电子商务安全技术优质教案.docVIP

电子商务安全技术（优质教案） 刘元友 教学目的：了解网络的安全性，掌握防火墙的类型一特点 重点、难点：防火墙的类型 课时安排： 2课时 教学过程： 导入： 用户认为目前网上交易存在的最大问题是什么？ 1、安全性得不到保障：23.4%； 2、付款不方便：10.8% 3、产品质量、售后服务及厂商信用得不到保障：39.3% 4、送货不及时：8.6% 5、价格不够诱人：10.8% 6、网上提供的信息不可靠：6.4% 7、其它：0.7% 新授： 第一节 网络的安全性 一、网络安全策略 1、人为因素 一些无意的行为，如：丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等，都会对网络系统造成极大的破坏。 对人员的网络安全教育是采用技术安全手段的前提，一般应做到以下几点： （1）加强口令管理，绝对杜绝不设口令的帐号存在，尽量不要用一些熟识的数字和名字作为口令，而应以字母和数字混合而成的字符作为口令。 （2）加强对使用者的网络安全及计算机网络技术的培训与教育，防止由于技术水平问题而造成无意中对网络安全的危害。 （3）使用智能卡身份认证技术，将用户的身份认证信息存储在智能卡。 2、网络设计的缺陷 从网络的特点来看，需要考虑以下几个方面的安全问题： （1）服务器端的安全 （2）客户端的安全 （3）数据在通信过程中的安全 二、网络安全机制的实现 三、目前，经常采用的网络安全方案有以下几种： 1、包过滤路由器：不同网段间的寻址、滤除不必要的主机地址和服务。 原理：IP地址数据包内有源地址、目的地址的信息，用于标记发送方和接收方的主机，通信时对各部件行为的语义和语法规则的定义称为协议，通信双方必须有一致的协议才能彼此理解，而这些协议是用端口来标识的，如WWW的端口为80，这样，包过滤型路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。 2、防火墙体系 （1）防火墙的概念：由软件和硬件设备组成的处于企业内部网与外部网之间，用于加强内外之间安全防范的一个或一组系统。 一般采用两级安全机制：第一级由包过滤路由器承担，第二级由防火墙承担。 （2）形式： 1）单堡垒主机、单路由器、一层网络的隔离形式 堡垒主机配置两个网络接口，外部网络接口接受来自包过滤路由器的数据，数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机，由于堡垒主机与包过滤路由器之间还有一个网络，外界对堡垒主机的非法侵入将更加困难。 2）分级管理的双堡垒主机形式 优点：除具有原单层主机的包过滤机制和堡垒主机的优势外，当包过滤机制和第一级堡垒主机均被攻破时，由于第二堡垒主机采用不同的安全策略，不会造成对堡垒主机的连续突破，从而保证了网络的安全。 分级管理，是指在第一个堡垒主机与包过滤路由器之间的网络挂接一部分机器，将常用的不需保密或低密级的数据放在此层，而把密级较高的数据放在第二级堡垒主机之后。 四、建立防火墙 (一）防火墙主要有以下功能： 保护那些易受攻击的服务 控制对特殊站点的访问 集中化的安全管理 对网络存取访问进行记录和统计 （二）防火墙的结构 1、建立防火墙的原则 （1）防火墙的设计策略应遵循安全防范的基本原则，除非明确允许，否则就禁止； （2）防火墙本身支持安全策略，而不是添加上去的； （3）如果组织机构的安全策略发生改变，可以加入新的服务； （4）有先进的认证手段或有挂钩程序，可以安装先进的认证方法； （5）如果需要，可以运用过滤技术允许和禁止服务； （6）可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运用在防火墙上； （7）拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包是性质有目标和源IP地址、协议类型、源目的的TCP/IP端口、TCP包和ACK位、出站和入站网络接口等。 2、防火墙形式的选择 （1）包过滤型防火墙： 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。 优点：处理包的速度要比代理服务器快； 缺点：防火墙的维护比较困难等 （2）双宿网关防火墙 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 （3）屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 （4）屏蔽子网防火墙 屏蔽子网防火墙系统用了两