第3章电子商务安全技术答辩.pptVIP

内部网 FTP服务器 WWW服务器 防火墙 外部 内部 1 2 Internet 路由器 防火墙 防火墙示例图 可以是二层及若干层 防火墙关键技术 分组过滤型（包过滤型） 代理服务器型 状态检测技术 防火墙技术 1、分组过滤型防火墙 1）主要通过路由器及包过滤器来完成对外界计算机访问内部网络的限制 2）它根据IP数据包头源地址，目的地址、端口号、协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃；也可以指定或限制内部网络访问因特网。 3）包过滤器是运行在路由器上的一个软件，它能阻止IP包通过路由器。 大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的； 端口：信息出入的通道，如果把IP地址比为一间房子，端口则是出入房子的许多门，如TCP：21，http:80，通过不同的端口号，可以使信息快速地到达不同的服务器 分组过滤型防火墙 优点：路由器都集成包过滤功能，费用少，效率高 缺点： 1、安全性差：不能防止对IP地址欺骗式攻击，而伪装IP地址是很容易的 2、不识别应用层协议：假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议（FTP、HTTP属于应用层协议) 3、不