文档介绍：计算机网络的担忧全因素：一般来说，计算机网络本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威逼。一方面，计算机网络的硬件和通信设施极易患病自然环境的影响，以及自然灾难和人为的物理破坏；另一方面，计算机网络的软件资源和数据信息易受到证的目的有三个：一是消息完整性认证；二是身份认证；三是 消息的序号和操作时间等的认证。
认证技术可以分为三个别层次：平安管理协议、认证体制、密码 体制。
数字签名是一种实现消息完整性认证和身份认证的重要技术。身
份认证的目的是验证信息收发方是否持有合法的身份认证符，可分为 直接身份认证和间接身份认证。
PKI（公开密钥基础设施）是一个用公钥密码算法原理和技术来提 供平安服务的通用型基础平台，用户可利用PKI 平台供应的平安服务
4
进行平安通信，它主要包括认证机构CA、证书库、密钥备份、证书 作废处理系统和PKI 应用接口系统等。CA 是PKI 的核心。
PKI 的特点：一是节省费用；二是互操作性；三是开放性；四是
全都的解决方案；五是可验证性；六是可选择性。
防火墙是一种将内部网络和外部网络分开的方法，是供应信息平安服务、实现网络和信息系统平安的重要基础设施，主要用于限制被爱护的内部网络与外部网络之间进行的信息存取及信息传递等操作。
防火墙的功能：过滤进、出网络的数据；管理进、出网络的访问 行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对 网络攻击的检测和告警。
对网络攻击检测和告警的体现：一是把握担忧全的服务；二是站点访问把握；三是集中平安服务；四是强化私有权；五是网络连接的 日志记录及使用统计。
防火墙的局限性：一是网络的平安性通常是以网络服务的开放性
和机敏性为代价；二是防火墙只是整个网络平安防护体系的一部分， 而且防火墙并非万无一失。
防火墙的体系结构：双重宿主主机体系结构、屏蔽主机体系结构、
屏蔽子网体系结构。
从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙，它们的实现技术主要有包过滤技术、代理服务技术、状态检 测技术和 NAT 技术等。包过滤技术工作在网络层，它的缺陷：一是
5
不能彻底防止地址哄骗；二是无法执行某些平安策略；三是平安性较差；四是一些应用协议不适合于数据包过滤；五是管理功能弱。代理服务技术是一种较新型的防火墙技术，工作在应用层，它分为应用型网关和电路层网关，应用层网关防火墙是传统代理型防火墙，核心技术就是***技术，它是基于软件的，通常安装在专用工作站系统上；电路层网关一般接受自适应代理技术，这种技术的要素有两个： 自适应***和动态包过滤器。
代理技术的优点：代理易于配置、代理能生成各项记录、代理能机敏、完全地把握进出流量和内容、代理能过滤数据内容、代理能为用户供应透亮的加密机制、代理可以便利地与其他平安手段集成；其缺点：一是代理速度较路由器慢；二是代理对用户不透亮；三是对于 每项服务代理可能要求不同的服务器；四是代理服务不能保证免受全部协议弱点的限制；五是代理不能改进底层协议的平安性。
状态检测技术的优点：高平安性、高效性、可伸缩性和易扩展性、 应用范围广；它有不足：在对大量状态信息的处理过程可能会造成网络连接的某种迟滞，特殊是在同时有很多连接被激活的时候，或者是有大量的过滤网络通信的规章存在。
NAT 技术是一种把内部私有IP 地址翻译成合法网络IP 地址的技术。NAT 就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换在公用地址，从 而在外部公网上正常使用。
NAT 有三种类型：静态NAT、动态NAT、网络地址端口转换NAPT。
6
NAT 技术的优点：一是全部内部的IP 地址对外面的人来说是隐蔽的；二是假如由于某种缘由公共IP 地址资源比较短缺的话，NAT 技术可以使整个内部网络共享一个IP 地址；三是可以启用基本的包过滤防火墙平安机制。虽然可以保障内部网络的平安，但是一些类似的 局限，另外内部网络利用现在流传比较广泛的木马程序可以通过NAT 进行外部连接，就像它可以穿过包过滤防火墙一样简洁。
个人防火墙的IP数据包过滤功能可以分为三种数据包过滤：ICMP数据包过滤、UDP 数据包过滤、TCP 数据包过滤。
个人防火墙的优点：一是增加了爱护级别，不需要额外的硬件资
源；二是个人防火墙除了可以抵抗外来攻击的同时，还可以抵抗内部 的攻击；三是个人防火墙是对公共网络中的单个系统供应了爱护，能 够为用户隐蔽暴露在网络上的信息。其缺点：一是个人防火墙对公共 网络只有一个物理接口，导致个人防火墙本身简洁受到威逼；二是个 人防火墙在运行时需要占用个人计算机的内存、CPU 时间等资源； 三是