第3章电子商务安全技术汇总.pptVIP

内部网 FTP服务器 WWW服务器 防火墙 外部 内部 1 2 Internet 路由器 防火墙 防火墙示例图 可以是二层及若干层 防火墙关键技术 分组过滤型（包过滤型） 代理服务器型 状态检测技术 防火墙技术 1、分组过滤型防火墙 1）主要通过路由器及包过滤器来完成对外界计算机访问内部网络的限制 2）它根据IP数据包头源地址，目的地址、端口号、协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃；也可以指定或限制内部网络访问因特网。 3）包过滤器是运行在路由器上的一个软件，它能阻止IP包通过路由器。 大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的； 端口：信息出入的通道，如果把IP地址比为一间房子，端口则是出入房子的许多门，如TCP：21，http:80，通过不同的端口号，可以使信息快速地到达不同的服务器 分组过滤型防火墙 优点：路由器都集成包过滤功能，费用少，效率高 缺点： 1、安全性差：不能防止对IP地址欺骗式攻击，而伪装IP地址是很容易的 2、不识别应用层协议：假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议（FTP、HTTP属于应用层协议) 3、不能记录用户访问状态信息,致使对攻击无法追踪 应用型防火墙 应用代理型防火墙是工作在应用层。内外网之间的信息都通过代理服务器完成，完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 2、应用型防火墙（代理服务器型） 优点：采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，能将内部网络结构屏蔽起来（如IP地址），增强网络的安全性 能详细记录所有访问状态信息，更安全可靠. 缺点：难以配置，速度较慢；因为它必须为每一种服务（如WEB访问，FTP请求）设计一个代理软件，或者说为每一个应用请求开一个单独的代理进程） 3、状态检测（复合型）防火墙 不仅检测数据包中包含的IP地址、端口等信息，还记录数据包中其它有用的信息以帮助识别数据包，如已有的网络连接、数据的传入、传出请求。 如：当来自于内网某个IP地址的客户机向外网的某个IP地址请求了传送视频信息，则在防火墙中状态检测表中会记录这些信息，当这些视频信息通过防火墙时，防火墙会先在状态表中检测是否有这样的源IP地址、目标IP地址、网络连接、以及是否有相应视频信息的请求，如果有，防火墙就会自动地打开相应的端口，数据包通过；否则，拒绝放行。 Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。 防火墙的局限性 1、管理员必须及时响应报警并审查安全日志 2、无法防范防火墙以外的其他途径的攻击 3、不能防止传送已感染病毒的软件或文件 4、不能防止内部网络攻击 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * DES加密算法是由IBM公司在1970年研制的，1977年1月15日由美国国家标准局和美国国家标准协会对外宣布，作为非机密机构（军事机构）的加密标准，用于绝大多数非绝密数据的加密。 是典型的对称加密算法 DES算法在ATM、磁卡及智能卡、加油站、高速公路收费站等领域被广泛应用。 现代加密算法：公钥加密体制 又称非对称加密或双钥加密，它的概念是由美国Stanford大学的Diffie与ellman于1976年提出的。 公钥技术是二十世纪最伟大的思想之一 改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务 公钥加密体制 每个用户都拥有一对密钥：公开密钥和私有密钥。 公开密钥是公开信息，而私有密钥是保密的，需要由用户自己保密。 如某企业的一对密钥： 公开密钥：ddrtiogkd315ssfg 私有密钥：aq54677gfkgffghh 公钥加密体制 公开密钥体制特点： 1、没有任何两个私有或公开密钥是相同的； 2、一个信息如果用A的私有密钥加密，只能用A的公开密钥才能解密；如果一个