V20—chap8电子商务安全技术.pptVIP

电子商务概论 INTRODUCTION OF ELECTRONIC BUSINESS （第2版） 邵兵家 主编 高等教育出版社 2006年7月 ;第8章 电子商务安全技术; 学习目标;开篇案例：广东发展银行网络安全架构 ;电子商务安全技术;8.1 电子商务安全; 8.1.2 电子商务对安全的基本要求 ;8.1.3 电子商务安全措施 ;8.2.1 防火墙的含义及其分类 ;2. 防火墙的分类;代理服务器 通过执行特殊的TCP/IP 协议来为内部网用户提供Internet服务。 代理服务器是一个应用层的网关，内部网的用户若要使用Internet提供的服务（如WWW），首先必须与代理服务器连接，经身份确认后，再由代理服务器负责与Internet连接。目的是为了隔离内部主机和外部主机的直接通信，防止“黑客”入侵。 代理服务器还提供了用户级别的权限确认、日志和审计服务。 缺点：必须为每一个应用建立应用层的特殊网关，这在一定程度上限制了新应用的建立。 堡垒主机 路由器和代理服务器结合在一起形成的一个复合型的防火墙系统，所用主机称为堡垒主机，负责提供代理服务、保护内部网不受攻击、屏蔽内部主机的防火墙和子网防火墙;四种最基本的防火墙技术 （1）过滤性网关 （2）电路层网关 （3）应用层网关（不把内外网络直接连接起来） （4）状态核查;3.防火墙的功能; 8.2.2 防火墙技术;2. 包过滤路由器 审查每个数据包以便确定其是否与某一条包过滤规则匹配，允许或拒绝所接收的每个数据包 过滤规则：基于可以提供给IP转发过程的包头信息 包头信息：其中包括IP源地址、IP目标端地址、内装协议（ICP、UDP、ICMP）、TCP/UDP目标端口、ICMP消息类型 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口上，如Telnet服务器在TCP的23号端口上监听远地连接，SMTP服务器在TCP的25号端口上监听远地连接 包过滤路由器工作在网络层，属网络层防火墙;包过滤路由器有两种过滤方式：与服务相关的过滤和与服务无关的过滤 （1）与服务相关的过滤 指根据特定的服务允许或拒绝流动的数据，因为大多数服务器都是在特定的TCP/UDP端口上监听，如Telnet的端口号为23，ftp为21， SMTP为25，HTTP的端口号??80 （2）与服务无关的过滤 有几种类型的攻击与服务无关，无法使用基本的包头信息来识别，只有通过审查路由表和特定的IP选项，检查特定段的内容才能发现，如 ; A.源地址欺骗攻击 B.源路由攻击 C. 极小数据段攻击 该攻击利用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。希望包过滤路由器只检查第一个分段而让其余分段通过，从而绕过用户定义的过滤规则 包过滤路由器优点：标准的路由软件中都内置了包过滤功能，无需额外费用 包过滤路由器缺点：定义包过滤器比较复杂，要求网络管理员对Internet服务有深入了解 ;3. 应用层网关防火墙 能够实现比包过滤路由器更严格的安全策略，主要在应用层网关上安装代理软件（Proxy）来实现。每个代理模块分别针对不同的应用。如Telnet Proxy负责Telnet在防火墙上的转发，HTTP Proxy负责WWW，FTP Proxy负责FTP等，管理员可以根据自己的需要安装相应的代理。 每个代理相互无关，即使某个代理工作发生问题，只需将它简单的卸出，不会影响其他的代理，同时也保证了防火墙的失效安全;应用层网关常被称为“堡垒主机”，（Bastion Host），它安装了专门的系统，采取一些安全措施，能够抵御各种攻击。主要有以下8个特点： （1）应用层网关的硬件之上执行一个安全的操作系统 （2）只安装代理模块、用户认证模块等防火墙必须的服务 （3）尽量不开多余账号，也不允许远程登陆到防火墙 （4）管理员可以根据机构所需要的服务在应用层网关安装相应的代理模块 （5）除了基本的代理模块外，应用层网关还维持自己的用户库和对象库。 用户库：保存了用户名、用户组、用户的认证方式、用户的管理级别等信息 对象库：保存了管理员定义的主机名、主机组、网络和网关;（6）应用层网关另外一个重要特征是身份认证 常采取客户服务器方式，对同一用户的身份认证可以根据他所在网络的安全级别采取不同的认证方式。如该用户来自内部子网的对其采用类似 UNIX passwd的方式；若该用户来自外部非安全网段，则可以采取安全级别更高的认证方式，如一次性密钥（Skey） （7）管理员通过配置访问控制表中的访问规则，决定内部网络、外部网络的哪些用户可以使用应用层网关上的那个代理模块连接到那个目的站点 （8）代理的工作原理比较简单