第11章-电子商务安全技术

1第11章：电子商务安全技术

11.1计算机网络安全概述11.2电子商务安全威胁和安全需求11.3电子商务的主要安全技术11.4电子商务安全交易协议211.1计算机网络安全概述11.1.1网络安全的概念11.1.2网络安全威胁灰鸽子（HUIGEZI）系列病毒完整解决方案灰鸽子引发互联网全民黑客时代3安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题。

据统计，目前我国95％的与因特网相联的网络管理中心都遭到过黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司symantec2002年的报告指出，中国已经成为全球黑客的第三大来源地，竟然有6．9％的攻击国际互联网活动都是由中国发出的。另从国家计算机病毒应急处理中心日常监测结果来看，计算机病毒呈现出异常活跃的态势。在2001年，我国有73％的计算机曾感染病毒，到了2002年上升到近84％，2003年上半年又增加到85％。引言4

网络安全的危害性巨大，防不胜防。微软的官方统计数据称2002年因网络安全问题给全球经济直接造成了130亿美元的损失。

2003年8月，冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出，8天内导致全球电脑用户损失高达20亿美元之多，无论是企业系统或家庭电脑用户无一幸免。据赛门铁克互联网安全威胁报告书显示，在2003年上半年，有超过994种新的Win32病毒和蠕虫被发现，这比2002年同时期的445种多出一倍有余。而目前Win32病毒的总数大约是4千个。在2001年的同期，只有308种新Win32病毒被发现。5通过案例认识电子商务安全问题的紧迫性国外案例94年末，俄罗斯一位黑客与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国城市银行发动了一连串攻击，通过电子转帐方式，从城市银行在纽约的计算机主机里窃取1100万美元。96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，将司法部部长的照片换成了阿道夫.希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。696年9月18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局”改为“中央愚蠢局”。96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。

2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。2004年10月19日，一个电脑黑客非法侵入了位于美国旧金山的伯克利加州大学的计算机系统，访问了约140万人的个人资料和社会保障号码。72．国内案例97年初，北京某ISP被黑客成功侵入，并在清华大学“

水木清华”

BBS站的“

黑客与解密”

讨论区张贴有关如何免费通过该ISP进入Internet的文章。

97年4月23日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个

PPP用户侵入中国互联网络信息中心的服务器，破译该系统的shutdown帐户，

把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。8910剑网官方网站首页被修改后截图11众所周知，安全才是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值。网络安全的危害性显而易见，而造成网络安全问题的原因各不相同。1211.1.1网络安全的概念计算机网络的安全理解为“通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络系统的保密性、完整性和可用性”。网络安全分为两大类：物理安全和逻辑安全。物理安全是指在物理介质层次上对存储和传输的信息的安全保护，它是信息安全的最基本保障；逻辑安全是指使用非物理手段或措施对存储和传输的信息的安全保护。1311.1.2网络安全威胁网络安全威胁是指网络中对存在缺陷的潜在利用，这些缺陷可能导致信息泄漏、系统资源耗尽、非法访问、资源被盗、系统或信息被破坏。主要网络安全威胁：物理威胁：自然灾害、窃取、废物搜寻、间谍行为、操作失误等系统漏洞威胁：软件缺陷、系统漏洞等身份鉴别威胁：口令圈套、口令破解、编辑口令等有害程序威胁：病毒、逻辑炸弹、特洛伊木马、间谍软件等网络信息污染1411.2电子商务安全威胁和安全需求11.2.1电子商务的安全问题11.2.2电子商务的安全需求1511.2.1电子商务的安全问题一、信息的安全问题：冒充他人身份、系统进入、截获数据、篡改数据、信息重放、伪造邮件等。二、信用的安全问题：抵赖行为三、信息的管理问题：交易过程的监督与管理四、安全的法律保障问题1611.2.2电子商务的安全需求为了保障网上交易各方的合法权益、保证能够在安全的前提下开展电子商务，以下基本安全需求必须得到满足:一、信息的保密性二、信息的完整性三、身份的真实性四、不可抵赖性五、系统的可用性六、信息的访问控制性17一、信息的保密性信息的保密性就是指信息在以电子化方式传送时，保证一些敏感信息不被泄露。信息的保密性通常是通过加密技术来隐藏数据项来实现的。18二、信息的完整性信息的完整性是指信息在以电子化方式传送时，保持信息未被修改过，发送方和接收方都希望确保接收到的信息同发送方发送的信息没有任何出入。数据的完整性被破坏可能导致贸易双方信息的差异，将影响贸易各方的交易顺利完成。数据的完整性通常可采用消息摘要的方法来验证。19三、身份的真实性网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要确认对方的身份。对于商家要考虑客户端不能是骗子，而客户也会担心网上的商店是否是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是网上交易的前提。目前主要采用认证技术对各方身份真实性进行认证。20四、不可抵赖性不可抵赖性是防止一方对交易或通信发生后进行否认。在无纸化的电子商务方式下，不可能像在传统的纸面交易中通过手写签名和印章进行双方的鉴别，一般通过电子记录和电子和约等方式来表达。目前，防止抵赖主要通过数字签名技术来实现。21五、系统的可用性可用性或称即需性，是指保证商业信息及时获得和保证服务不被拒绝。在电子商务过程中，参与各方能否及时进行数据交换，关系到电子商务的正常运行。破坏即需性后，计算机的处理速度非常低，低到一定程度就会影响电子商务的正常运行。如果正常客户要求的服务被拒绝，那将失去大量的客户。一般通过杀毒软件、防火墙技术来防范。22六、信息的访问控制性信息的访问控制性是防止对进程、通信及信息等各类资源的非法访问。安全管理人员要求能够控制用户的权限，分配或终止用户的访问、操作、接入等权利，使系统拒绝为未被授权者提供信息和服务。一般通过身份认证、防火墙等技术来实现。2311.3电子商务的主要安全技术11.3.1数据加密技术11.3.2数字摘要技术11.3.3数字签名技术11.3.4数字证书和认证技术11.3.5防火墙技术2411.3.1数据加密技术一、数据加密概述二、对称加密系统三、非对称加密系统四、两种加密系统的结合使用25一、数据加密概述加密技术是最基本的信息安全技术，是实现信息保密性的一种重要手段，目的是为了防止除合法接收者以外的人获取敏感机密信息。所谓信息加密技术，就是用基于数学方法的程序和保密的密钥对原始信息进行重新编码，把计算机数据变成一堆杂乱无章难以理解的字符串从而隐藏信息的内容，也就是把明文变成密文的过程。26数据加密的术语明文：人或机器能够读懂和理解的信息称为明文，它可以是文本、数字化语音流或数字化视频信息等。密文：通过数据加密的手段，将明文变换成晦涩难懂的信息称为密文。加密过程：将明文转变成密文的过程。解密过程：加密的逆过程，即将密文转换成明文的过程。密钥：用于加、解密过程中的一些特殊信息(参数)，它是控制明文与密文之间变换的关键，可以是数字、词汇或语句等。密钥可以分为加密密钥和解密密钥，分别使用于加密过程和解密过程。密码体制：即加密、解密的特定算法。27举例将字母A、B、C、……X、Y、Z的自然顺序保持不变，但使之与E、F、G、……B、C、D相对应，即相差4个字母顺序。这条规则就是加密算法，其中4即为密钥。若原信息是Howareyou，依照这个加密算法和密钥，则加密后的密文就是LSAEVICSY。不知道算法和密钥的人，是很难将这条密文还原成Howareyou的。如果将密钥换成7，则得到的密文又是不同的。28二、对称加密系统1.概念对称加密又叫做私有密钥加密，其特点是数据的发送方和接收方使用同一把私有密钥，即把明文加密成密文和把密文解密成明文用的是同一把私有密钥。这就要求通信双方必须都要获得这把钥匙并保持它的秘密。对于一个比较好的对称加密系统来说，除非在解密时能提供正确的密钥，否则是不可能利用解密功能来获得明文信息的。29利用私有密钥进行对称加密的过程是：发送方用自己的私有密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文。整个加解密过程如图所示。2.对称加密的过程303.典型的加密算法：数据加密标准DES，由IBM开发，1977年被美国国家标准局作为美国联邦标准，是运用最普遍的对称加密算法。国际信息加密算法IDEA：1991年研制成功，密钥长度达128位。高级加密标准AES：1997年研制，密钥长度可以为128、192、256位。除此之外，对称加密算法还包括有：3DES、RC4、RC5等

31寻找DES密钥所需的平均时间整数n的10进制位数分解的运算次数所需时间(1000000次/秒)501.4×10103.9小时1009.0×101274年2001.2×10233.8×109年5001.3×10394.2×1025年32案例：1997年1月，美国RSA数据安全公司举办了一个密钥挑战竞赛，悬赏1万美金破译密钥长度为56比特的DES算法。美国克罗拉多州的一个程序员用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES密钥，获得了一万美金的奖金。这一事件表明用穷举搜索法破译DES已成为可能。从而使人们认识到随着计算能力的增长，必须相应地增加算法的密钥长度。334.对称加密系统的优缺点分析使用对称加密系统对信息进行加密和解密具有计算量小、加密速度快、效率高的优点，一般广泛应用于对大量数据文件的加解密过程中。34但同时也存在缺点：密钥的安全分发过程比较复杂和困难。密钥是对称加密系统保密通信安全的关键，通信双方必须要持有同一把密钥，且不能让他人知道，一旦密钥泄露，则信息就失去了保密性。所以发信方必须安全、妥善地把密钥送到收信方。如何才能把密钥安全地送到收信方，是对称加密技术的突出问题。密钥的管理工作巨大，其规模很难适应互联网这样的大环境，因为如果某交易方有n个贸易关系的话，那他就要维持n把专用密钥；如果整个网络上有n个贸易方要求两两通信的话，总需要的密钥数将达到n(n-1)/2。35三、非对称加密系统1.非对称加密系统的概念非对称加密又称为公开密钥加密。公开密钥密码体制出现于1976年，在采用公开密钥加密系统进行数据的加解密时要使用一个密钥对，其中公钥用于加密（予以公开，称为加密密钥或公开密钥PK），而私钥则用于解密（保密持有，称为解密密钥或私有密钥SK）；加密算法E和解密算法D也都是公开的，PK与SK成对出现，它们在数学上彼此关联，但不能从公开的公开密钥PK推断出私有密钥SK。36公开密钥加解密算法的特点如下：用加密算法E和加密密钥PK对明文X加密后，再用解密算法D和解密密钥SK解密，即可恢复出明文；或写成：DSK[EPK(X)]=X；加密算法和加密密钥不能用来解密，即EPK[EPK(X)]≠X；在计算机上可以容易地产生成对的PK和SK；从已知的PK实际上不可能（或者说很难）推导出SK。37公开加密系统对于信息的加密和解密过程是：发送方用接收方的公开密钥对要发送的信息进行加密；发送方将加密后的信息通过网络传送给接收方；接收方用自己的私有密钥对接收到的加密信息进行解密，得到信息明文。整个加解密过程如图所示：2.非对称加密的过程383.典型的加密算法：RSA(1978年由美国麻省理工学院的三位教授RonaldRivest、AdiShamir、LeonardAdleman联合发明，它是第一个成熟的，迄今为止理论上最为成熟的公开密钥体制。

)除此之外，不对称加密算法还包括有：Elgamal算法、DSA算法等用实例给新手讲解RSA加密算法

394.不对称加密系统的优缺点分析公开密钥加密系统具有的优点有：由于公开密钥加密必须要由两个密钥的配合使用才能完成加密和解密的全过程，因而有助于加强数据的安全性。密钥少而便于管理。网络中的每一个贸易方只需要妥善保存好自己的解密密钥，则n个贸易方仅需要产生n对密钥。不需要采用秘密的通道和复杂的协议来传送、分发密钥。可以通过公开密钥加密技术实现数字签名。40但公开密钥加解密也有缺点，主要是加解密速度很慢，所以它不适合于对大量文件信息进行加解密，一般只适合于对少量数据(如对密钥)进行加解密。41四、两种加密系统的结合使用正是因为对称加密系统和不对称加密系统各有所长，所以在实际应用中，往往将它们结合起来使用，对于要传输的数据使用对称加密系统加密，而对称加解密过程的密钥则使用不对称加密系统加密，这样既保证了数据安全又提高了加解密的速度，以起到扬长避短的目的。42结合使用的过程：发送方生成一个共享会话密钥，并对要发送的信息用该密钥进行对称加密；发送方用接收方的公开密钥对会话密钥进行加密；发送方把加密后的信息和加密后的私有密钥通过网络传送到接收方；接收方用自己的私有密钥对发送方传送过来的加密后的会话密钥进行解密，得到双方共享的会话密钥；接收方用会话密钥对接收到的加密信息进行解密，得到信息的明文。43上述整个过程如图所示：4411.3.2数字摘要技术假定从发送方给接收方的消息不需要保密，但接收方需要确保该消息在传输过程中没有被篡改或伪造过，这就需要使用进行信息完整性保护的一些技术。一、消息验证码MAC二、散列函数45消息验证码MAC也称为完整性校验值或信息完整性校验值。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。MAC的值与输入信息的每一位都有关系，如果在消息中的任何一位发生了改变，则就会产生出不同的MAC值，接收方就能知道该消息的完整性已遭到了破坏。一、消息验证码MAC46下图给出了消息验证码的使用过程：伪47二、散列函数单向的散列函数是一种计算相对简单但却很难进行逆运算的函数。从数学上来讲，就是当给定一个值x，利用单向的散列函数y=f(x)很容易求出y的值，但是如果给定y，则不可能求出相应的x=f-1(y)。散列函数一般用在数字签名中生成信息摘要MessageDigest（又叫消息摘要，数字摘要，数字指纹），它是一种单向函数，可以很容易的把大量的信息映射成相对较小的信息范围（例如一条成千甚至上百万位长度的信息，经过散列函数的操作，得到的输出信息只有160位长），此外还具有以下特征：48（……续前）函数必须是真正单向的，也就是说不可能（或者说很难很难）根据散列形成的摘要来重新计算出原始的信息；散列计算不可能对两条消息求出相同的摘要，哪怕只有一位改变，摘要就完全不同。典型的算法：SHA-1算法、MD5算法对于SHA-1算法，其破解工作取得了重大突破，山东大学的王小云教授将破解所需要运算次数已从原来设计时估算的2^80次降低为2^69次，这比穷举法快了２０４８倍，但2^69次运算需要６０００年左右的时间，在实际计算上仍然是不可行的。

4911.3.3数字签名技术一、数字签名技术原理二、基于散列函数的数字签名技术50一、数字签名技术原理数字签名技术是实现交易安全的核心技术之一，它的实现基础是加密技术（非对称加密技术）。传统书信或文件是根据签名或印章来证明其真实性的，但在计算机网络中传送的信息报文又如何盖章以证明身份呢？这就是数字签名技术要解决的问题。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；（识别身份）发送者事后不能抵赖对报文的签名；（防止抵赖）接收者不能伪造对报文的签名。（防止修改）51利用公开密钥加密系统的验证模式来实现简化的数字签名的过程如下：发送方A用自己的私有密钥对要发送的信息加密，形成数字签名；发送方A将数字签名附在消息后通过网络传送给接收方B；接收方B用发送方A的公开密钥对接收到的签名信息进行解密，得到信息明文；接收方将解密得到的消息与接收到的消息进行比较，若两者相同，则说明消息未被篡改过，并能确认该消息和数字签名是发送方A的。52数字签名的应用流程53二、基于散列函数的数字签名技术不难发现上述实现数字签名的过程存在着一定的问题，特别是用于处理和通信的成本过高，因为公开密钥加密系统加解密速度本来就比较慢，而这里加密和解密又不得不对整个信息内容进行，并且发送的数据量至少是原始信息的两倍。为了进行改进，可以运用散列函数来进行处理。54利用散列函数的数字签名过程如下：发送方对要发送的消息运用散列函数形成数字摘要；发送方用自己的私有密钥对数字摘要进行加密，形成数字签名；发送方将数字签名附在消息后通过网络传送给接收方；接收方用发送方的公开密钥对接收到的签名信息进行解密，得到数字摘要；接收方运用同样的散列函数对接收的消息形成数字摘要；接收方对两个数字摘要进行比较，若两者相同，则说明消息未被篡改过，并能确认该消息和数字签名是发送方的。5556数字签名的应用流程25711.3.4数字证书和认证技术一、数字证书二、公开密钥基础设施PKI58一、数字证书1.什么是数字证书数字证书，又称为公开密钥数字证书，是一种由可信任的认证机构CA颁发的，将某用户的身份(证书主体)与他所持有的公开密钥安全地结合在一起的数据结构，在结合之前由一个CA来证实该用户的身份，然后由其对包含该用户的身份及对应公钥的数据文件进行数字签名，以证明数字证书的有效性。592.数字证书的内容和结构数字证书中一般包含证书持有者（证书主体）的名称、公开密钥、认证机构的数字签名，此外还包括证书的有效时间、认证机构的名称以及该证书的序列号等信息。交易伙伴之间可以利用数字证书来交换彼此的公开密钥。国际电信联盟ITU在制定的X.509标准中，对数字证书进行了详细的定义，该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC9594-8:195标准。一个标准的X.509数字证书包含如下内容：证书的版本信息；证书的序列号（每个证书都有一个唯一的证书序列号）；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。例：从浏览器中查看一份证书603.数字证书的功能以电子邮件为例，数字证书可以实现如下功能。通过第三方认证机构发放的数字证书安全可靠地分发用户的公开密钥。保密性。身份验证。完整性。不可否认性。

614.数字证书的类型数字证书一般分为三种类型：个人数字证书(PersonalDigitalID)企业（服务器）数字证书(ServerID)软件（开发者）数字证书(DeveloperID)62二、公开密钥基础设施PKI公开密钥基础设施PKI(PublicKeyInfrastructure)，又称公钥体系，是一种遵循标准的密钥管理平台，它能够为所有网络应用透明性地提供采用公钥加密和数字签名等密码服务所必需的密钥和证书管理。它是一种采用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户可利用PKI平台提供的服务进行安全通信。63简单地说，PKI就是由CA机构将用户的公钥和用户的其他标识信息捆绑在一起，用数字证书来管理公钥的一种公钥管理体制。一般而言，一个典型、完整、有效的PKI应用系统应具有下述功能：公钥数字证书的管理；证书撤销表的发布和管理；密钥的备份和恢复；自动更新密钥；自动管理历史密钥；支持交叉认证。PKI主要由认证机构CA(CertificateAuthority)、注册机构RA(RegistrationAuthority)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分组成。64认证中心65电子印章电子印章是随着互联网商务经济的日趋成熟发展的一个新生事物，在传统印章制作、管理的基础上，将PKI技术与可视电子印章有效结合，有助于确立数字盖章的法律效力，进而促进了网上信任体系的建立，它的产生发展是实现无纸化电子办公的重要手段，同时也解决了无法在电子文档上面体现印章的痕迹的问题。安全电子印章，是传统印章的印迹和数字证书相结合的产物。是合法的数字化印章与数字证书绑定的用其私钥进行了数字签名的包含用户身份、印章信息、公钥、有效期等许多相关信息的权威性的电子文件。电子印章的安全性是通过PKI技术来体现其在应用中的唯一性、不可篡改性和不可否认性的安全特征。66电子印章的防伪，主要依靠与电子印章绑定的数字证书，两者之间具有一一对应的关系，也就是说，只要能够确保数字证书不被伪造、篡改和滥用，就能够保证电子印章不被伪造，主要从以下几个方面实现：首先电子印章的申请与物理印章相同，均要经过印章审批部门的核实、审批后，方可提交到电子印章的制作单位。电子印章的数字证书由可信的第三方CA签发，具有权威性。CA中心获得经过审批的电子印章数字证书的请求后，为其颁发数字证书，数字证书中包含与电子印章对应印章主体的身份信息、公钥、印章审批机构名称、印章制发机构名称等，可以申明电子印章身份。通过PKI技术，能够对电子印章在盖章应用时实现：电子印章认证：身份识别与鉴别，确认实体是他自己所申明的盖章文件或数据完整性检查：防篡改，确认没有被修改、缺损、防伪造

盖章文件或数据加解密：确保传输数据的机密，未授权不能被阅读盖章行为的不可抵赖性：保证实体对其行为的诚实，防抵赖对使用电子印章的用户来说，每一次的对电子文档的盖章行为都做了数字签名，这对用户来说是完全透明的，保证盖章后的文件不能被非法篡改，能够对数字签名进行验证。67数字时间戳

数字时间戳，是由第三方提供的一种对可信时间标记的服务，通过该服务获得的时间戳数据可以用来证明在某一时刻数据已经存在。数字签名配合时间戳服务，能更好地支持数据的抗抵赖。

对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。686911.3.5防火墙技术一、什么是防火墙二、防火墙的分类及原理三、防火墙的优缺点70一、什么是防火墙防火墙指的是一个由软件和硬件设备组合而成的，在可信网络和非可信网络之间（如：内部网和外部网之间、专用网与公共网之间）的界面上构造的保护屏障。防火墙能保障网络用户访问公共网络时具有最低风险，与此同时，也保护专用网络免遭外部袭击。所有的内部网和外部网、专用网与公共网之间的连接都必须经过此保护层，在此进行各种检查、认证和连接。只有被授权的通信才能通过此保护层，从而使得内部网络与外部网络、专用网络与公共网络在一定意义下隔离；这样可以防止非法入侵和非法使用系统资源，执行安全管理措施，记录所有可疑的事件。71防火墙的安全策略1)没有被列为允许访问的服务都是被禁止的:基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他末列入的服务排斥在外,禁止访问;这种方法可以创造十分安全的环境，但用户使用的方便性、服务范围受到限制。722)没有被列为禁止访问的服务都是被允许的∶基于该准则，防火墙转发所有信息流，然后逐项屏蔽有害的服务。这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。73二、防火墙的分类及原理根据防范的方式和侧重点的不同，防火墙可分为三大类：1.数据包过滤2.应用级网关3.代理服务74三、防火墙的优缺点防火墙的优势防火墙可以作为内外部网络之间的安全屏障。防火墙限制了企业网Intranet对Internet的暴