信息安全培训方案80页.docx
《信息安全培训方案80页.docx》由会员分享,可在线阅读,更多相关《信息安全培训方案80页.docx(103页珍藏版)》请在冰豆网上搜索。
信息安全培训方案80页
信
息
安
全
培
训
方
案
二○○六年二月十四日
第一部分信息安全的基础知识
一、什么是信息安全
1.网络安全背景
✓与相关的安全事件频繁出现
✓已经成为商务活动、通讯及协作的重要平台
✓最初被设计为开放式网络
2.什么是安全?
✓安全的定义:
信息安全的定义:
为了防止XX就对知识、事实、数据或能力进行实用、滥用、修改或拒绝使用而采取的措施。
✓信息安全的组成:
信息安全是一个综合的解决方案,包括物理安全、通信安全、辐射安全、计算机安全、网络安全等。
✓信息安全专家的工作:
安全专家的工作就是在开放式的网络环境中,确保识别并消除信息安全的威胁和缺陷。
3.安全是一个过程而不是指产品
不能只依赖于一种类型的安全为组织的信息提供保护,也不能只依赖于一种产品提供我们的计算机和网络系统所需要的所有安全性。
因为安全性所涵盖的范围非常广阔,包括:
●防病毒软件;
●访问控制;
●防火墙;
●智能卡;
●生物统计学;
●入侵检测;
●策略管理;
●脆弱点扫描;
●加密;
●物理安全机制。
4.百分百的安全神话
✓绝对的安全:
只要有连通性,就存在安全风险,没有绝对的安全。
✓相对的安全:
可以达到的某种安全水平是:
使得几乎所有最熟练的和最坚定的黑客不能登录你的系统,使黑客对你的公司的损害最小化。
✓安全的平衡:
一个关键的安全原则是使用有效的但是并不会给那些想要真正获取信息的合法用户增加负担的方案。
二、常见的攻击类型
为了进一步讨论安全,你必须理解你有可能遭遇到的攻击的类型,为了进一步防御黑客,你还要了解黑客所采用的技术、工具及程序。
我们可以将常见的攻击类型分为四大类:
针对用户的攻击、针对应用程序的攻击、针对计算机的攻击和针对网络的攻击。
第一类:
针对用户的攻击
5.前门攻击
✓密码猜测
在这个类型的攻击中,一个黑客通过猜测正确的密码,伪装成一个合法的用户进入系统,因为一个黑客拥有一个合法用户的所有信息,他(她)就能够很简单地从系统的“前门”正当地进入。
6.暴力和字典攻击
✓暴力攻击
暴力攻击类似于前门攻击,因为一个黑客试图通过作为一个合法用户获得通过。
✓字典攻击
一个字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围,强壮的密码通过结合大小写字母、数字、通配符来击败字典攻击。
◆2-1:
使用4破解系统口令,密码破解工具
◆2-2:
&
7.病毒
计算机病毒是一个被设计用来破坏网络设备的恶意程序。
8.社会工程和非直接攻击
社交工程是使用计谋和假情报去获得密码和其他敏感信息,研究一个站点的策略其中之一就是尽可能多的了解属于这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
✓打电话请求密码:
一个黑客冒充一个系统经理去打电话给一个公司,在解释了他的帐号被意外锁定了后,他说服公司的某位职员根据他的指示修改了管理员权限,然后黑客所需要做的就是登录那台主机,这时他就拥有了所有管理员权限。
✓伪造:
使用一个黑客可以截取任何一个身份证,发送给一个用户,这样的消息是真的,因为它发自于一个合法的用户。
在这种情形下这些信息显得是绝对的真实,然而它们是假的,因为黑客通过欺骗服务器来发送它们。
◆2-3:
发送伪造的消息。
第二类:
针对应用程序的攻击
9.缓冲区溢出
目前最流行的一种应用程序类攻击就是缓冲区溢出。
当目标操作系统收到了超过它设计时在某一时间所能接收到的信息量时发生缓冲区溢出。
这种多余的数据将使程序的缓存溢出,然后覆盖了实际的程序数据,缓冲区溢出使得目标系统的程序自发的和远程的被修改,经常这种修改的结果是在系统上产生了一个后门。
10.邮件中继
目前互连网上的邮件服务器所受攻击有两类:
一类就是中继利用(),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。
另一类攻击称为垃圾邮件(),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。
◆2-4:
通过邮件中继发送消息。
11.网页涂改
是一种针对服务器的网页内容进行非法篡改,以表达不同的观点或社会现象。
这种攻击通常损害的是网站的声誉。
(中国红客联盟)为
第三类:
针对计算机的攻击
12.物理攻击
许多公司和组织应用了复杂的安全软件,却因为主机没有加强物理安全而破坏了整体的系统安全。
通常,攻击者会通过物理进入你的系统等非手段来开启的安全漏洞。
增强物理安全的方法包括:
用密码锁取代普通锁;将服务器放到上锁的房间中;安装视频监视设备。
◆2-5:
操作一个对2000的物理攻击
13.特洛伊木马和
任何已经被修改成包含非法文件的文件叫做“特洛伊程序”。
特洛伊程序通常包含能打开端口进入或具有管理权限的命令行文件,他们可以隐藏自己的表现(无窗口),而将敏感信息发回黑客并上载程序以进一步攻击系统及其安全。
◆2-6:
遭受特洛伊木马感染
✓(附文档)
是多种系统的一个后门,它在控制阶段被引入,并且产生一个严重的问题。
由一系列的程序构成,当这些程序被特洛伊木马取代了合法的程序时,这种取代提供给黑客再次进入的后门和特别的分析网络工具。
14.系统和后门
✓和后门
一个是一个程序中的错误,它产生一个不注意的通道。
一个后门是一个在操作系统上或程序上未被记录的通道。
程序设计员有时有意识地在操作系统或程序上设置后门以便他们迅速地对产品进行支持。
15.蠕虫
蠕虫是一种拒绝服务病毒,最近流行的红色代码也是类似的一种蠕虫病毒。
蠕虫病毒消耗完系统的物理和内存资源而导致系统缓慢甚至崩溃,而没有其他的破坏。
第四类:
针对网络的攻击
16.拒绝服务攻击:
在一个拒绝服务攻击中,一个黑客阻止合法用户获得服务。
这些服务可以是网络连接,或者任何一个系统提供的服务。
✓分布式拒绝服务攻击:
(附文档)
是指几个远程系统一起工作攻击一个远程主机,通常通过大量流量导致主机超过负载而崩溃。
17.哄骗:
(附文档)
哄骗和伪装都是偷窃身份的形式,它是一台计算机模仿另一台机器的能力。
特定的例子包括哄骗,哄骗,路由器哄骗和哄骗等。
18.信息泄漏:
几乎所有的网络后台运行程序在默认设置的情况下都泄漏了很多的信息,组织结构必须决定如何最少化提供给公众的信息,哪些信息是必要的,哪些信息是不必要的。
需要采取措施保护,不必要泄漏的信息:
服务器的内容、路由表、用户和帐号名、运行在任何服务器上的标题信息(如操作系统平台、版本等)。
◆2-7:
通过连接服务器的、3等服务
19.劫持和中间人攻击:
中间人攻击是黑客企图对一个网络的主机发送到另一台主机的包进行操作的攻击。
黑客在物理位置上位于两个被攻击的合法主机之间。
最常见的包括:
◆嗅探包:
以获得用户名和密码信息,任何以明文方式传送的信息都有可能被嗅探;
◆包捕获和修改:
捕获包修改后重新再发送;
◆包植入:
插入包到数据流;
◆连接劫持:
黑客接管两台通信主机中的一台,通常针对会话。
但非常难于实现。
◆2-8:
网络包嗅探邮件账号口令
三、信息安全服务
20.安全服务
国际标准化组织()7498-2定义了几种安全服务:
服务
目标
验证
提供身份的过程
访问控制
确定一个用户或服务可能用到什么样的系统资源,查看还是改变
数据保密性
保护数据不被未授权地暴露。
数据完整性
这个服务通过检查或维护信息的一致性来防止主动的威胁
不可否定性
防止参与交易的全部或部分的抵赖。
21.安全机制
根据提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。
把机制分成特殊的和普遍的。
一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。
如:
加密、数字签名等。
普遍的安全机制不局限于某些特定的层或级别,如:
信任功能、事件检测、审核跟踪、安全恢复等。
四、网络安全体系结构
第二部分信息安全的实际解决方案
一、加密技术
22.加密系统
加密把容易读取的源文件变成加密文本,能够读取这种加密文本的方法是获得密钥(即把原来的源文件加密成加密文本的一串字符)。
1)加密技术通常分为三类:
◆对称加密:
使用一个字符串(密钥)去加密数据,同样的密钥用于加密和解密。
◆非对称加密:
使用一对密钥来加密数据。
这对密钥相关有关联,这对密钥一个用于加密,一个用于解密,反之亦然。
非对称加密的另外一个名字是公钥加密。
◆加密:
更严格的说它是一种算法,使用一个叫函数的数学方程式去加密数据。
理论上函数把信息进行混杂,使得它不可能恢复原状。
这种形式的加密将产生一个值,这个值带有某种信息,并且具有一个长度固定的表示形式。
2)加密能做什么?
加密能实现四种服务:
数据保密性:
是使用加密最常见的原因;
数据完整性:
数据保密对数据安全是不足够的,数据仍有可能在传输时被修改,依赖于函数可以验证数据是否被修改;
验证:
数字证书提供了一种验证服务,帮助证明信息的发送者就是宣称的其本人;
不可否定性:
数字证书允许用户证明信息交换的实际发生,特别适用于财务组织的电子交易。
23.对称密钥加密系统
在对称加密或叫单密钥加密中,只有一个密钥用来加密和解密信息。
◆对称加密的好处就是快速并且强壮。
◆对称加密的缺点是有关密钥的传播,所有的接收者和查看者都必须持有相同的密钥。
但是,如果用户要在公共介质上如互联网来传递信息,他需要通过一种方法来传递密钥。
一个解决方案就是用非对称加密,我们将在本课的后面提到。
24.非对称密钥加密系统
非对称加密在加密的过程中使用一对密钥,一对密钥中一个用于加密,另一个用来解密。
这对密钥中一个密钥用来公用,另一个作为私有的密钥:
用来向外公布的叫做公钥,另一半需要安全保护的是私钥。
非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的数学运算程序。
25.加密和数字签名
加密把一些不同长度的信息转化成杂乱的128位的编码里,叫做值。
加密用于不想对信息解密或读取。
使用这种方法解密在理论上是不可能的,是通过比较两上实体的值是否一样而不用告之其它信息。
1)数字签名
加密另一种用途是签名文件。
签名过程中,在发送方用私钥加密哈希值从而提供签名验证,接受方在获得通过发送方的公钥解密得到的哈希值后,通过相同的单向加密算法处理数据用来获得自己的哈希值,然后比较这两个哈希值,如果相同,则说明数据在传输过程中没有被改变。
✓加密系统算法的强度
加密技术的强度受三个主要因素影响:
算法强度、密钥的保密性、密钥的长度。
◆算法强度:
是指如果不尝试所有可能的密钥的组合将不能算术地反转信息的能力。
◆密钥的保密性:
算法不需要保密,但密钥必须进行保密。
◆密钥的长度:
密钥越长,数据的安全性越高。
26.应用加密的执行过程
1)电子邮件加密
用于加密的流行方法就是使用或,虽然加密的标准不同,但它们的原则都是一样的。
下面是发送和接收中加密的全部过程:
1发送方和接收方在发送信息之前要得到对方的公钥。
2发送方产生一个随机的会话密钥,用于加密信息和附件。
这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。
算法通过使用,,,5等等。
3发送者然后把这个会话密钥和信息进行一次单向加密得到一个值。
这个值用来保证数据的完整性因为它在传输的过程中不会被改变。
在这步通常使用2,4,5或。
5用于,而默认使用。
4发送者用自己的私钥对这个值加密。
通过使用发送者自己的私钥加密,接收者可以确定信息确实是从这个发送者发过来的。
加密后的值我们称作信息摘要。
5发送者然后用在第二步产生的会话密钥对信息和所有的附件加密。
这种加密提供了数据的保密性。
6发送者用接收者的公钥对这个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。
这步提供了认证。
7然后把加密后的信息和数字摘要发送给接收方。
解密的过程正好以相反的顺序执行。
◆4-1:
利用2000建立服务器
◆4-2:
为电子邮件帐户申请证书
◆4-3:
将用户证书导出到文件保存,并传播给需要的用户
◆4-4:
在中建立通讯簿,建立证书与联系人的链接
◆4-5:
实现安全的电子邮件通讯(邮件加密和签名)
2)服务器加密
✓
使用非对称加密保护在线传输,但同时这个传输是使用对称密钥加密的。
大多的浏览器都支持这个协议,包括和微软的。
✓安全套接字层()
协议允许应用程序在公网上秘密的交换数据,因此防止了窃听,破坏和信息伪造。
所有的浏览器都支持,所以应用程序在使用它时不需要特殊的代码。
◆4-6:
为申请证书
a)在中完成证书申请向导,生成证书申请文件;
b)利用证书申请文件在中申请证书,并下载证书到文件;
c)在中完成挂起证书申请
◆4-7:
启用站点的通道
◆4-8:
实现中3、的通讯
二、认证技术
图示安全系统的逻辑结构
认证技术是信息安全理论与技术的一个重要方面。
身份认证是安全系统中的第一道关卡,如图1所示,用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。
1)认证的方法
用户或系统能够通过四种方法来证明他们的身份:
✓?
基于口令的认证方式是最常用的一种技术,但它存在严重的安全问题。
它是一种单因素的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充。
✓?
更加精密的认证系统,要求不仅要有通行卡而且要有密码认证。
如:
智能卡和数字证书的使用。
✓?
这种认证方式以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。
✓?
最弱的身份验证形式,根据你的位置来决定你的身份。
如中的和程序通过源地址来验证一个用户,主机或执行过程;反向查询防止域名哄骗等。
2)特定的认证技术
几种常用于加强认证系统的技术,它们结合使用加密技术和额外策略来检查身份。
✓一次性口令认证:
()
人们已经发明了一种产生一次性口令的技术,称之为挑战/回答()。
◆种子:
决定于用户,一般在一台机器上,一个种子对应于一个用户,也就是说,种子在一个系统中应具有唯一性,这不是秘密的而是公开的。
◆迭代值:
迭代值是不断变化的,而种子和通行短语是相对不变的,所以迭代值的作用就是使口令发生变化。
◆通行短语:
通行短语是保密的,而种子和迭代值是公开的,这样就决定了口令的机密性。
当用户登录时,系统会向用户提出挑战,包括种子和迭代值,然后用户用得到的种子和迭代值再加上自己知道的通行短语计算出一个答复,并传送给系统,因为系统也知道这个通行短语,所以系统可以验证答复是否正确。
✓认证技术
提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份。
是一种被证明为非常安全的双向身份认证技术,其身份认证强调了客户机对服务器的认证,有效地防止了来自服务器端身份冒领的欺骗。
采用对称密钥体制对信息进行加密。
其基本思想是:
能正确对信息进行解密的用户就是合法用户。
用户在对应用服务器进行访问之前,必须先从第三方(服务器)获取该应用服务器的访问许可证()。
密钥分配中心(即服务器)由认证服务器和许可证颁发服务器构成。
的认证过程如图所示。
✓公钥认证体系()
X.509是定义目录服务建议X.500系列的一部分,其核心是建立存放每个用户的公钥证书的目录库。
用户公钥证书由可信赖的创建,并由或用户存放于目录中。
若A想获得B的公钥,A先在目录中查找,利用的公钥和算法验证B的公钥证书的完整性,从而判断公钥的是否正确。
显然X.509是一种基于证书的公钥认证机制,这种机制的实现必须要有可信赖的的参与。
三、防火墙技术
防火墙的体系架构:
防火墙的发展从第一代的机软件,到工控机、,再到架构。
第二代的、架构。
发展到第三代的专用安全处理芯片背板交换架构,以及“”集成安全体系架构。
为了支持更广泛及更高性能的业务需求,各个厂家全力发挥各自优势,推动着整个技术以及市场的发展。
目前,防火墙产品的三代体系架构主要为:
第一代架构:
主要是以单一作为整个系统业务和管理的核心,有x86、、等多类型,产品主要表现形式是机、工控机、或等;
第二代架构:
以或作为业务处理的主要核心,对一般安全业务进行加速,嵌入式为管理核心,产品主要表现形式为等;
第三代架构:
()集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
防火墙三代体系架构业务特性、性能对比分布图
安全芯片防火墙体系架构框图
基于指标的体系变革
衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数等。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用()来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
与端口容量的区别:
端口容量指物理端口的容量总和。
如果防火墙接了2个千兆端口,端口容量为2,但可能只是200。
与的区别:
指半双工吞吐量()。
一个千兆口可以同时以1的速度收和发。
按来说,就是1;按来说,就是2。
有些防火墙的厂商所说的吞吐量,往往是。
一般来说,即使有多个网络接口,防火墙的核心处理往往也只有一个处理器完成,要么是,要么是安全处理芯片或、等。
对于防火墙应用,应该充分强调64字节数据的整机全双工吞吐量,该指标主要由或安全处理芯片、、等核心处理单元的处理能力和防火墙体系架构来决定。
对于不同的体系架构,其适应的范围是不一样的,如对于第一代单体系架构其理论为百兆级别,对于中高端的防火墙应用,必须采用第二代或第三代集成安全体系架构。
基于机构的第三代安全体系架构,充分继承了大容量路由器、交换机的架构特点,可以在支持多安全业务的基础上,充分发挥高吞吐量、高报文转发率的能力。
防火墙体系架构经历了从低性能的x86、软件防火墙向高性能硬件防火墙的过渡,并逐渐向不但能够满足高性能也需要支持更多业务能力的方向发展。
集成安全体系
作为防火墙第三代体系架构,根据企业未来对于高性能多业务安全的需求,集成安全体系架构,吸收了不同硬件架构的优势。
恒扬科技推出了自主研发的、安全芯片和P4以及基于集成安全系统架构的自主产权操作系统。
它可以提升防火墙产品的报文过滤检测、攻击检测、加解密、特性、特性等各方面性能的同时,并可实现安全业务的全方面拓展。
国微通讯也推出了基于安全体系架构的3000系列防火墙。
架构灵活的模块化结构,综合报文过滤、状态检测、数据加解密功能、业务、业务、流量监管、攻击防范、安全审计以及用户管理认证等安全功能于一体,实现业务功能的按需定制和快速服务、响应升级。
体系架构的主要特点:
1.采用结构化芯片技术设计的专用安全处理芯片作为安全业务的处理核心,可以大幅提升吞吐量、转发率、加解密等处理能力;结构化芯片技术可编程定制线速处理模块,以快速满足客户需求;
2.采用高性能通用作为设备的管理中心和上层业务拓展平台,可以平滑移植并支持上层安全应用业务,提升系统的应用业务处理能力;
3.采用大容量交换背板承载大量的业务总线和管理通道,其中千兆业务总线和管理通道物理分离,不仅业务层次划分清晰,便于管理,而且性能互不受限;
4.采用电信级机架式设计,无论是安全处理单元、主处理单元及其他各类板卡、电源、机框等模块在可扩展、可拔插、防辐射、防干扰、冗余备份、可升级等方面做了全方位考虑,真正地实现了安全设备的电信级可靠性和可用性;
5.不仅达到了安全业务的高性能而且实现了“”,站在客户角度解决了多业务、多设备的整合,避免了单点设备故障和安全故障,大大降低了管理复杂度;
6.通过背板及线路接口单元扩展可提供高密度的业务接口。
3.1防火墙简介
✓防火墙的定义
防火墙指的是位于可信网络(如内部网络)和不可信网络(如)之间并对经过其间的网络流量进行检查的一台或多台计算机。
防火墙具有如下特性:
◆所有的通信都经过防火墙;
◆防火墙只放行经过授权的流量;
◆防火墙能经受得起对其本身的攻击。
✓防火墙的优势和弱点
◆防火墙的优势:
●实施一个公司的整体安全策略
●创建一个阻塞点(网络边界)
●记录活动
●限制网络暴露
◆防火墙的弱点:
●防火墙不能防范经过授权的东西。
●防火墙只能按对其配置的规则进行有效的工作;
●防火墙对社交工程类型的攻击或一个授权的用户利用合法访问进行的恶意攻击不起作用;
●防火墙不能修复脆弱的管理措施或设计有问题的安全策略;
●防火墙不能阻止那些不经过它的攻击。
3.2防火墙的分类:
软件类:
防火墙运行于通用操作系统如2000、上,它们通过修改系统的内核和协议栈来检测流量。
要想获得较高的安全性,就必须对操作系统进行加固、修补和维护。
此类防火墙如:
运行于、2000平台上的1,企业防火墙,2000等。
硬件类防火墙:
硬件防火墙集成了操作系统和防火墙的功能,形成了一个整体牢固、功能专一的设备。
这种防火墙也提供了功能完善的管理接口。
硬件防火墙在使用时不需要做很多主机加固的工作,不用再费心于重新配置和修补通用操作系统,而可以集中注意力构思防火墙规则,减少了操作和维护的成本。
此类防火墙如:
国外的、、等,国内的:
清华同方,天融信,联想等
芯片级类防火墙:
芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有、、等。
这类防火墙由于是专用(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂
根据防火墙所采用的技术不同,为以下几种基本类型:
包过滤防火墙
数据包过滤()技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表()。
通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
其实现机制如图1所示
图1包过滤防火墙的实现机制
数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好。
它通常安装在路由器上,内部网络与连接,必须通过路由器,因此在原有网络上增加这类防火墙,几乎不需要任何额外的费用。
这类防火墙的缺点是不能对数据内容进行控制:
很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。
说明:
网络层的安全防护,主要目的是保证网络的可用性和合法使用,保护网络中的网络设备、主机操作系统以及各服务的正常运行,根据地址控制用户的网络访问。
网络层在的体系层次中处于较低的层次,因而其安全防护也是较低级的,并且不易使用和管理。
网络层的安全防护是面向空间的。
应用层网关
应用层网关()技术是在网络的应用层上实现协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,形成报告。
实际的应用网关通常安装在专用工作站系统上,
升级会员 