电子商务安全导论（自考）第五章--第十一章.pptVIP

第5章 防火墙与VPN技术 第5章 防火墙与VPN技术 5.1 防火墙 5.2 VPN技术 5.1 防火墙 什么是防火墙？ 防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其它外部网络互相隔离、限制网络互访，用来保护内部网络。 设置防火墙的目的： 在内部网和外部网之间设立唯一通道 提供内、外两个网络间的访问控制 通过一定的安全策略防止发生网络安全事件引起的危害 5.1 防火墙 5.1 防火墙 5.1 防火墙 防火墙具备的功能： 针对个人终端和端口提供信息流过滤 对网络信息流进行稽核和监控 Who do What? Why? Where? When and How? 5.1 防火墙 (1)外网：一般为Internet，非受信网络 (2)内网：一般为Intranet，受信网络 (3)非军事化区：DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。 5.1 防火墙 5.1 防火墙 5.1 防火墙 防火墙的作用 保护主系统的安全 过滤不安全的、易受攻击的服务，如NFS、ICMP 控制对网点系统的访问 集中身份认证、安全访问等软件，降低成本 提供网络使用率的统计数字，可供分析或告警 提供实施和执行网络访问安全策略 5.1 防火墙 防火墙的设计原则 由内到外和由外到内的业务流必须经过防火墙 只允许本地安全政策认可的业务流通过防火墙 尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网 具有足够的透明性，保证正常业务的流通 具有抗穿透攻击能力、强化记录、审计和告警 5.1 防火墙 防火墙的基本组成：安全操作系统、过滤器、网关、域名服务、Email处理。 5.1 防火墙 防火墙的分类 包过滤型： 检查进出防火墙的IP包标头内容，如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。缺点是无法控制“连线”能力。 包检验型： 包过滤型的加强版，增加了控制“连线”能力。缺点是无法识别“IP欺骗”。 5.1 防火墙 5.1 防火墙 防火墙的分类 应用层网关型：分析连线内容是否符合应用协定的标准。 5.1 防火墙 防火墙的分类 状态监测防火墙：使用一个在网关上执行网络安全策略的软件模块，称为监测引擎，是第三代防火墙技术 原理：监测引擎软件在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考，根据这些状态信息，可对防火墙外界用户的访问操作进行“行为分析”，对“正常行为”放过，拦截“不正常行为”。 5.1 防火墙 防火墙的优缺点： 优点 1.遏制来自Internet各种路线的攻击 2.借助网络服务选择，保护网络中脆弱的易受攻击的服务 3.监视整个网络的安全性，具有实时报警提醒功能 4.作为部署NAT的逻辑地址 5.增强内部网中资源的保密性，强化私有权 5.1 防火墙 防火墙的优缺点： 缺点 1.限制了一些有用的网络服务的使用，降低了网络性能 2.只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击 3.不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据 4.被动防守，不能防备新的网络安全问题 5.1 防火墙 防火墙的局限 需要过多的人工审查和记录 无法防范防火墙漏洞攻击 无法防范来自内部网的攻击 无法防止传送病毒 无法防范数据驱动型的攻击（恶意代码的攻击） 5.1 防火墙 网络攻击行为：10次以上试密码、端口扫描、服务扫描…… 对网络有害信息的“疏导”技术——“蜜网技术” 蜜网是一个“诱捕网络”，属于主动型的防御系统。 5.1 防火墙 蜜罐(HoneyPot)是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标。简单地说，蜜罐就是诱捕攻击者的一个陷阱。 蜜网(Honeynet)是蜜罐技术的延伸和发展，是一种高交互性的蜜罐,，在一台或多台蜜罐主机基础上，结合防火墙、 路由器、 入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。 法律问题：存不存在“诱导犯罪”、“钓鱼执法”的嫌疑？ 5.2 VPN技术 问题的提出（VPN的需求来源）：地理分散的分支机构，如跨国公司、连锁店、地