网络安全技术培训要点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4.VPN技术
虚拟专用网VPN(Virtual Private Network)是利用现 有的不安全的公共网络环境,构建的具有安全性、独 占性、自成一体的虚拟网络。 VPN 是指利用公共网络的一部分来发送专用信息,形 成逻辑上的专用网络。它实际上是一个在互联网等公 用网络上的一些节点的集合。这些节点之间采用了专 用加密和认证技术来相互通信,好像用专线连接起来 一样。 虚拟专用网可以在两个异地子网之间建立安全的通道
明文M 接收方
安全信道 加密密钥Ke 解密密钥Kd
数据加密技术
2.非对称密钥加密技术
公开密钥加密技术也称非对称密码加密技术,它有两个不同的 密钥:一个是公布于众,谁都可以使用的公开密钥,一个是只有解 密人自己知道的秘密密钥。在进行数据加密时,发送方用公开密钥 将数据加密,对方收到数据后使用秘密密钥进行解密。
防火墙示意图
客户机 电子邮件服务器
Internet
防 火 墙
Web服务器
Intranet
数据库服务器
在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,有效地监控了内部网和 Internet 之间的任何活动,保 证了内部网络的安全。
防火墙(Firewall)
防火墙的基本设计目标
–
–
–
对于一个网络来说,所有通过“内部”和“外部”的网络流 量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过 防火墙 防火墙本身必须建立在安全操作系统的基础上
网络安全的四种威胁
3.篡改:乙给甲发了如下一份报文: “请给丁汇一百元钱,乙”。报文 在转发过程中经过丙,丙把“丁” 改为“丙”。这就是报文被篡改 4.伪造:用计算机通信时,若甲的 屏幕上显示出“我是乙”时,甲如 何确信这是乙而不是别人呢?
网络安全的四种威胁
另外还有一种特殊的主动攻击就是 恶意程序(rogue program)的攻击。恶意 程序种类繁多,对网络安全威胁较大的 主要有以下几种: 1.计算机病毒: 2.计算机蠕虫: 3.逻辑炸弹:
防火墙的典型配置方案
包过滤防火墙 双宿主主机方案 屏蔽主机方案
单宿主堡垒主机 双宿主堡垒主机
屏蔽子网方案
防火墙的典型配置方案
1.包过滤防火墙
也称作包过滤路由器,它是最基本、最简 单的一种防火墙,可以在一般的路由器上实现 也可以在基于主机的路由器上实现。
防火墙的典型配置方案
Server
防火墙的典型配置方案
网络 代理 网络 接口 服务器 接口
Server
内部网络 Internet 双宿主主机
PC
PC
双宿主网关防火墙
防火墙的典型配置方案
3.屏蔽主机网关防火墙
屏蔽主机网关防火墙由一台包过滤路由器 和一台堡垒主机组成。在这种配置中,堡垒主 机配置在内部网络上,过滤路由器则放置在内 部网络和外部网络之间。在路由器上进行配置, 使得外部网络的主机只能访问该堡垒主机,而 不能直接访问内部网络的其他主机。
多变形病毒 (Tequila)
病毒
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
网络安全问题概述
1 .计算机网络安全的定义
国际标准化组织(ISO)对计算机系统安 全的定义是:为数据处理系统建立和采用的 技术和管理的安全保护,保护计算机硬件、 软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露。
优点:效率高
精细控制,可以在应用层上授权 为一般的应用提供了一个框架 缺点:客户程序需要修改 动态链接库
防火墙的实现技术—应ຫໍສະໝຸດ Baidu代理服务技术
应用代理 是运行于防火墙主机上的一种应用
程序,它取代用户和外部网络的直接通信。
代理技术的基本思想就是在两个网络之间设置一个“中 间检查站”,两边的网络应用可以通过这个检查站相互 通信,但是它们不能越过它直接通信。这个“中间检查 站”就是代理服务器,它运行在两个网络之间,对网络 之间的每一个请求进行检查。
防病毒技术
防病毒技术
网络防病毒技术包括预防病毒、检测病 毒和消除病毒三种技术。 1.预防病毒技术: 2.检测病毒技术:
3.消除病毒技术:
其它网络安全技术
1.数字签名技术
数字签名必须保证以下三点: 1.接收者能够核实发送者对报文的签名 2.发送者事后不能抵赖对报文的签名; 3.接收者不能伪造对报文的签名。
保护计算机网络安全的措施
1.物理措施 2.数据加密 3.访问控制 4.防止计算机网络病毒 5.其他措施
防火墙技术
防火墙的基本概念
防火墙从本质上说是一种保护装置,可从三个层次上来 理解防火墙的概念: 首先,“防火墙”是一种安全策略,它是一类防范 措施的总称。 其次,防火墙是一种访问控制技术,用于加强两个 网络或多个网络之间的访问控制 最后,防火墙作为内部网络和外部网络之间的隔离 设备,它是由一组能够提供网络安全保障的硬件、软件 构成的系统。
服务代理可能要求不同的代理软件;代理服务不能保证你免 受所有协议弱点的限制;代理不能改进底层协议的安全性。
应用层网关的结构示意图
三种防火墙技术的安全功能比较
源地址 包过滤 Y 目的地址 Y 用户身份 数据内容 N N
电路级网关
应用代理
Y
Y
Y
Y
Y
Y
N
Y
防火墙的实现技术
状态监视技术
这是第三代防火墙技术,集成了前两者的 优点,能对网络通信的各层实行检测。同包 过滤技术一样,它能够检测通过IP地址、端口 号以及TCP标记,过滤进出的数据包。只是在 分析应用层数据时,它与一个应用层网关不 同的是,它并不打破客户机/服务机模式,允 许受信任的客户机和不受信任的主机建立直 接连接。
网络安全技术
网络安全问题日益突出
70,000
混合型威胁 (Red Code, Nimda)
60,000
拒绝服务攻击 (Yahoo!, eBay)
已知威胁的数量
50,000
40,000
发送大量邮件的病毒 (Love Letter/Melissa)
30,000
特洛伊木马
20,000
网络入侵
10,000
防火墙的典型配置方案
堡垒主机 屏蔽子网 Internet 过滤路由器 过滤路由器 内 部 网 络 Server
信息服务器
PC
PC
屏蔽子网防火墙
数据加密技术
数据加密概念
所谓数据加密是指通过对网络中传输 的数据进行加密来保障网络资源的安全性。 加密是保证网络资源安全的基础技术,是一 种主动安全防御策略。 数据秘密性要求被存储或被传输的数据 是经过伪装的,即使数据被第三者窃取或窃 听都无法破译其中的内容,通常是采用密码 技术来实现。
明文M 密文C 明文M 解密算法 公开信道 接收方
加密算法
发送方
加密密钥PKB
解密密钥SKB
PKB/SKB分别为收方的公开/私用密钥
访问控制技术
访问控制技术
实现访问控制方法的常用方法有三种:
1.要求用户输入用户名和口令; 2. 是采用一些专门的物理识别设备,如 访问卡、钥匙或令牌; 3. 是采用生物统计学系统,可以通过某 种特殊的物理特性对人进行惟一性识别。
应用层网关的协议栈结构
HTTP FTP Telnet Smtp 传输层
网络层
链路层
应用层网关
优点:代理易于配置;可以提供理想的日志功能;代理能灵
活、完全地控制进出的流量、内容;在应用层上实现,能过 滤数据内容;代理能为用户提供透明的加密机制;代理可以 方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项
其它网络安全技术
2.认证技术
认证和保密是网络信息安全的两个重要方面。加密 保证了网络信息的机密性,认证则保护了信息的真实性 和完整性。保密不能自然地提供认证性,而认证也无法 自动提供保密性。采用认证技术目的有两个:一是识别 信源的真实性,即验证发信人确实不是冒充的;二是检 验发送信息的完整性,即验证信息在传送过程中是否被 篡改、重发或延迟。一个安全的认证系统应该能够满足 这两个要求。
网络安全问题概述
2 .网络安全面临的威胁
1.物理安全威胁 包括自然灾害、电磁辐射、操作失误和意外 疏忽等 2.数据信息的安全威胁 包括网络协议的安全缺陷、应用软件的安全 缺陷和恶意程序等
网络安全问题概述
3 .计算机网络安全的内容
1.可靠性: 2.可用性: 3.保密性: 4.授权性: 5.审查性:
数据加密技术
窃取者 密文C
加密算法 通信信道
明文M 发送方
密文C
解密算法
明文M 接收方
加密密钥Ke
解密密钥Kd
数据加密、解密原理
数据加密技术
1.对称密钥加密技术
对称密钥加密也叫作私钥加密,加密和解密 使用相同密钥,并且密钥是保密的,不向外公布。
密文C
加密算法 通信信道
明文M 发送方
密文C
解密算法
防火墙的控制能力
–
– –
–
服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通 过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为
防火墙的类型
按网络体系结构分类 OSI模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙 网关级 电路级 路由器级 网桥级 中继器级 按应用技术分类 应用代理防火墙 电路级网关 包过滤防火墙
内部网络 Internet 包过滤路由器
PC
PC
包过滤防火墙
防火墙的典型配置方案
2.双宿主网关防火墙
这种防火墙系统由一台特殊主机来实现。 这台主机拥有两个不同的网络接口,一端接外 部网络,一端接需要保护的内部网络,并运行 代理服务器,故被称为双宿主网关。双宿主网 关防火墙不使用包过滤规则,而是在外部网络 和被保护的内部网络之间设置一个网关(双穴 网关),隔断IP层之间的直接传输。
防火墙的实现技术—包过滤技术
包过滤技术 (Packet Filter): 通过在网络连接设备上
加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口 号等规则,对通过设备的数据包进行检查,限制数据包进出内 部网络.数据包过滤可以在网络层截获数据,使用一些规则来确 定是否转发或丢弃所截获的各个数据包。
网络面临的安全性威胁
网络安全包括数据安全和系统安全 数据安全受到四个方面的威胁
设信息是从源地址流向目的地址,那么正 常的信息流向是:
网络安全的四种威胁
1.截获 :当甲通过网络与乙通信 时,如果不采取任何保密措施,那 么其他人(如丙),就有可能偷听到 他们的通信内容。
2.中断 :当用户正在通信时,有 意的破坏者可设法中断他们的通信。
防火墙的典型配置方案
堡垒主机 内 部 网 络 包过滤路由器 Server
Internet
PC
PC
屏蔽主机网关防火墙
防火墙的典型配置方案
4.屏蔽子网防火墙
考虑到屏蔽主机网关防火墙方案中,堡 垒主机存在被绕过的可能,有必要在被保护 网络与外部网络之间设置一个孤立的子网, 这就是“屏蔽子网”。屏蔽子网防火墙在屏 蔽主机网关防火墙的配置上加上另一个包过 滤路由器。
其它网络安全技术
3.入侵检测技术
入侵检测技术是一种免受攻击的主动保护网络安全 技术。由于常作为防火墙的合理补充,被称为第二道防 火墙,它从网络中的若干关键点收集信息,并分析这些 信息,看看网络中是否有违反安全策略的行为和遭到袭 击的迹象,从而使系统管理可以较有效地监视、审计、 评估自己的系统。
其它网络安全技术
优点:对用户透明;过滤路由器速度快、效率高 。 缺点: 只能进行初步的安全控制;设置过滤规则困难,不能
彻底防止地址欺骗;一些应用协议不适合于数据包过滤。
包过滤路由器示意图
网络层 链路层 物理层
外部网络
内部网 络
防火墙的实现技术—电路级网关
工作在会话层。
它在两个主机首次建立TCP连接时创立一个电子屏障,建立两个 TCP连接。 一旦两个连接建立起来,网关从一个连接向另一个连 接转发数据包,而不检查内容。
虚拟专用网VPN(Virtual Private Network)是利用现 有的不安全的公共网络环境,构建的具有安全性、独 占性、自成一体的虚拟网络。 VPN 是指利用公共网络的一部分来发送专用信息,形 成逻辑上的专用网络。它实际上是一个在互联网等公 用网络上的一些节点的集合。这些节点之间采用了专 用加密和认证技术来相互通信,好像用专线连接起来 一样。 虚拟专用网可以在两个异地子网之间建立安全的通道
明文M 接收方
安全信道 加密密钥Ke 解密密钥Kd
数据加密技术
2.非对称密钥加密技术
公开密钥加密技术也称非对称密码加密技术,它有两个不同的 密钥:一个是公布于众,谁都可以使用的公开密钥,一个是只有解 密人自己知道的秘密密钥。在进行数据加密时,发送方用公开密钥 将数据加密,对方收到数据后使用秘密密钥进行解密。
防火墙示意图
客户机 电子邮件服务器
Internet
防 火 墙
Web服务器
Intranet
数据库服务器
在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,有效地监控了内部网和 Internet 之间的任何活动,保 证了内部网络的安全。
防火墙(Firewall)
防火墙的基本设计目标
–
–
–
对于一个网络来说,所有通过“内部”和“外部”的网络流 量都要经过防火墙 通过一些安全策略,来保证只有经过授权的流量才可以通过 防火墙 防火墙本身必须建立在安全操作系统的基础上
网络安全的四种威胁
3.篡改:乙给甲发了如下一份报文: “请给丁汇一百元钱,乙”。报文 在转发过程中经过丙,丙把“丁” 改为“丙”。这就是报文被篡改 4.伪造:用计算机通信时,若甲的 屏幕上显示出“我是乙”时,甲如 何确信这是乙而不是别人呢?
网络安全的四种威胁
另外还有一种特殊的主动攻击就是 恶意程序(rogue program)的攻击。恶意 程序种类繁多,对网络安全威胁较大的 主要有以下几种: 1.计算机病毒: 2.计算机蠕虫: 3.逻辑炸弹:
防火墙的典型配置方案
包过滤防火墙 双宿主主机方案 屏蔽主机方案
单宿主堡垒主机 双宿主堡垒主机
屏蔽子网方案
防火墙的典型配置方案
1.包过滤防火墙
也称作包过滤路由器,它是最基本、最简 单的一种防火墙,可以在一般的路由器上实现 也可以在基于主机的路由器上实现。
防火墙的典型配置方案
Server
防火墙的典型配置方案
网络 代理 网络 接口 服务器 接口
Server
内部网络 Internet 双宿主主机
PC
PC
双宿主网关防火墙
防火墙的典型配置方案
3.屏蔽主机网关防火墙
屏蔽主机网关防火墙由一台包过滤路由器 和一台堡垒主机组成。在这种配置中,堡垒主 机配置在内部网络上,过滤路由器则放置在内 部网络和外部网络之间。在路由器上进行配置, 使得外部网络的主机只能访问该堡垒主机,而 不能直接访问内部网络的其他主机。
多变形病毒 (Tequila)
病毒
安全层次
应用安全 系统安全 网络安全 安全协议 安全的密码算法
网络安全问题概述
1 .计算机网络安全的定义
国际标准化组织(ISO)对计算机系统安 全的定义是:为数据处理系统建立和采用的 技术和管理的安全保护,保护计算机硬件、 软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露。
优点:效率高
精细控制,可以在应用层上授权 为一般的应用提供了一个框架 缺点:客户程序需要修改 动态链接库
防火墙的实现技术—应ຫໍສະໝຸດ Baidu代理服务技术
应用代理 是运行于防火墙主机上的一种应用
程序,它取代用户和外部网络的直接通信。
代理技术的基本思想就是在两个网络之间设置一个“中 间检查站”,两边的网络应用可以通过这个检查站相互 通信,但是它们不能越过它直接通信。这个“中间检查 站”就是代理服务器,它运行在两个网络之间,对网络 之间的每一个请求进行检查。
防病毒技术
防病毒技术
网络防病毒技术包括预防病毒、检测病 毒和消除病毒三种技术。 1.预防病毒技术: 2.检测病毒技术:
3.消除病毒技术:
其它网络安全技术
1.数字签名技术
数字签名必须保证以下三点: 1.接收者能够核实发送者对报文的签名 2.发送者事后不能抵赖对报文的签名; 3.接收者不能伪造对报文的签名。
保护计算机网络安全的措施
1.物理措施 2.数据加密 3.访问控制 4.防止计算机网络病毒 5.其他措施
防火墙技术
防火墙的基本概念
防火墙从本质上说是一种保护装置,可从三个层次上来 理解防火墙的概念: 首先,“防火墙”是一种安全策略,它是一类防范 措施的总称。 其次,防火墙是一种访问控制技术,用于加强两个 网络或多个网络之间的访问控制 最后,防火墙作为内部网络和外部网络之间的隔离 设备,它是由一组能够提供网络安全保障的硬件、软件 构成的系统。
服务代理可能要求不同的代理软件;代理服务不能保证你免 受所有协议弱点的限制;代理不能改进底层协议的安全性。
应用层网关的结构示意图
三种防火墙技术的安全功能比较
源地址 包过滤 Y 目的地址 Y 用户身份 数据内容 N N
电路级网关
应用代理
Y
Y
Y
Y
Y
Y
N
Y
防火墙的实现技术
状态监视技术
这是第三代防火墙技术,集成了前两者的 优点,能对网络通信的各层实行检测。同包 过滤技术一样,它能够检测通过IP地址、端口 号以及TCP标记,过滤进出的数据包。只是在 分析应用层数据时,它与一个应用层网关不 同的是,它并不打破客户机/服务机模式,允 许受信任的客户机和不受信任的主机建立直 接连接。
网络安全技术
网络安全问题日益突出
70,000
混合型威胁 (Red Code, Nimda)
60,000
拒绝服务攻击 (Yahoo!, eBay)
已知威胁的数量
50,000
40,000
发送大量邮件的病毒 (Love Letter/Melissa)
30,000
特洛伊木马
20,000
网络入侵
10,000
防火墙的典型配置方案
堡垒主机 屏蔽子网 Internet 过滤路由器 过滤路由器 内 部 网 络 Server
信息服务器
PC
PC
屏蔽子网防火墙
数据加密技术
数据加密概念
所谓数据加密是指通过对网络中传输 的数据进行加密来保障网络资源的安全性。 加密是保证网络资源安全的基础技术,是一 种主动安全防御策略。 数据秘密性要求被存储或被传输的数据 是经过伪装的,即使数据被第三者窃取或窃 听都无法破译其中的内容,通常是采用密码 技术来实现。
明文M 密文C 明文M 解密算法 公开信道 接收方
加密算法
发送方
加密密钥PKB
解密密钥SKB
PKB/SKB分别为收方的公开/私用密钥
访问控制技术
访问控制技术
实现访问控制方法的常用方法有三种:
1.要求用户输入用户名和口令; 2. 是采用一些专门的物理识别设备,如 访问卡、钥匙或令牌; 3. 是采用生物统计学系统,可以通过某 种特殊的物理特性对人进行惟一性识别。
应用层网关的协议栈结构
HTTP FTP Telnet Smtp 传输层
网络层
链路层
应用层网关
优点:代理易于配置;可以提供理想的日志功能;代理能灵
活、完全地控制进出的流量、内容;在应用层上实现,能过 滤数据内容;代理能为用户提供透明的加密机制;代理可以 方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项
其它网络安全技术
2.认证技术
认证和保密是网络信息安全的两个重要方面。加密 保证了网络信息的机密性,认证则保护了信息的真实性 和完整性。保密不能自然地提供认证性,而认证也无法 自动提供保密性。采用认证技术目的有两个:一是识别 信源的真实性,即验证发信人确实不是冒充的;二是检 验发送信息的完整性,即验证信息在传送过程中是否被 篡改、重发或延迟。一个安全的认证系统应该能够满足 这两个要求。
网络安全问题概述
2 .网络安全面临的威胁
1.物理安全威胁 包括自然灾害、电磁辐射、操作失误和意外 疏忽等 2.数据信息的安全威胁 包括网络协议的安全缺陷、应用软件的安全 缺陷和恶意程序等
网络安全问题概述
3 .计算机网络安全的内容
1.可靠性: 2.可用性: 3.保密性: 4.授权性: 5.审查性:
数据加密技术
窃取者 密文C
加密算法 通信信道
明文M 发送方
密文C
解密算法
明文M 接收方
加密密钥Ke
解密密钥Kd
数据加密、解密原理
数据加密技术
1.对称密钥加密技术
对称密钥加密也叫作私钥加密,加密和解密 使用相同密钥,并且密钥是保密的,不向外公布。
密文C
加密算法 通信信道
明文M 发送方
密文C
解密算法
防火墙的控制能力
–
– –
–
服务控制,确定哪些服务可以被访问 方向控制,对于特定的服务,可以确定允许哪个方向能够通 过防火墙 用户控制,根据用户来控制对服务的访问 行为控制,控制一个特定的服务的行为
防火墙的类型
按网络体系结构分类 OSI模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 防火墙 网关级 电路级 路由器级 网桥级 中继器级 按应用技术分类 应用代理防火墙 电路级网关 包过滤防火墙
内部网络 Internet 包过滤路由器
PC
PC
包过滤防火墙
防火墙的典型配置方案
2.双宿主网关防火墙
这种防火墙系统由一台特殊主机来实现。 这台主机拥有两个不同的网络接口,一端接外 部网络,一端接需要保护的内部网络,并运行 代理服务器,故被称为双宿主网关。双宿主网 关防火墙不使用包过滤规则,而是在外部网络 和被保护的内部网络之间设置一个网关(双穴 网关),隔断IP层之间的直接传输。
防火墙的实现技术—包过滤技术
包过滤技术 (Packet Filter): 通过在网络连接设备上
加载允许、禁止来自某些特定的源地址、目的地址、TCP 端口 号等规则,对通过设备的数据包进行检查,限制数据包进出内 部网络.数据包过滤可以在网络层截获数据,使用一些规则来确 定是否转发或丢弃所截获的各个数据包。
网络面临的安全性威胁
网络安全包括数据安全和系统安全 数据安全受到四个方面的威胁
设信息是从源地址流向目的地址,那么正 常的信息流向是:
网络安全的四种威胁
1.截获 :当甲通过网络与乙通信 时,如果不采取任何保密措施,那 么其他人(如丙),就有可能偷听到 他们的通信内容。
2.中断 :当用户正在通信时,有 意的破坏者可设法中断他们的通信。
防火墙的典型配置方案
堡垒主机 内 部 网 络 包过滤路由器 Server
Internet
PC
PC
屏蔽主机网关防火墙
防火墙的典型配置方案
4.屏蔽子网防火墙
考虑到屏蔽主机网关防火墙方案中,堡 垒主机存在被绕过的可能,有必要在被保护 网络与外部网络之间设置一个孤立的子网, 这就是“屏蔽子网”。屏蔽子网防火墙在屏 蔽主机网关防火墙的配置上加上另一个包过 滤路由器。
其它网络安全技术
3.入侵检测技术
入侵检测技术是一种免受攻击的主动保护网络安全 技术。由于常作为防火墙的合理补充,被称为第二道防 火墙,它从网络中的若干关键点收集信息,并分析这些 信息,看看网络中是否有违反安全策略的行为和遭到袭 击的迹象,从而使系统管理可以较有效地监视、审计、 评估自己的系统。
其它网络安全技术
优点:对用户透明;过滤路由器速度快、效率高 。 缺点: 只能进行初步的安全控制;设置过滤规则困难,不能
彻底防止地址欺骗;一些应用协议不适合于数据包过滤。
包过滤路由器示意图
网络层 链路层 物理层
外部网络
内部网 络
防火墙的实现技术—电路级网关
工作在会话层。
它在两个主机首次建立TCP连接时创立一个电子屏障,建立两个 TCP连接。 一旦两个连接建立起来,网关从一个连接向另一个连 接转发数据包,而不检查内容。