MISLecture2-2...ppt

第2篇 基础设施 电子商务与电子政务的安全威胁 电子商务与电子政务的安全要求 防火墙技术 防火墙:是由软件或和硬件设备组合而成 —理论上：提供对网络的存取控制功能 —物理上：是Internet和Intranet间设置的一种过滤器、限制器 防火墙的实现规则 （1）凡是没有被列为允许访问的服务都是被禁止的。 （2）凡是没有被列为禁止访问的服务都是被允许的。 防火墙的缺陷 （1）不能防止网内发生的安全问题。目前防火墙主要防护外部网络用户的攻击，无法禁止内部用户对网络主机的攻 （2）防火墙系统不能防范通过防火墙以外的其他途径攻击。防火墙一旦被攻破或信息传输不经过防火墙，就不能提供任何安全保护。 （3）不能防止传送已感染病毒的文件或文件所带来的病毒。 （4）无法防范数据驱动型攻击。所谓数据驱动型攻击是指从表面上看是无害的数据被邮寄或复制到Internet主机上，一旦执行就开始攻击。 防火墙的缺陷 （5）不能防备新的威胁。防火墙总体上是一种被动式防护系统，不具备智能的自动升级能力。要解决不断产生的网络安全问题，就必须不断的更新防火墙的配置。 （6）限制了一些网络服务。防火墙为了提高被保护网络的安全性，会限制或关闭一些存在安全缺陷的网络服务，如Telnet、FTP等。 （7）不能解决信息保密性问题。防火墙仅仅是一个关口，数据包通过这个关口后，防火墙就不管了。因此，通过防火墙在Internet上传输的数据包可能被窃听、被篡改，防火墙都无法预见和处理，因为它本身不对进出的数据包进行任何加密解密操作。 防火墙的拓扑结构（1） 防火墙的拓扑结构（2） 防火墙的拓扑结构（3） 防火墙的分类 根据连接方式分类： —包过滤型（网络级防火墙）：对源和目的的IP地址及端口进行检查，拟定一个提供接收和服务对象的清单，一个不接受访问或服务对象的清单，按照所定的安全政策实施允许或拒绝访问 —应用网关型（代理服务器）：在内域网和外域网之间建立一个单独的子网，将内域网屏蔽起来 —电路层网关型：在内部网与外部网之间实现中继TCP连接。网关的中继程序通过接入控制机构来来回回地复制字节，起到内外网间连线作用 包过滤防火墙 包过滤防火墙的工作原理 采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。 基于包过滤的防火墙设计 规则的设定例子 过滤规则的设定方法因路由的不同而不同 下面是某一网络级防火墙的访问控制规则：(1)允许网络123.1.0使用FTP(21口)访问主机； (2) 允许IP地址为8和4的用户Telnet (23口) 到主机上； (3)允许任何地址的E－mail(25口)进入主机； (4)允许任何WWW数据（80口）通过； (5)不允许其他数据包进入。 过滤规则例子 包过滤技术的特点 优点： 一个过滤路由器能协助保护整个网络 数据包过滤对用户透明,不需要登录及口令 过滤路由器速度快、效率高 缺点： 没有用户的使用记录，不能发现黑客的记录 不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用 可以阻止外部对私有网络的访问，却不能记录内部的访问 代理防火墙 代理防火墙的原理： 　　 代理防火墙运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。 电路层网关（Circuit Gateway） 电路层网关是另一种类型的代理技术。在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包 。 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“ 链接”，由两个终止代理服务器上的“ 链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用，并隐藏了内部地址，提高了安全性. 电路层网关型防火墙 虚拟专用网技术 虚拟专用网技术 虚拟专用网技术 虚拟专用网技术 虚拟专用网技术 虚拟专