送的信息都是经过加密的。现在我们就要介绍提供这种加密服务的 IPsec。
IPsec 并不是一个单一协议，而是能够在 IP 层提供互联网通信安全的协议族。

<1>IPSec概述

IPsec 协议族中的协议可划分为以下三个部分:
- IP 安全数据报格式的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议。
- 有关加密算法的三个协议(在此不讨论)。
- 互联网密钥交换IKE协议。
  - AH协议提供源点鉴别和数据完整性，但不能保密。而ESP协议比AH协议复杂得多，它提供源点鉴别、数据完整性和保密。
  - 使用ESP或AH协议的IP数据报称为IP安全数据报(或IPsec数据报)，它可以在两台主机之间、两个路由器之间或一台主机和一个路由器之间发送。
IP 安全数据报有以下两种不同的工作方式
- 第一种工作方式是运输方式。
  - 运输方式是在整个运输层报文段的前后分别添加若干控制信息，再加上IP首部，构成IP安全数据报。
- 第二种工作方式是隧道方式
  - 隧道方式是在原始的IP数据报的前后分别添加若干控制信息，再加上新的IP首部，构成一个IP安全数据报。

<2>安全关联

在发送IP安全数据报之前，在源实体和目的实体之间必须创建一条网络层的逻辑连接，即安全关联 SA
这样，传统的互联网中无连接的网络层就变为了具有逻辑连接的一个层。安全关联是从源点到终点的单向连接，它能够提供安全服务。如要进行双向安全通信，则两个方向都需要建立安全关联。
- *假定某公司有一个公司总部和一个在外地的分公司。总部需要和这个分公司以及在各地出差的n个员工进行双向安全通信。在这种情况下，一共需要创建(2 + 2n)条安全关联SA。在这些安全关联SA上传送的就是IP安全数据报。 *

安全关联SA示例：

安全连接SA

路由器到路由器
- R1和R2在公司防火墙中
- 公司总部与分公司之间的安全关联SA就是在**路由器 Rl 和 R2 **之间建立的。
- 现假定公司总部的主机H1要和分公司的主机H2通过互联网进行安全通信。
  - 公司总部主机H1发送给分公司主机H2的IP数据报，必须先经过公司总部的路由器R1。然后经IPsec的加密处理后，成为IP安全数据报。
  - IP安全数据报经过互联网中很多路由器的转发，最后到达分公司的路由器R2。路由器R2对IP安全数据报解密，还原出原始的数据报，传送到终点主机H2。
  - 从逻辑上看，IP安全数据报在安全关联SA上传送，就好像通过一个安全的隧道。这就是"隧道方式"这一名词的来源。
- 如果总部的主机H1要和总部的另一台主机H3通信，由于都在公司内部，不需要加密，因此不需要建立安全关联。
路由器到主机
- 公司总部的路由器R1和外地业务员的主机H2建立安全关联SA(即路由器和主机之间的安全关联)。
- 公司总部H1发送的IP数据报，通过路由器R1后，就变成了IP安全数据报。经过互联网中许多路由器的转发，最后到达H2。
- 外地业务员利用事先安装在H2中的IPsec对IP安全数据报进行鉴别和解密，还原H1发来的IP数据报。
- 可以看出，现在是在路由器R1和业务员的主机H2之间构成了一个安全隧道。
**建立安全关联SA的路由器或主机，必须维护这条SA的状态信息。说明其状态信息应包括的项目: **
- 一个 32 位的连接标识符，称为安全参数索引 SPI
- 安全关联SA的源点和终点的IP地址(即路由器R1和R2的IP地址)。
- 所使用的加密类型(例如， DES 或 AES)。
- 加密的密钥。
- 完整性检查的类型(例如，使用报文摘要 MD5 或 SHA-l 的报文鉴别码 MAC)。
- 鉴别使用的密钥。

<3>IP安全数据报的格式

IP安全数据报

不再详细了解

3.系统安全：防火墙与入侵检测

防火墙作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。由于防火墙不可能阻止所有入侵行为，作为系统防御的第二道防线，入侵检测系统IDS通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动，并进行报警以便进一步采取相应措施。

（1）防火墙

防火墙是一种特殊编程的路由器，安装在一个网点和网络的其余部分之间，目的是实施访问控制策略。这个访问控制策略是由使用防火墙的单位自行制定的。
一般都把防火墙里面的网络称为"可信的网络" ，而把防火墙外面的网络称为"不可信的网络" 。

防火墙

防火墙技术一般分为以下两类。
- 分组过滤路由器
  - 具有分组过滤功能的路由器，它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则是基于分组的网络层或运输层首部的信息，例如：源/目的IP地址、源/目的端口、协议类型 (TCP 或 UDP)，等等。
  - 分组过滤可以是无状态的，即独立地处理每一个分组。也可以是有状态的，即要跟踪每个连接或会话的通信状态，并根据这些状态信息来决定是否转发分组。
  - 分组过滤路由器的优点是简单高效，且对于用户是透明的，但不能对高层数据进行过滤。
- 应用网关也称为代理服务器
  - 所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时，先发送给应用网关，应用网关在应用层打开该报文，查看该请求是否合法(可根据应用层用户标识 ID 或其他应用层信息来确定)。如果请求合法，应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法，报文则被丢弃。
  - 应用网关也有一些缺点。首先，每种应用都需要一个不同的应用网关(可以运行在同一台主机上)。其次，在应用层转发和处理报文，处理负担较重。另外，对应用程序不透明，需要在应用程序客户端配置应用网关地址。
  - 通常可将这两种技术结合使用。

（2）入侵检测系统

防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为，有必要采取措施在入侵己经开始，但还没有造成危害或在造成更大危害前，及时检测到入侵，以便尽快阻止入侵，把危害降低到最小。入侵检测系统 IDS 正是这样一种技术。 IDS 对进入网络的分组执行深度分组检查，当观察到可疑分组时，向网络管理员发出告警或执行阻断操作(由于 IDS 的"误报"率通常较高，多数情况不执行自动阻断)。IDS能用于检测多种网络攻击，包括网络映射、端口扫描、 DoS 攻击、蠕虫和病毒、系统漏洞攻击等。

入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。
- 基于特征的 IDS 维护一个所有己知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集，这些规则可能基于单个分组的首部宇段值或数据中特定比特串，或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时，则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成，机构的网络管理员定制并将其加入到数据库中。
- 基于特征的 IDS 只能检测己知攻击，对于未知攻击则束手无策。基于异常的 IDS 通过观察正常运行的网络流量，学习正常流量的统计特性和规律，当检测到网络中流量的某种统计规律不符合正常情况时，则认为可能发生了入侵行为。例如，当攻击者在对内网主机进行ping搜索时，或导致 ICMP ping 报文突然大量增加，与正常的统计规律有明显不同。但区分正常流和统计异常流是一个非常困难的事情。至今为止，大多数部署的 IDS 主要是基于特征的，尽管某些 IDS 包括了某些基于异常的特性。