么是秘密？
   所谓秘密是与公开相对而言的，就是个人或集团在一定的时间和范围内，为保护自身的安全和利益，需要加以隐蔽、保护、限制、不让外界客体知悉的事项的总称。构成秘密的基本要素有三点：一是隐蔽性；二是莫测性；三是时间性。一般地说，秘密都是暂时、相对的和有条件的，这是由秘密的性质所决定的。

什么是国家秘密？
   国家秘密是关系国家的安全利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。关系国家的安全和利益，是指秘密事项如被不应知悉者所知，对国家的安全和利益将造成各种损害后果。依照法定程序确定，是指国家赋予一定管理职权的单位，根据国家秘密及其密级具体范围的规定，对该事项履行确定密级的手续后，该事项才能作为国家秘密受国家有关法规的认可和保护，特殊情况下，需经有关保密工作部门审定后，确定为密或非密以及属于何种密级。任何不经法定程序产生的秘密事项，都不是国家秘密。在一定时间内只限一定范围的人员知悉，是相对于公开而言的，即尚未公开且被人们加以保密的事项，就是对国家秘密在保密时间和接触范围上的控制，擅自公开或擅自扩大接触范围就是泄密。

国家秘密的基本范围有哪些？
《保密法》规定，国家秘密包括下列秘密事项：
（１）国家事务的重大决策中的秘密事项；
（２）国防建设和武装国量活动中的秘密事项；
（３）外交和外事活动中的秘密事项以及对外承担保密义务的事项；
（４）国民经济和社会发展中的秘密事项；
（５）科学技术中的秘密事项；
（６）维护国家安全活动和追查刑事犯罪中的秘密事项；
（７）其他经国家保密工作部门确定应当保守的国家秘密事项。政党的秘密事项中，符合国家秘密诸要素的，属于国家秘密。

什么是工作秘密？
工作秘密是在国家公务活动中产生的，不属于国家秘密而又不宜于对外公开的秘密事项。

什么是商业秘密？
《中华人民共和国反不正当竞争法》第十条规定，本条所称的商业秘密，是指不为公众所知悉的，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。它主要包括：商业工作规划、计划，重要商品的储备计划、库存数量、购销平衡数字，票据的防伪措施，财务会计报表；军用商品的库存量、供应量、调拨数量、流向；商品进出口意向、计划、报价方案，标底资料，外汇额度，疫病检验数据；特殊商品的生产配方、工艺技术诀窍、科技攻关项目和秘密获取的技术及其来源，通信保密保障等。

什么是保密工作？
保密工作就是从国家的安全和利益出发，将国家秘密控制在一定的范围和时间内，防止被非法泄露和利用，使其自身价值得到充分有效地实现所采取的一切必要的手段和措施，简言之，是指与国家的安全和利益密切相关的保守国家秘密的一切活动。它包括保密立法，保密宣传教育，建立健全保密规章制度，研制、开发和应用先进的防窃密、泄密的技术设备，依法进行保密检查监督，追查处理泄密事件，以及开展保密工作的理论研究等活动。

保密工作的方针是什么？
《保密法》规定，保守国家秘密的工作，实行积极防范、突出重点、既确保国家秘密又便利各项工作的方针。

什么是积极防范？
积极防范是正确保密工作的事先管理和事后管理二者关系的要求。它要求在保密工作中要把事先防范措施抓紧、抓严、抓落实，以减少窃密、泄密给国家安全和利益造成的损害。这里的事先与事后是指窃密、泄密事件发生之前和发生之后。在实际工作中，应当以事先为主，即防范工作做到前面。各机关、单位在日常工作中，积极防范应该做到：
（１）领导重视并把保密工作纳入议事日程，使其与业务工作同步进行；
（２）建立健全保密规章制度并严格执行，经常督促检查，堵塞泄密漏洞
（３）坚持经常性的保密宣传教育；
（４）严格保密纪律，及时查处泄密事件；
（５）积极开发和利用先进的保密技术；
（６）及时总结经验，提高保密工作的整体水平。

什么是突出重点？
突出重点是指在全面贯彻落实《保密法》的基础上，在确定密级、部位和人员等保密工作中应当区别情况，确保最重要的国家秘密和掌握较多国家秘密的单位、人员不出问题。在具体工作中要做到，一是按国家秘密的密级划分，绝密是重点，应当采取比对机密、秘密级的国家秘密更为严格的保密措施；二是对国家秘密相对集中的地区、部门、部位应当强防范工作；三是对于接触国家秘密较多的领导和经营国家秘密事项的专职人员，应当有更严格的要求。

保密工作仅仅是保密部门和保密干部的工作吗？
《保密法》规定，一切国家机关、武装力量、政党、社会团体、企事业单位和全体公民都有保守国家秘密的义务。这就明确了保密法律关系主体的范围，这个范围前面冠以一切，表明没有任何例外，公民，法人和其它组织都是义务主体。那种认为保密仅仅是保密部门和保密干部的工作的认识的错误的。

各机关、单位进行保密教育的内容有哪些？
（１）党和国家的关保密工作的方针、政策的学习，《保密法》及其配套法规的学习，其他相关法规中有关保密内容的学习；
（２）保密基本常识的学习；
（３）保密技术、技能的培训；
（４）泄密案例的教育；
（５）保密工作经验的介绍；
（６）实际工作中有关保密问题的控讨；
（７）开发、研制保密新技术、新产品的交流；
（８）上级领导交办的其它事宜。

国家对公民保密有哪些规定？
（１）我国现行《宪法》第五十三条明确规定：公民必须遵守宪法和法律中的保密规定；
（２）《保密法》第三条规定：一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务；
（３）《保密法》第二十四条规定：不准在私人交往和通信中泄露国家秘密。携带属于国家秘密的文件、资料和其他物品外出，不得违反保密规定。不准在公共场所谈论国家秘密；
（４）《保密法》第二十五条规定：在有线无线通信中传递国家秘密的必须采取保密措施。不准使用明码或者未经中央有关机关审查批准的密码传递国家秘密。不准通过普通邮政传递属于国空秘密的文件、资料和其他他物品。

保密范围越宽越好吗？
这种认识不对。保密范围必须严格按照《保密法》规定的国家秘密的范围来确定，如果人为的扩大保密范围，势必会把不属于国家秘密的事项也按国家秘密来保守，这既造成人力，物力和财力的浪费，也妨碍信息的交流，给工作带来诸多不便。

密级定得越高越好吗？
这种说法不对。国家秘密事项的密级应当按照法定程序来确定，如果人为的提高国家秘密事项的密级，不公在管理上造成混乱，而且随着密级程度的提高，对接触范围的保密期限也相应增加不必要的浪费，又给保密工作加重了负担，也给业务工作造成了诸多不便。

什么是保密期限？
即在国家秘密信息载体上标明的发生法律效力的时间。秘密都有时间性，永久保密的是没有的。一项秘密，一旦失去对国家安全和利益的影响，也就失去了保密的意义。因而在确定密级时，应根据秘密对国家安全和利益影响的程度等因素，确定保密期限。超过保密期限不再是国家秘密。保密期限的确定办法由国家保密工作部门规定。根据工作需要，各单位应及时对本单位或其下级单位确定的国家秘密的保密期限加以变更或解除，并在变更或解除后及时通知有关单位。

《保密法》是何时颁布的？
《中华人民共和国保守国家秘密法》是１９８８年９月５日经第七届全国人民代表大会常务委员会第三次会议通过，从１９８９年５月１日起开始实施的。这是我国建国以来继１９５１年《保守国家机密暂行条例》之后，关于保守国家秘密工作的又一部重要立法。

《保密法》的基本内容有哪些？
《保密法》共分五章，即总则、国家秘密的范围和密级、保密制度、法律责任和附则。其基本内容可归纳为以下几个方面：
（１）《保密法》明确了保密工作的基本方针，即“积极防范，突出重点，既确保国家秘密又便利各项工作”；
（２）《保密法》规定了国家秘密的定义、范围、密级和保密期限；
（３）《保密法》规定了保守国家秘密的基本制度；
（４）《保密法》对我国当时《刑法》的有关条文作重要补充；
（５）《保密法》规定了保密工作的管理体制。

《保密法》的意义和作用是什么？
《保密法》在我国社会主义法律系中占有重要的地位， 它是我国维护国家安全和利益的重要法律武器，对保障改革开放和社会主义建设事业的顺利进行有着重要的作用。主要表现在以下几个方面：
（１）以国家法律的形式确立了我国保密工作的根本宗旨和基本方针、原则，为保密工作的发展指明了正确的方向；
（２）划清了国家秘密与非国家秘密的基本界限，确立了确定、变更国家秘密及其密级和保密期限的法律程序，规定了解密的办法，从根本上改变了过去保密范围不清、密级混乱、密级一定终身的违反保密工作本身发展规律的现象；
（３）为完善我国保密制度提供了法律依据，提出了统一要求，为各级机关、企事业单位制定保密规章制度奠定了基础；
（４）明确了泄密法律责任，划清了罪与非罪的界限和量刑标准，为及时惩治犯罪和准确打击泄密违法行为提供了法律武器；
（５）以法律的形式确立了我国保密工作的管理体制，确立了我国保密工作部门的地位，为其依法得使职权提供了法律保证。

商业秘密简介
１、拥有商业秘密的人具有哪些权利？
（１）使用权。即拥有人可将该商业秘密用于自己的科研、生产实践中；
（２）转让权。即拥有人可根据自己的意愿，将该商业秘密转让他入使用；
（３）公开权。即拥有人可将该商业秘密向公众公开，使之成为公有技术；
（４）获得荣誉权。即当该商业秘密县有重要科学意义或产生重大经济价值，对社会作出贡献时，拥有人有权获得各种奖励、表彰等荣誉；
（５）经济收益权。即当该商业秘密转让给他入使用，或根据国家需要指定由他人使用时，拥有人有权依法获取经济收益；
（６）有限禁止权。即当他人以不正当手段获取商业秘密并加以使用时，拥有人可以要求其停止侵害，赔偿损失，必要时可向人民法院申请法律救助。
２、商业秘密在什么情况下失去秘密性？
（１）雇主无区别地向所有雇员披露某项商业秘密时，该商业秘密就失去了秘密性；
（２）商业秘密所有人无限制地向公安披露某项商业秘密，该商业秘密则失去秘密性；
（３）在专利、出版物上披露某项商业秘密，该商业秘密失去秘密性；
（４）他人独立地发明出同样的商业秘密，该商业秘密失去秘密性；
（５）他人在公开的市场上买到产品进行反向研究而获得商业秘密，该商业秘密失去秘密性。
３、商业秘密被窃后应采取什么对策？
（１）要明确被窃取或被泄露的商业秘密是属于什么层次的秘密。如果符合《保密法》之国家秘密之定义，可依据相关保密范围“对号入座”，确定为国家秘密事项。凡为国家秘密的商业秘密一旦被窃取或泄露，要执行泄密报告制度，这样可及时得到保密、公安和司法部门的协助。若非国家秘密的商业秘密被窃或被泄，也可寻求有关保密部门的指导和帮助。
（２）要弄清泄密源，掌握泄密证据。发现商业秘密被窃或被泄出在哪个环节、何人所为，获取人证、物证。
（３）要寻求法律保护。如属国家秘密的商业秘密被窃或被泄，可援引《保密法》及其配套法规；若是非国家秘密的商业秘密被窃或被泄，申请专利的可援引《反不正当竞争法》，协议技术转让的可援引《技术合同法》等等；
（４）为严防商业秘密被窃或被泄，企业对于商业秘密要建立健全保密规章制度，与有关人员签订保密协议，把保密责任落实到人，并加强商业秘密保护的宣传和检查，防患于未然。
４、企业保护商业秘密应注意哪些问题？
（１）必须明确掌握商业秘密的基本概念和基本内容；
（２）必须限定知悉商业秘密的人员范围；
（３）签订劳动合同，保护商业秘密不受侵害；
（４）严格商业秘密的档案管理；
（５）严格限制非有关人员出入具有商业秘密的场所；
（６）在对外交往中建立严格的审查制度，防止泄露商业秘密；
（7）签订有关协议，杜绝合同当事入侵害商业秘密。
（选自《电子知识产权》第８１期）


RSA 算法
1978年就出现了这种算法，它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作，也很流行。算法的名字以发明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。
RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。
密钥对的产生。选择两个大素数，p 和q 。计算：
n = p * q
然后随机选择加密密钥e，要求 e 和 ( p - 1 ) * ( q - 1 ) 互质。最后，利用Euclid 算法计算解密密钥d, 满足e * d = 1 ( mod ( p - 1 ) * ( q - 1 ) )其中n和d也要互质。数e和n是公钥，d是私钥。两个素数p和q不再需要，应该丢弃，不要让任何人知道。
加密信息 m（二进制表示）时，首先把m分成等长数据块 m1 ,m2,..., mi ，块长s，其中 2^s <= n, s 尽可能的大。对应的密文是：
ci = mi^e ( mod n ) ( a )
解密时作如下计算：
mi = ci^d ( mod n ) ( b )
RSA 可用于数字签名，方案是用 ( a ) 式签名， ( b )
式验证。具体操作时考虑到安全性和 m信息量较大等因素，一般是先作 HASH 运算。
RSA 的安全性。
RSA的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解
RSA就一定需要作大数分解。假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。目前， RSA的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最显然的攻击方法。现在，人们已能分解140多个十进制位的大素数。因此，模数n必须选大一些，因具体适用情况而定。
RSA的速度。
由于进行的都是大数计算，使得RSA最快的情况也比DES慢上100倍，无论是软件还是硬件实现。速度一直是RSA的缺陷。一般来说只用于少量数据加密。
RSA的选择密文攻击。
RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装(Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构：
( XM )^d = X^d *M^d mod n
前面已经提到，这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用One-Way Hash
Function对文档作HASH处理，或同时使用不同的签名算法。在中提到了几种不同类型的攻击方法。 　　
RSA的公共模数攻击。
若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互质，那末该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥为e1和e2，公共模数是n，则：
C1 = P^e1 mod n
C2 = P^e2 mod n
密码分析者知道n、e1、e2、C1和C2，就能得到P。
因为e1和e2互质，故用Euclidean算法能找到r和s，满足：
r * e1 + s * e2 = 1
假设r为负数，需再用Euclidean算法计算C1^(-1)，则
( C1^(-1) )^(-r) * C2^s = P mod n
另外，还有其它几种利用公共模数攻击的方法。总之，如果知道给定模数的一对e和d，一是有利于攻击者分解模数，一是有利于攻击者计算出其它成对的e’和d’，而无需分解模数。解决办法只有一个，那就是不要共享模数n。
RSA的小指数攻击。 有一种提高RSA速度的建议是使公钥e取较小的值，这样会使加密变得易于实现，速度有所提高。
但这样作是不安全的，对付办法就是e和d都取较大的值。
RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何，而且密码学界多数人士倾向于因子分解不是NPC问题。RSA的缺点主要有：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(
Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。
DSS/DSA算法
Digital Signature Algorithm(DSA)是Schnorr和ElGamal签名算法的变种，被美国NIST作为DSS(Digital SignatureStandard)。算法中应用了下述参数：p：L bits长的素数。L是64的倍数，范围是512到1024；
q：p - 1的160bits的素因子；g：g = h^((p-1)/q) mod p，h满足h < p - 1, h^((p-1)/q) mod p > 1；
x：x < q，x为私钥 ；y：y = g^x mod p ，( p, q, g, y )为公钥；H( x )：One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm )。p, q,g可由一组用户共享，但在实际应用中，使用公共模数可能会带来一定的威胁。签名及验证协议如下：
1. P产生随机数k，k < q；
2. P计算 r = ( g^k mod p ) mod q
s = ( k^(-1) (H(m) + xr)) mod q
签名结果是( m, r, s )。
3. 验证时计算 w = s^(-1)mod q
u1 = ( H( m ) * w ) mod q
u2 = ( r * w ) mod q
v = (( g^u1 * y^u2 ) mod p ) mod q
若v = r，则认为签名有效。
DSA是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开，这样，当使用别人的p和q时，即使不知道私钥，你也能确认它们是否是随机产生的，还是作了手脚。RSA算法却作不到。

防火墙与防火墙的作用
中科院计算所 黎连业 刘占全
编者按：网络安全日益成为人们比较关注的话题，为此本报特推出系列文章： “防火墙与防火墙的作用”、“建立堡垒主机的基本技术”、“数据包过滤的基本技术”、“代理服务的基本技术”、“商用防火墙产品介绍”，分期进行连载。就防火墙及其相关技术进行详细深入的探讨，希望能对读者有所帮助。
3. 屏蔽子网体系结构 
屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与Internet隔离开。 
为什么这样做？由它们的性质决定。堡垒主机是用户的网络上最容易受侵袭的机器。任凭用户尽最大的力气去保护它，它仍是最有可能被侵袭的机器，因为它本质上是能够被侵袭的机器。如果在屏蔽主机体系结构中，用户的内部网络对来自用户的堡垒主机的侵袭门户洞开，那么用户的堡垒主机是非常诱人的攻击目标。在它与用户的其它内部机器之间没有其它的防御手段时（除了它们可能有的主机安全之外，这通常是非常少的）。如果有人成功地侵入屏蔽主机体系结构中的堡垒主机，那就毫无阻挡地进入了内部系统。 
通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说，它只给入侵者一些访问的机会，但不是全部。 
屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间（通常为Internet），其结构如图4所示。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入堡垒主机，他将仍然必须通过内部路由器。在此情况下，没有损害内部网络的单一的易受侵袭点。作为入侵者，只是进行了一次访问。图4显示屏蔽子网体系结构防火墙的可能配置。 
图4 屏蔽子网体系结构 
对图4的要点说明如下： 
（1）周边网络 
周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。 
对于周边网络的作用，举例说明如下。在许多网络设置中，用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的，对大多数以太网为基础的网络确实如此（而且以太网是当今使用最广泛的局域网技术）；对若干其它成熟的技术，诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破，探听者仍然能偷看或访问他人的敏感文件的内容，或阅读他们感兴趣的电子邮件等等；探听者能完全监视何人在使用网络。 
对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。 
因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的) 能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。 
一般来说，来往于堡垒主机，或者外部世界的通信，仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不致于机密到阅读它将损害你的站点的完整性。 
（2）堡垒主机 
在屏蔽的子网体系结构中，用户把堡垒主机连接到周边网；这台主机便是接受来自外界连接的主要入口。例如： 
1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点； 
2对于进来的FTP连接，转接到站点的匿名FTP服务器； 
3对于进来的域名服务（DNS）站点查询等等。 
另一方面，其出站服务（从内部的客户端到在Internet上的服务器）按如下任一方法处理： 
1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 
2设置代理服务器在堡垒主机上运行（如果用户的防火墙使用代理软件）来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但是禁止内部的客户端与外部世界之间直接通信（即拨号入网方式）。 
（3）内部路由器 
内部路由器（在有关防火墙著作中有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。 
内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。 
内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。 
（4）外部路由器 
在理论上，外部路由器（在有关防火墙著作中有时被称为访问路由器）保护周边网和内部网使之免受来自Internet的侵犯。实际上，外部路由器倾向于允许几乎任何东西从周边网出站，并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的；如果在规则中有允许侵袭者访问的错误，错误就可能出现在两个路由器上。 
一般，外部路由器由外部群组提供（例如，用户的Internet供应商），同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器，但是不愿意使维护复杂或者使用频繁变化的规则组。 
外部路由器实际上需要做什么呢？外部路由器能有效地执行的安全任务之一（通常别的任何地方不容易做的任务）是：阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络，但实际上是来自Internet。 
三、 防火墙体系结构的组合形式
建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式： 
1使用多堡垒主机； 
2合并内部路由器与外部路由器； 
3合并堡垒主机与外部路由器； 
4合并堡垒主机与内部路由器； 
5使用多台内部路由器； 
6使用多台外部路由器； 
7使用多个周边网络； 
8使用双重宿主主机与屏蔽子网。