电子商务安全(第4章)！.pptVIP

第4章 Internet安全技术与协议 本章主要内容 4.1 Web安全概述 4.2 防火墙技术 4.3 IPsec和虚拟专用网（VPN） 4.4 WEB安全协议 4.5 安全电子邮件协议 4.6 安全套接层（SSL）协议 4.7 安全电子交易（SET）协议 第一部分 教学组织 一、目的要求 1. 了解防火墙和他的工作原理； 2. 了解IPsec技术和如何利用IPsec建立VPN的流程； 3. 了解多种Web安全协议、电子邮件协议等； 4. 了解安全套接层协议（SSL）、安全电子传输协议（SET）和它们的主要工作流程； 5. 领会SET与SSL之间的异同点； 6. 掌握SSL在windows2000系统中的配置与应用。 二、工具器材 1. IPsec协议、SSL协议和SET等安全协议； 2. Windows2000操作系统。 三、学习方式建议 1. 上课仔细理解教师授课中的要点； 2. 用outlook express进行安全电子邮件的配置，了解其工作流程； 3. 分别对SSL和SET进行配置，了解其区别和各自的工作流程。 第二部分 教学内容 4.1 Web安全概述 4.1.1 网络层安全性 传统的安全体系一般都建立在应用层上，虽然具有一定的可行性，但也存在着巨大的安全隐患，因为IP包本身不具备任何安全特性，很容易被修改、伪造、查看和重播。IPSec可提供端到端的安全性机制，可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置，实现端到端的安全、虚拟专用网络和安全隧道技术等。基于网络层使用IPSec来实现Web安全的模型如图4.1所示。 4.2 防火墙技术 4.2.1 什么是防火墙 对防火墙明确定义来自ATT(American Telephone Telegraph Company，美国电话电报公司)的两位工程师William Cheswick和 Steven Bellovino，他们将防火墙定义为置于两个网络之间的一组构件或一个系统，它具有以下属性： 1. 双向流通信息必须经过它； 2. 只有被预定的被安全策略授权的信息流才被允许通过； 3. 该系统本身具有很高的抗攻击性能。 4.2.2 防火墙的分类 防火墙的产生和发展已经历了相当一段时间，根据不同的标准，其分类方法也各不相同。 按防火墙发展的先后顺序可分为：包过滤型（Pack Filter）防火墙（也叫第一代防火墙），复合型（Hybrid）防火墙（也叫第二代防火墙），以及继复合型防火墙之后的第三代防火墙。在第三代防火中最具代表性的有：IGA(Internet Gateway Appliance)防毒墙；Sonic wall防火墙以及Cink Tvust Cyberwall等。 按防火墙在网络中的位置可分为：边界防火墙，分布式防火墙。分布式防火墙又包括主机防火墙，网络防火墙。 按实现手段可分为：硬件防火墙，软件防火墙，以及软硬兼施的防火墙。 4.2.3 防火墙的功能评价 如何评价防火墙是一个复杂的问题，因为用户在这方面有不同的需求，很难给出统一的标准。一般来说，防火墙的安全和性能（速度等）是最主要的指标，从安全需求来看，理想的防火墙应具有以下功能： 1. 访问控制 2. 防御功能 3. 安全特性 4. 管理功能 5. 记录和报表功能 4.2.4 防火墙的组成 防火墙的组成主要包括五部分:安全操作系统、过滤器、网关、域名服务和E-mail处理。如图4.8所示。 4.3 IPsec和虚拟专用网（VPN） 4.3.1 IPsec协议 1.IPsec协议的安全体系结构 （1）IPSec框架结构 IPsec是一种协议集合，范围较小，是PKI的一种应用, Ipsec可以帮助Internet实现VPN。IP协议的安全体系结构如图4.9所示。 （2）IPSec的组成 由IPSec 协议族的体系结构可以看出，IPSec协议主要由以下几部分组成： ① 安全协议 ② 安全联盟（SA - Security Associations） ③ 密钥管理：Internet密钥交换（IKE） 2. 工作原理 IP协议本身不集成任何安全特性，很容易便可伪造出IP包的地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。因此，在IP网上传递IP数据报可能会遇到下列安全威胁： （1）身份欺骗，接收者无法确认所收到的数据确实来自真正的数据源或发送者。这可以使用AH或者ESP协议进行身份认证的保护； （2）数据的完整性遭到破坏，接收者无法确认所收到的数据就是发送方的所发送的原始 数据，因为数据在传递的过程中可能会被修改；这可以使用AH或者ESP协议进行数据完整性的保护； （3）数据隐私性遭到破坏，原始数据在传输途中被其他未经授权的人看到。这