電子商務(wù)安全技術(shù)

第8講

電子商務(wù)安全技術(shù)8.1電子商務(wù)安全隱患電子商務(wù)的安全性主要是計(jì)算機(jī)網(wǎng)絡(luò)的安全性發(fā)展而來(lái)的。由于電子商務(wù)是利用計(jì)算機(jī)網(wǎng)絡(luò)的信息交換來(lái)實(shí)現(xiàn)電子交易，所以凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題無(wú)疑對(duì)電子商務(wù)都有重要意義。電子商務(wù)所面臨的安全威脅1．信息泄露2．信息篡改3．信息假冒4．交易抵賴5．信息偽造電子商務(wù)的安全需求安全需求授權(quán)合法性不可抵賴性保密性身份真實(shí)性信息的完整形存儲(chǔ)信息的安全性8.2電子子商商務(wù)務(wù)安安全全技技術(shù)術(shù)個(gè)人人網(wǎng)網(wǎng)購(gòu)購(gòu)安安全全，，你你該該怎怎么么做做？？8.2電子子商商務(wù)務(wù)安安全全技技術(shù)術(shù)主要要的的電電子子商商務(wù)務(wù)安安全全技技術(shù)術(shù)有有：：信息息加加密密技技術(shù)術(shù)(P242)數(shù)字字簽簽名名(P247)數(shù)字字證證書(shū)書(shū)(P246)防火火墻墻(P235)數(shù)據(jù)據(jù)加加密密技技術(shù)術(shù)一、、加加密密的的含含義義為了了防防止止合合法法接接收收人人之之外外的的人人獲獲取取信信息息，，必必須須對(duì)對(duì)所所發(fā)發(fā)送送的的信信息息進(jìn)進(jìn)行行加加密密。。加加密密的的目目的的是是使使不不應(yīng)應(yīng)了了解解該該數(shù)數(shù)據(jù)據(jù)信信息息的的人人不不能能夠夠知知道道和和識(shí)識(shí)別別。。所謂謂加加密密，，就就是是把把數(shù)數(shù)據(jù)據(jù)信信息息即即明明文文轉(zhuǎn)轉(zhuǎn)換換為為不不可可辨辨識(shí)識(shí)的的形形式式即即密密文文的的過(guò)過(guò)程程。。加密密和和解解密密過(guò)過(guò)程程依依靠靠?jī)蓛蓚€(gè)個(gè)元元素素：：算法法和和密密鑰鑰。加密密系系統(tǒng)統(tǒng)基基本本概概念念(1)明文文：：需需要要加加密密的的報(bào)報(bào)文文；；(2)密文文：：加加密密以以后后形形成成的的報(bào)報(bào)文文；；(3)解密密：：是是加加密密的的逆逆過(guò)過(guò)程程，，即即將將密密文文還還原原成成原原來(lái)來(lái)可可理理解解的的形形式式。。(4)加密密、、解解密密的的算算法法：：算算法法是是加加密密或或解解密密的的一一步步一一步步的的過(guò)過(guò)程程。。(5)密鑰鑰：：用用于于加加密密和和解解密密的的鑰鑰匙匙。。加密密與與解解密密過(guò)過(guò)程程將字字母母A、B、C、………X、Y、Z的自自然然順順序序保保持持不不變變，，但但使使之之與與E、F、G、………B、C、D相對(duì)對(duì)應(yīng)應(yīng)，，即即相相差差4個(gè)字字母母順順序序。。這這條條規(guī)規(guī)則則就就是是加加密密算算法法，，其其中中4即為為密密鑰鑰。。算法+密鑰算法+密鑰二、、加加密密方方法法加密密方方法法分分為為傳統(tǒng)統(tǒng)加加密密方方法法和現(xiàn)代代加加密密方方法法，也也稱稱為為對(duì)稱稱式式加加密密方方法法和非對(duì)對(duì)稱稱式式加加密密方方法法。（1）傳傳統(tǒng)統(tǒng)加加密密方方法法的的共共同同特特點(diǎn)點(diǎn)是是采采用用單單鑰鑰技技術(shù)術(shù)，，即即加加密密和和解解密密過(guò)過(guò)程程中中使使用用同同一一密密鑰鑰，，所所以以它它也也稱稱為為對(duì)對(duì)稱稱式式加加密密方方法法，，或或稱稱對(duì)對(duì)稱稱密密鑰鑰系系統(tǒng)統(tǒng)。。（2）現(xiàn)現(xiàn)代代加加密密方方法法的的共共同同特特點(diǎn)點(diǎn)是是采采用用雙雙鑰鑰技技術(shù)術(shù)，，也也就就是是加加密密和和解解密密過(guò)過(guò)程程中中使使用用兩兩個(gè)個(gè)不不同同的的密密鑰鑰，，它它也也稱稱為為非非對(duì)對(duì)稱稱式式加加密密方方法法，，也也稱稱為為非非對(duì)對(duì)稱稱密密鑰鑰系系統(tǒng)統(tǒng)。。對(duì)稱稱式式加加密密方方法法對(duì)稱稱加加密密與與解解密密過(guò)過(guò)程程原文文text密文文原文文textufvu+1-1相同（1）優(yōu)優(yōu)點(diǎn)點(diǎn)：：可可以以簡(jiǎn)簡(jiǎn)化化加加密密處處理理，，具具有有很很高高的的保保密密強(qiáng)強(qiáng)度度。。如如果果交交易易的的雙雙方方能能夠夠確確保保密密鑰鑰在在密密鑰鑰交交換換階階段段未未曾曾泄泄露露，，那那么么交交易易信信息息的的保保密密性性就就可可以以通通過(guò)過(guò)對(duì)對(duì)稱稱密密鑰鑰加加密密算算法法加加密密信信息息來(lái)來(lái)實(shí)實(shí)現(xiàn)現(xiàn)。。（2）缺缺點(diǎn)點(diǎn)：：密密鑰鑰使使用用一一段段時(shí)時(shí)間間后后就就要要更更換換，，而而在在密密鑰鑰傳傳遞遞過(guò)過(guò)程程中中要要保保證證不不能能泄泄密密；；由由于于交交易易對(duì)對(duì)象象較較多多，，使使用用相相同同的的密密鑰鑰就就沒(méi)沒(méi)有有安安全全意意義義，，而而使使用用不不同同的的密密鑰鑰則則密密鑰鑰量量太太大大，，難難于于管管理理；；無(wú)無(wú)法法滿滿足足不不認(rèn)認(rèn)識(shí)識(shí)的的人人進(jìn)進(jìn)行行私私人人談?wù)勗捲挼牡谋１Ｃ苊苄孕砸笄?；；難難以以解解決決數(shù)數(shù)字字簽簽名名的的驗(yàn)驗(yàn)證證問(wèn)問(wèn)題題。。主要采采用的的數(shù)據(jù)據(jù)加密密標(biāo)準(zhǔn)準(zhǔn)是DES算法。。將原文文進(jìn)行行置換換，得得到64位的雜雜亂無(wú)無(wú)章的的明文文組。。將明文文組分分成兩兩段。。用密鑰鑰（56位）進(jìn)進(jìn)行變變換，，并在在給定定的條條件下下進(jìn)行行多達(dá)達(dá)16次迭代代。整數(shù)n的10進(jìn)制位數(shù)分解的運(yùn)算次數(shù)所需時(shí)間(1000000次/秒)501．4×10103．9小時(shí)1009．0×101274年2001．2×10233．8×109年5001．3×10394．2×1025年非對(duì)稱稱式加加密方方法“非對(duì)對(duì)稱式式”加加密方方法由由美國(guó)國(guó)斯坦坦福大大學(xué)赫赫爾曼曼教授授1977年提出出，它它主要要是指指每個(gè)個(gè)人都都擁有有一對(duì)對(duì)唯一一對(duì)應(yīng)應(yīng)的密密鑰：：一把公公鑰(PublicKey)和一把把私鑰鑰(PrivateKey)，前者用用于加加密，，后者者用于于解密密。這種方方法也也稱為為雙鑰鑰技術(shù)術(shù)。公鑰是是公開(kāi)開(kāi)的，，私鑰鑰是保保密的的，公公鑰和和私鑰鑰不同同，公公鑰也也不能能推導(dǎo)導(dǎo)出私私鑰。。非對(duì)稱稱密鑰鑰加密密解密密過(guò)程程發(fā)送者者的私私鑰？？發(fā)送者者的公公鑰？？接收者者的私私鑰？？接收者者的公公鑰？？公鑰加加密系系統(tǒng)的的優(yōu)缺缺點(diǎn)優(yōu)點(diǎn)：：密鑰分分配簡(jiǎn)簡(jiǎn)單：用戶戶可以以把用用于加加密的的公鑰鑰，公公開(kāi)地地分發(fā)發(fā)給任任何需需要的的其他他用戶戶。密鑰保保存量量少：公鑰鑰加密密系統(tǒng)統(tǒng)允許許用戶戶事先先把公公鑰發(fā)發(fā)表或或刊登登出來(lái)來(lái)，從從而解解決了了密鑰鑰的發(fā)發(fā)布和和管理理問(wèn)題題，成成為目目前商商業(yè)密密碼的的核心心。利利用公公鑰加加密技技術(shù)可可以實(shí)實(shí)現(xiàn)數(shù)字簽簽名，，確認(rèn)認(rèn)對(duì)方方身份份。可以以滿足足互不不認(rèn)識(shí)識(shí)的人人之間間進(jìn)行行私人人談話話的保保密性性需求求。缺點(diǎn)主主要是是加密密、解解密速速度較較慢。。數(shù)字信信封“數(shù)字字信封封”(也稱電電子信信封)技術(shù)，，就是是對(duì)稱密密鑰和和公開(kāi)開(kāi)密鑰鑰的結(jié)結(jié)合的的技術(shù)術(shù)，從從而既既有公公開(kāi)密密鑰技技術(shù)的的靈活活性，，又有有對(duì)稱稱密鑰鑰技術(shù)術(shù)的高高效性性。數(shù)字字信封封技術(shù)術(shù)在外層使使用公公開(kāi)密密鑰加加密技技術(shù)，享受受到公公開(kāi)密密鑰技技術(shù)的的靈活活性，，內(nèi)層使使用對(duì)對(duì)稱密密鑰匙匙加密密，密密鑰鑰長(zhǎng)長(zhǎng)度度通通常常較較短短，，使使得得公公開(kāi)開(kāi)密密鑰鑰加加密密的的相相對(duì)對(duì)低低效效率率被被限限制制在在最最低低限限度度內(nèi)內(nèi)，，實(shí)實(shí)現(xiàn)現(xiàn)優(yōu)優(yōu)勢(shì)勢(shì)互互補(bǔ)補(bǔ)。。數(shù)字字信信封封工工作作過(guò)過(guò)程程消息息摘摘要要和和數(shù)數(shù)字字簽簽名名一、、消消息息摘摘要要消息息摘摘要要(messagedigest)方法法即即數(shù)數(shù)字字指指紋紋消息息摘摘要要方方法法解解決決了了信信息息的的完整整性性問(wèn)問(wèn)題題。2．消消息息摘摘要要的的特特征征（1）消消息息摘摘要要是是一一個(gè)個(gè)唯唯一一對(duì)對(duì)應(yīng)應(yīng)一一個(gè)個(gè)消消息息的的值值。。（2）它它由由單向向Hash加密密算算法法對(duì)一一個(gè)個(gè)消消息息作作用用而而生生成成，，有有固固定定的的長(zhǎng)長(zhǎng)度度(128bit)的密密文文。。這這一一串串密密文文也也稱稱為為數(shù)數(shù)字字指指紋紋。。（3）所謂謂單單向向是是指指不不能能被被解解密密。。（4）不同同的的消消息息其其摘摘要要不不同同，，相相同同消消息息其其摘摘要要相相同同。。因此此摘摘要要成成為為消消息息的的““指指紋紋””，，以以驗(yàn)驗(yàn)證證消消息息是是否否是是““真真身身””。。消息息摘摘要要過(guò)過(guò)程程二、、數(shù)數(shù)字字簽簽名名(digitalsignature)1、概概念念數(shù)字字簽簽名名（（DigitalSignature）技技術(shù)術(shù)是是將將摘摘要要用用發(fā)送送者者的的私私鑰鑰加加密密，與與原原文文一一起起傳傳送送給給接接收收者者，，接接收收者者只只有有用用發(fā)送送者者的的公公鑰鑰才能能解解密密被被加加密密的的摘摘要要。。數(shù)字字簽簽名名與與書(shū)書(shū)面面文文件件簽簽名名有有相相同同之之處處，，采采用用數(shù)數(shù)字字簽簽名名，，能能確確認(rèn)認(rèn)以以下下兩兩點(diǎn)點(diǎn)．．（1）信息是是由簽名名者發(fā)送送的；（2）信息自自簽發(fā)后后到收到到為止未未曾作過(guò)過(guò)任何修修改。2、數(shù)字簽簽名的作作用（1）接收者者能夠核實(shí)對(duì)報(bào)文的的簽名；；（2）發(fā)送者者事后不能抵賴賴對(duì)報(bào)文的的簽名；；（3）接收者者不能偽造造對(duì)報(bào)文的的簽名。。數(shù)字簽名名主要目目的是用用來(lái)識(shí)別別信息來(lái)來(lái)源，本身不不具備對(duì)對(duì)信息加加密的功功能。3、數(shù)字簽簽名方法法Hash簽名是最主要要的數(shù)字字簽名方方法。它它的主要要方式是是，報(bào)文的發(fā)發(fā)送方從從明文文文件中生生成一個(gè)個(gè)128比特的數(shù)數(shù)字摘要要。發(fā)送方用用自己的的私鑰對(duì)這個(gè)散散列值進(jìn)進(jìn)行加密密來(lái)形成成發(fā)送方方的數(shù)字字簽名。然后該該數(shù)字簽簽名將作作為附件件和報(bào)文文一起發(fā)發(fā)送給接接收方。。報(bào)文的的接收方方首先從從接收到到的原始始報(bào)文中中計(jì)算出出128比特的數(shù)數(shù)字摘要要，接著著用發(fā)送方的的公鑰來(lái)對(duì)報(bào)文文附加的的數(shù)字簽簽名解密密。數(shù)字簽名名過(guò)程數(shù)字時(shí)間間戳數(shù)字時(shí)間間戳(DigitalTime－Stamp)就是用來(lái)來(lái)證明消息息的收發(fā)發(fā)時(shí)間的，以防防抵賴行行為發(fā)生生。它由專門門的網(wǎng)絡(luò)絡(luò)服務(wù)機(jī)機(jī)構(gòu)提供供。用戶戶首先將將需要加加時(shí)間戳戳的文件件經(jīng)加密密后形成成數(shù)字摘摘要，然然后將摘摘要發(fā)送送到專門門提供數(shù)數(shù)字時(shí)間間戳服務(wù)務(wù)（DigitalTime－StampService，DTSS）的權(quán)威威機(jī)構(gòu)，，該機(jī)構(gòu)構(gòu)對(duì)原摘摘要加上上時(shí)間后后，進(jìn)行行數(shù)字簽簽名，用用私鑰加加密，并并發(fā)送給給原用戶戶。1.數(shù)字時(shí)間間戳的作作用書(shū)面簽署署文件的的時(shí)間是是由簽署署人自己己寫上的的，而數(shù)數(shù)字時(shí)間間戳是由由DTSS認(rèn)證單位位來(lái)加的的，并以以收到文文件的時(shí)時(shí)間為依依據(jù)。（1）對(duì)已加加蓋時(shí)間間戳的文文件不可可能做絲絲毫改動(dòng)動(dòng)（即使使僅1bit）。（2）要想對(duì)對(duì)某個(gè)文文件加蓋蓋與當(dāng)前前日期和和時(shí)間不不同的時(shí)時(shí)間戳是是不可能能的。2.時(shí)間戳的的組成時(shí)間戳是是一個(gè)經(jīng)經(jīng)過(guò)加密密而形成成的憑證證文檔，，由三部部分組成成：①

需要要加載時(shí)時(shí)間戳的的文件摘摘要；②

認(rèn)證證服務(wù)機(jī)機(jī)構(gòu)收到到文件的的日期和和時(shí)間；；③

認(rèn)證證服務(wù)機(jī)機(jī)構(gòu)的數(shù)數(shù)字簽名名數(shù)字證書(shū)書(shū)與CA認(rèn)證中心心一、數(shù)字字證書(shū)1、什么是是數(shù)字證證書(shū)也叫數(shù)字字憑證，，是網(wǎng)絡(luò)絡(luò)通訊中中標(biāo)志通通訊各方方身份信信息的一一系列數(shù)數(shù)據(jù)，提提供一種種在Internet上驗(yàn)證身份份的方式。。數(shù)字證書(shū)書(shū)是一個(gè)個(gè)經(jīng)證書(shū)書(shū)授權(quán)中中心數(shù)字字簽名的的包含公公開(kāi)密鑰鑰擁有者者信息以以及公開(kāi)開(kāi)密鑰的的文件。。2、數(shù)字證證書(shū)原理理簡(jiǎn)介數(shù)字證書(shū)書(shū)利用一一對(duì)互相相匹配的的密鑰進(jìn)進(jìn)行加密密、解密密。每個(gè)用戶戶自己設(shè)設(shè)定一把把特定的的僅為本本人所知知的私有有密鑰，，用它進(jìn)進(jìn)行解密和簽簽名；同時(shí)設(shè)設(shè)定一把把公共密密鑰（公公鑰）并并由本人人公開(kāi)，，為一組組用戶所所共享，，用于加密和驗(yàn)驗(yàn)證簽名名。當(dāng)發(fā)送一一份保密密文件時(shí)時(shí)，發(fā)送送方使用用接收方方的公鑰鑰對(duì)數(shù)據(jù)據(jù)加密，，而接收收方則使使用自己己的私鑰鑰解密。3、數(shù)字證證書(shū)的組組成內(nèi)容容一個(gè)標(biāo)準(zhǔn)準(zhǔn)的X．509數(shù)字證書(shū)書(shū)內(nèi)容：：證書(shū)的版版本信息息；證書(shū)的序序列號(hào)，，每個(gè)證證書(shū)都有有一個(gè)唯唯一的證證書(shū)序列列號(hào)；證書(shū)所使用的的簽名算法；；證書(shū)的發(fā)行機(jī)機(jī)構(gòu)名稱；證書(shū)的有效期期，現(xiàn)在通用用的證書(shū)的計(jì)計(jì)時(shí)范圍為1950-2049年；證書(shū)所有人的的名稱；證書(shū)所有人的的公開(kāi)密鑰；；證書(shū)發(fā)行者對(duì)對(duì)證書(shū)的數(shù)字字簽名。4．?dāng)?shù)字證書(shū)的的三種類型（1）個(gè)人（客戶戶）證書(shū)：又又稱瀏覽器證證書(shū)，是指由由CA認(rèn)證中心頒發(fā)發(fā)的、安裝在在客戶瀏覽器器端使用的個(gè)個(gè)人或企業(yè)證證書(shū)。（2）企業(yè)（服務(wù)務(wù)器）數(shù)字證證書(shū)：是CA認(rèn)證中心頒發(fā)發(fā)的、安裝在在服務(wù)器上用用以證明服務(wù)務(wù)器身份的證證書(shū)。它通常常為網(wǎng)上的某某個(gè)Web服務(wù)器提供數(shù)數(shù)字證書(shū)。（3）軟件（開(kāi)發(fā)發(fā)者）數(shù)字證證書(shū)：它通常常為因特網(wǎng)中中被下載的軟軟件提供數(shù)字字證書(shū)。查看證書(shū)二、認(rèn)證中心心認(rèn)證中心，又又稱為證書(shū)授授證(CertificateAuthority)中心，，是一一個(gè)負(fù)負(fù)責(zé)發(fā)發(fā)放和和管理理數(shù)字字證書(shū)書(shū)的權(quán)權(quán)威機(jī)機(jī)構(gòu)。。認(rèn)證中中心的的功能能證書(shū)的的頒發(fā)發(fā)；證書(shū)的的更新新；證書(shū)的的查詢?cè)?；證書(shū)的的作廢廢；證書(shū)的的歸檔檔。認(rèn)證的的安全全功能能（1）可信信性。。信息息的來(lái)來(lái)源是是可信信的，，（2）完整整性。。信息息在傳傳輸過(guò)過(guò)程中中保證證其完完整性性。（3）不可可否認(rèn)認(rèn)性。。信息息的發(fā)發(fā)送方方不能能否認(rèn)認(rèn)自己己所發(fā)發(fā)出的的信息息。（4）訪問(wèn)問(wèn)控制制。拒拒絕非非法用用戶訪訪問(wèn)系系統(tǒng)資資源，，合法法用戶戶只能能訪問(wèn)問(wèn)系統(tǒng)統(tǒng)授權(quán)權(quán)和指指定的的資源源。認(rèn)證中中心分分類行業(yè)、、地方方、商商業(yè)北京數(shù)數(shù)字證證書(shū)認(rèn)認(rèn)證中中心為網(wǎng)上上電子子政務(wù)務(wù)和電電子商商務(wù)活活動(dòng)提提供數(shù)數(shù)字證證書(shū)服服務(wù)。。湖北省省電子子商務(wù)務(wù)認(rèn)證證中心心提供電電子商商務(wù)安安全認(rèn)認(rèn)證。。中國(guó)金金融認(rèn)認(rèn)證中中心支持網(wǎng)網(wǎng)上銀銀行、、網(wǎng)上上證券券交易易、網(wǎng)網(wǎng)上購(gòu)購(gòu)物以以及安安全電電子文文件傳傳遞等等應(yīng)用用。天威誠(chéng)誠(chéng)信CA中心（（iTruschinaCA）信產(chǎn)部部等管管理部部門批批準(zhǔn)開(kāi)開(kāi)展PKI/CA服務(wù)的的企業(yè)業(yè)，專專業(yè)、、商業(yè)業(yè)化運(yùn)運(yùn)作。。國(guó)瑞數(shù)數(shù)碼NCS-CA系統(tǒng)提供在在線測(cè)測(cè)試證證書(shū)簽簽發(fā)服服務(wù)。。創(chuàng)原世世紀(jì)信信息技技術(shù)有有限公公司中國(guó)電電子商商務(wù)的的驕傲傲，安安全認(rèn)認(rèn)證的的先鋒鋒。CA層次結(jié)結(jié)構(gòu)根認(rèn)證中心品牌認(rèn)證中心區(qū)域認(rèn)證中心支付網(wǎng)關(guān)認(rèn)證中心支付網(wǎng)關(guān)持卡人認(rèn)證中心商戶認(rèn)證中心商家、銀行持卡人數(shù)字證證書(shū)的的申請(qǐng)請(qǐng)私鑰（私鑰鑰）公鑰讓我們們發(fā)送送帶有有Yolanda→李長(zhǎng)儀儀發(fā)送方方：接收方方：發(fā)送方方發(fā)送送信息息時(shí)用用____的_____對(duì)信息息進(jìn)行行加密密。接收方方接收收到信信息后后用____的_____信息進(jìn)進(jìn)行解解密。。A、YolandaB、李長(zhǎng)長(zhǎng)儀C、公鑰鑰D、私鑰鑰讓我們們發(fā)送送帶有有收信人人公鑰鑰收信人人私鑰鑰如果沒(méi)沒(méi)有發(fā)發(fā)信人人的數(shù)數(shù)字證書(shū)書(shū)，那那么收收信人人收到的的加密密郵件件以附附基本的認(rèn)證技術(shù)數(shù)字信封數(shù)字簽名數(shù)字時(shí)間戳防火墻墻技術(shù)術(shù)一、防防火墻墻（firewal1）的的概概念念是指指一一個(gè)個(gè)由由軟軟件件或或和和硬硬件件設(shè)設(shè)備備組組合合而而成成，，是是加加強(qiáng)強(qiáng)因因特特網(wǎng)網(wǎng)與與內(nèi)內(nèi)部部網(wǎng)網(wǎng)之之間間安安全全防防范范的的一一個(gè)個(gè)或或一一組組系系統(tǒng)統(tǒng)。。它它具有有限限制制外外界界用用戶戶對(duì)對(duì)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)訪訪問(wèn)問(wèn)及及管管理理內(nèi)內(nèi)部部用用戶戶訪訪問(wèn)問(wèn)外外界界網(wǎng)網(wǎng)絡(luò)絡(luò)的的權(quán)權(quán)限限。它它可可以以確確定定哪哪些些內(nèi)內(nèi)部部服服務(wù)務(wù)允允許許外外部部訪訪問(wèn)問(wèn)，，哪哪些些外外部部服服務(wù)務(wù)可可由由內(nèi)內(nèi)部部人人員員訪訪問(wèn)問(wèn)，，即即它它能能控控制制網(wǎng)網(wǎng)絡(luò)絡(luò)內(nèi)內(nèi)外外的的信信息息交交流流，，提提供供接接入入控控制制和和審審查查跟跟蹤蹤，，是是一一種種訪訪問(wèn)問(wèn)控控制制機(jī)機(jī)制制。。二、防火火墻的安安全策略略1．沒(méi)有被列列為允許許訪問(wèn)的的服務(wù)都都是被禁禁止的：這意味味著需要要確定所所有可以以被提供供的服務(wù)務(wù)以及他他們的安安全特性性，開(kāi)放放這些服服務(wù)，并并將所有有其他末末列入的的服務(wù)排排斥在外外，禁止止訪問(wèn)；；2．沒(méi)有被列列為禁止止訪問(wèn)的的服務(wù)都都是被允允許的：這意味味著首先先確定那那些被禁禁止的、、不安全全的服務(wù)務(wù)，以禁禁止他們們被訪問(wèn)問(wèn)，而其其他服務(wù)務(wù)則被認(rèn)認(rèn)為是安安全的，，允許訪訪問(wèn)。三、防火火墻的類類別1．包過(guò)濾濾型防火火墻包過(guò)濾型型防火墻墻往往可可以用一臺(tái)過(guò)濾濾路由器器來(lái)實(shí)現(xiàn)，，對(duì)所接接收的每每個(gè)數(shù)據(jù)據(jù)包做允允許或拒拒絕的決決定。包過(guò)濾路路由器型型防火墻墻的優(yōu)點(diǎn)點(diǎn)：處理理包的速速度要比比代理服服務(wù)器快快；包過(guò)濾路路由器型型防火墻墻的缺點(diǎn)點(diǎn)：防火火墻的維維護(hù)比較較困難等等。路由器解析包進(jìn)出上行包過(guò)濾方方式是一一種通用用、廉價(jià)價(jià)和有效效的安全全手段。。之所以以通用，，是因?yàn)闉樗皇鞘轻槍?duì)各各個(gè)具體體的網(wǎng)絡(luò)絡(luò)服務(wù)采采取特殊殊的處理理方式，，適用于于所有網(wǎng)網(wǎng)絡(luò)服務(wù)務(wù)；之所所以廉價(jià)價(jià)，是因因?yàn)榇蠖喽鄶?shù)路由由器都提提供數(shù)據(jù)據(jù)包過(guò)濾濾功能，，所以這這類防火火墻多數(shù)數(shù)是由路路由器集集成的；；之所以以有效，，是因?yàn)闉樗芎芎艽蟪潭榷壬蠞M足足了絕大大多數(shù)企企業(yè)安全全要求。。2．雙宿網(wǎng)網(wǎng)關(guān)防火火墻雙宿網(wǎng)關(guān)關(guān)是一種種擁有兩兩個(gè)連接接到不同同網(wǎng)絡(luò)上上的網(wǎng)絡(luò)絡(luò)接口的的防火墻墻。兩個(gè)個(gè)網(wǎng)絡(luò)之之間的通通信可通通過(guò)應(yīng)用用層數(shù)據(jù)據(jù)共享或或