网络支付与电子商务安全5.pptVIP

网络层的安全解决方案 网络层安全是由IP层协议保证网络的安全，主要包括网络边界控制和管理，加强对外部攻击和内部信息泄露的防范，网络层的安全机制主要如下： 基于五元组的访问控制列表（ACL）； NAT（网络地址转换器，Network Address Translate）功能； 应用层加密的支持，为关键应用提供应用加密或隧道（IPSec）； 应用更为安全的IP协议——IPv6； 设置专门保护。譬如，在服务器端拒绝所有的ICMP包 ；在Windows 2000系统中，自定义IP安全策略，设置“碎片检查”等。 网络层的安全防护 网络分段 网络安全扫描技术 入侵检测技术 VPN技术 加密技术 、数字 签名和认证技术 防火墙服务 VLAN的实现 传输层介绍 传输层控制主机间传输的数据流。传输层存在两个协议，传输控制协议(TCP)和用户数据报协议(UDP) TCP是一个面向连接的协议 通过三次握手完成连接； UDP是一个非面向连接的协议 传输层的安全威胁 传输层信息安全 UDP协议没有像TCP协议那样检验数据的完整性机制，并且UDP协议本身对于顺序错误或丢失的包，是不做纠错或重传的。 TCP尽管有数据完整性的检验机制和纠错、重传机制，但本身没有数据保密机制。 传输层服务器安全 TCP协议的弱点： TCP连接对资源的消耗。 攻击方通过故意不完成建立连接所需要的三次握手过程，造成被攻击方的资源耗尽。 针对TCP协议弱点进行的SYN Flood（同步洪流）是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一。 传输层安全解决方案 针对传输信息的安全保障一般应用SSL协议对所传输的数据实施加密等安全措施。并将SSL结合到相关的应用服务中，形成带SSL的 HTTP（ https，端口号为443），带SSL的SMTP（ssmtp，465），带SSL的NNTP（snews，563）。 对于拒绝服务攻击，一方面要在服务器端打Syn-flood的补丁，另一方面需要在该网段的路由器上做些配置的调整。这些调整包括限制Syn半开数据包的流量和个数，在路由器的前端做必要的TCP拦截，并在路由器上设定相当严格的定时常数，利用路由器的TCP拦截技术使得只有完成TCP三次握手过程的数据包进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击 。 应用层介绍 简单邮件传输协议（SMTP） 文件传输协议(FTP) 超文本传输协议(HTTP) 远程连接服务标准协议（Telnet） 简单网络管理协议(SNMP) 域名系统(DNS) DNS SNMP Telnet HTTP FTP SMTP 应用层的安全性 FTP的安全性问题 匿名FTP服务器的安全问题 利用写权限致使操作系统瘫痪，或将垃圾信息填满日志文件，致使日志文件没有空间记录黑客的非法操作。 使用帐号登陆的FTP服务器的安全问题 帐号和密码明文传输带来的安全隐患。 TELNET的安全性问题 帐号和密码明文传输； 只有帐号和密码认证，没有强力认证过程； 没有数据完整性鉴别； 传输的数据没有加密保护。 应用层的安全性 SMTP的安全性问题 病毒邮件的广泛传播； 发送邮件程序的安全漏洞； 邮件地址未能得到必要的保护； SMTP服务器处理邮件时，会作为超级用户或邮件寻址的目的用户身份出现，从而被黑客利用。 HTTP的安全性问题 浏览器端 下载有破坏性的ActiveX控件或JAVA applets。 服务器端 JAVA、CGI等应用程序漏洞所带来的安全问题 应用层的安全防护 实施强大的基于用户的身份认证 实施数据加密，访问控制的理想位置 加强数据的备份和恢复措施 对资源的有效性进行控制，资源包括各种数据和服务 * 应用层：FTP 等 传输层：TCP、UDP 网络层：IP 网络接口物理层：链路 ◆应用层：应用程序间沟通的一层，如简单电子邮件传输协议(SMTP).文件传输协议{(FTP)这个如果让我们得到最高FTP权限，就可以直接改对方的主页面了，很重要的入侵途径}.网络远程访问协议{(Telnet)如果登陆上它，那么你可以当自己的CMD一样用命令控制使用那台机子了，哈哈}等等......； ◆传输层：此层提供了节点间的数据传送服务，如传输控制协议(TCP).用户数据报协议{（UDP）我们经常用的OICQ就是用这个UDP协议拉，所以大家要记住啊，不然别人问起你的QQ是用什么协议进行通信的，你居然不知道，还说玩了多久QQ或者有个多少位好号码的QQ呢}等等......，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送到达并接收； ◆网络层：负责提供基本的数据封包传送功能，让每一块数据包都能到达目的主机(但不会检查