计算机网络谢希仁课件第10章.ppt

1、计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网

2、络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全主动攻击又可进一步划分为三种，即：主动攻击又可进一步划分为三种，即：（1）（2）（3）计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计算机网络通信安全的五个目标：计算

3、机网络通信安全的五个目标：（1）防止析出报文内容；）防止析出报文内容；（2）防止信息量分析；）防止信息量分析；（3）检测更改报文流；）检测更改报文流；（4）检测拒绝报文服务；）检测拒绝报文服务；（5）检测伪造初始化连接。）检测伪造初始化连接。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全恶意程序种类繁多，对网络安全威胁较大的主要恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：有以下几种：(computer virus)(

4、computer worm)(Trojan horse)(logic bomb)计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全一般的数据加密模型如图一般的数据加密模型如图10-2所示。所示。用用E和和K得到得到Y

5、EK(X)。在传送过程中。在传送过程中可能出现密文截取者。到了收端，利用可能出现密文截取者。到了收端，利用D和和K，解出明文为，解出明文为DK(Y)DK(EK(X)X。又称为又称为或或。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安

6、安安安全全全全全全是密码体制的设计学，而是密码体制的设计学，而则是在未知密钥的情况下从密文推演出明文或密钥的则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为技术。密码编码学与密码分析学合起来即为。如果不论截取者获得了多少密文，但在密文中都如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为密码体制称为，或称为，或称为。在无任何限制的条件下，目前几乎所有实用的密。在无任何限制的条件下，目前几乎所有实用的密码体制均是可破的。因此，人们关心的是要研制出码体制均是可破的。因

7、此，人们关心的是要研制出()。如果一。如果一个密码体制中的密码不能被可以使用的计算资源破译，个密码体制中的密码不能被可以使用的计算资源破译，则这一密码体制称为则这一密码体制称为。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全美国的美国的DES(Data Encryption Standard)和和(public key crypto-system)的出现，成为近代密码学发展史上的两个重要的出现，成为近代密码学发展史上的两个重要

8、里程碑。里程碑。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全在早期的常规密钥密码体制中，有两种常用的密在早期的常规密钥密码体制中，有两种常用的密码，即码，即和和。(substitution cipher)的原理可用一个例子的原理可用一个例子来说明。如表来说明。如表10-1所示。所示。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算

9、机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全表 10-1字母 a、b、c、等与 D、E、F、等相对应abcdefghijklmnopqrstuywxyzDEFGHIJKLMNOPQRSTUVWXYZABC计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全(transposition cipher)则是按照某一规则则是按照某一规则重新排列消息中的比特或字符的顺序。重新排列消息中的比特或字符的顺序。图图10

10、-3给出了序列密码的框图。给出了序列密码的框图。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全序列密码又称为序列密码又称为。目前常使用目前常使用作为密钥序列。作为密钥序列。另一种密码体制与序列密码不同。它将明文划分

11、另一种密码体制与序列密码不同。它将明文划分成固定的成固定的n比特的数据组，然后以组为单位，在密钥的比特的数据组，然后以组为单位，在密钥的控制下进行一系列的线性或非线性的变化而得到密文。控制下进行一系列的线性或非线性的变化而得到密文。这就是这就是(block cipher)。图。图10-4为分组密码体为分组密码体制的框图。分组密码一次变换一组数据。分组密码算制的框图。分组密码一次变换一组数据。分组密码算法的一个重要特点就是：法的一个重要特点就是：，。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机

12、机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全DES属于常规密钥密码体制。它由属于常规密钥密码体制。它由IBM公司研制出，于公司研制出，于1977年被美国定为联邦信息标准年被美国定为联邦信息标准后，在国际上引起了极大的重视。后，在国际上引起了极大的重视。ISO曾将曾将DES作为数作为数据加密标准。据加密标准。加密算法如图加密算法如图10-5所示。所示。计计计计

13、计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全采用加密分组链接的方法，如图采用加密分组链接的方法，如图10-6所示。所示。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第10

14、1010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全，。一种叫做一种叫做(Triple DES)是是Tuchman提出的，提出的，并在并在1985年成为美国的一个商用加密标准年成为美国的一个商用加密标准RFC 2420。三重三重DES使用两个密钥，执行三次使用两个密钥，执行三次DES算法，如图算法，如图10-7所示。所

15、示。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全。公开密钥密码体制的产生主要是因为两个方面的公开密钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的原因，一是由于常规密钥密码体制的(distri

16、bution)问题，另一是由于问题，另一是由于的需求。的需求。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全在公开密钥密码体制中，在公开密钥密码体制中，(即即)PK是公开信息，而是公开信息，而(即即)SK是需是需要保密的。加密算法要保密的。加密算法E和解密算法和解密算法D也都是公开的。虽也都是公开的。虽然秘密密钥然秘密密钥SK。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第10

17、1010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全公开密钥算法的特点如下所述。公开密钥算法的特点如下所述。（1）发送者用加密密钥）发送者用加密密钥PK对明文对明文X加密后，在接加密后，在接收者用解密密钥收者用解密密钥SK解密，即可恢复出明文，或写为：解密，即可恢复出明文，或写为：DSK(EPK(X)X (10-5)解密密钥是接收者专用的秘密密钥，对其他人都解密密钥是接收者专用的秘密密钥，对其他人都保密。保密。此 外，加 密 和 解 密 的 运 算 可 以 对 调，即此 外，加 密 和 解 密 的 运 算 可 以 对 调，即 EP

18、K(DSK(X)X。（2）加密密钥是公开的，但不能用它来解密，即）加密密钥是公开的，但不能用它来解密，即DPK(EPK(X)X (10-6)计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全（3）在计算机上可以容易地产生成对的）在计算机上可以容易地产生成对的PK和和SK。（4）从已知的）从已知的PK实际上不可能推导出实际上不可能推导出SK，即从，即从PK到到SK是是“计算上不可能的计算上不可能的”。（5）加密和解密算法都是公开的。

19、）加密和解密算法都是公开的。上述过程如图上述过程如图10-8所示。所示。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全RSA公开密钥密码体制所根据的原理是：公开密钥密码体制所根据的原理是：。（1）加密算法）加密算法

20、若用整数若用整数X表示明文，用整数表示明文，用整数Y表示密文表示密文(X和和Y均均小于小于n)，则加密和解密运算为：，则加密和解密运算为：加密：加密：Y Xe mod n(10-7)解密：解密：X Yd mod n(10-8)计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全（2）密钥的产生）密钥的产生现在讨论现在讨论RSA公开密钥密码体制中每个参数是如公开密钥密码体制中每个参数是如何选择和计算的。何选择和计算的。计算计算n。用户

21、秘密地选择两个大素数。用户秘密地选择两个大素数p和和q，计算，计算出出n pq。n称为称为RSA算法的模数。算法的模数。计算计算(n)。用户再计算出。用户再计算出n的欧拉函数的欧拉函数(n)(p 1)(q 1)，(n)定义为不超过定义为不超过n并与并与n互素的数的个数。互素的数的个数。选择选择e。用户从。用户从0,(n)1中选择一个与中选择一个与(n)互素的数互素的数e作为公开的加密指数。作为公开的加密指数。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的

22、的的安安安安安安全全全全全全 计算计算d。用户计算出满足下式的。用户计算出满足下式的ded 1 mod(n)(10-9)作为解密指数。作为解密指数。得出所需要的公开密钥和秘密密钥：得出所需要的公开密钥和秘密密钥：公开密钥公开密钥(即加密密钥即加密密钥)PK e,n秘密密钥秘密密钥(即解密密钥即解密密钥)SK d,n计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全数字签名必须保证以下三点：数字签名必须保证以下三点：（1）接收者能够

23、核实发送者对报文的签名；）接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对报文的签名；）发送者事后不能抵赖对报文的签名；（3）接收者不能伪造对报文的签名。）接收者不能伪造对报文的签名。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全发送者发送者A用其秘密解密密钥用其秘密解密密钥SKA对报文对报文X进行运算，进行运算，将结果将结果DSKA(X)传送给接收者传送给接收者B。B 用已知的用已知的A的公开的公开加密密钥得出加

24、密密钥得出EPKA(DSKA(X)X。因为除。因为除A外没有别人外没有别人能具有能具有A的解密密钥的解密密钥SKA，所以除，所以除A外没有别人能产生外没有别人能产生密文密文DSKA(X)。这样，。这样，B就相信报文就相信报文X是是A签名发送的，签名发送的，如图如图10-9所示。所示。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第10

25、1010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全若采用图若采用图10-10所示的方法，则可同时实现秘密通所示的方法，则可同时实现秘密通信和数字签名。信和数字签名。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机

26、机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全在信息的安全领域中，对付被动攻击的重要措施在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用是加密，而对付主动攻击中的篡改和伪造则要用(message authentication)的方法。报文鉴别就是一的方法。报文鉴别就是一种过程，它使得通信的接收方能够验证所收到的报文种过程，它使得通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等发送者和报文内容、发送时间、序列等)的真伪。的真伪。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第1

27、01010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全近年来，广泛使用近年来，广泛使用MD(Message Digest)来进行报文鉴别。来进行报文鉴别。要做到不可伪造，报文摘要算法必须满足以下两要做到不可伪造，报文摘要算法必须满足以下两个条件：个条件：（1）任给一个报文摘要值）任给一个报文摘要值x，若想找到一个报文，若想找到一个报文y使得使得H(y)=x，则在计算上是不可行的。，则在计算上是不可行的。（2）若想找到任意两个报文）若想找到任意两个报文x和和y，使得，使得H(x)=H(y)，则在计算上是不可行的。，则在计算上是不可行

28、的。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全MD5的算法大致的过程如下：的算法大致的过程如下：（1）先将任意长的报文按模）先将任意长的报文按模264计算其余数计算其余数(64 bit)，追加在报文的后面。这就是说，最后得出的追加在报文的后面。这就是说，最后得出的MD代码已代码已包含了报文长度的信息。包含了报文长度的信息。（2）在报文和余数之间填充）在报文和余数之间填充1 512 bit，使得填充，使得填充后的总长度是后的

29、总长度是512的整数倍。填充比特的首位是的整数倍。填充比特的首位是1，后，后面都是面都是0。（3）将追加和填充后的报文分割为一个个）将追加和填充后的报文分割为一个个512 bit的数据块，的数据块，512 bit的报文数据分成的报文数据分成4个个128 bit的数据块的数据块依次送到不同的散列函数进行依次送到不同的散列函数进行4轮计算。每一轮又都按轮计算。每一轮又都按32 bit的小数据块进行复杂的运算。一直到最后计算出的小数据块进行复杂的运算。一直到最后计算出MD5报文摘要代码。报文摘要代码。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第10

30、1010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全由于密码算法是公开的，网络的安全性就完全基由于密码算法是公开的，网络的安全性就完全基于密钥的安全保护上。因此在密码学中出现了一个重于密钥的安全保护上。因此在密码学中出现了一个重要的分支要的分支。密钥管理包括：密钥的产生、。密钥管理包括：密钥的产生、分配、注入、验证和使用。分配、注入、验证和使用。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的

31、的的安安安安安安全全全全全全随着用户的增多和通信量的增大，密钥更换频繁随着用户的增多和通信量的增大，密钥更换频繁(密钥必须定期更换才能做到可靠密钥必须定期更换才能做到可靠)，派信使的办法将不，派信使的办法将不再适用。这时应采用再适用。这时应采用，即对密钥自动分，即对密钥自动分配。配。目前，常用的密钥分配方式是设立目前，常用的密钥分配方式是设立KDC(Key Distribution)，通过，通过KDC来分配密钥。图来分配密钥。图10-11为一种对常规密钥进行分配的方法。为一种对常规密钥进行分配的方法。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第

32、第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全在采用链路加密的网络中，每条通信链路上的加在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密密是独立实现的。通常对每条链路使用不同的加密密钥，如图钥，如图10-12所示。所示。计计计计计计算算算算算算机机机机机机网网网网网网

33、络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全端到端加密是在源结点和目的结点中对传送的端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密，其过程如图进行加密和解密，其过程如图10-13所示。可以看所示。可以看出，报文的安全性不会因中间结点的不可靠而受到

34、影出，报文的安全性不会因中间结点的不可靠而受到影响。响。计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全防火墙是从防火墙是从(intranet)的角度来解决网络的的角度来解决网络的安全问题。安全问题。采用因特网技术的

35、单位内部网络称为采用因特网技术的单位内部网络称为。内联网通常采用一定的安全措施与企业或机构外内联网通常采用一定的安全措施与企业或机构外部的因特网用户相隔离，这个安全措施就是部的因特网用户相隔离，这个安全措施就是(firewall)。在内联网出现后，又有了另一种网络叫做在内联网出现后，又有了另一种网络叫做(extranet)。图图10-14是防火墙在互连的网络中的位置。一般都是防火墙在互连的网络中的位置。一般都将防火墙内的网络称为将防火墙内的网络称为“”(trusted network)，而将外部的因特网称为，而将外部的因特网称为“”(untrusted network)。计计计计计计算算算算算

36、算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络教教教教教教程程程程程程第第第第第第101010章章章章章章计计计计计计算算算算算算机机机机机机网网网网网网络络络络络络的的的的的的安安安安安安全全全全全全防火墙的功能有两个：一个是防火墙的功能有两个：一个是，另一个是，另一个是防火墙技术一般分为下述两类。防火墙技术一般分为下述两类。（1）：主要是用来防止整个网络出：主要是用来防止整个网络出现外来非法的入侵。属于这类的有现外来非法的入侵。属于这类的有(packet filtering)和和(authorization server)。（2）：从应用程序来进行接入控制。：从应用程序来进行接入控制。通常使用通常使用或或(proxy server)来区分来区分各种应用。各种应用。