计算机网络安全管理（第2版）下ppt159.ppt

§8.5 .1 配置防火墙 1. iptables语法介绍 iptables的IP过滤规则由链和对应的处理规则组成，防火墙的规则指定所检查包的特征、目标。若包不匹配则送往该链下一条规则检查；若匹配,则由目标值确定下一条规则。这些目标值可以是： ACCEPT[通过], DROP[删除], QUEUE[排队], RETURN[返回] 一旦到达了目标，链就结束了。 iptables缺省定义了几个标准链，即INPUT(输入链),OUTPUT（输出链）,FORWARD（转发链）,PREROUTING和POSTROUTING。如果你曾经使用过ipchains，那么要注意，iptables的INPUT和OUTPUT的定义和ipchains不同，现在INPUT和OUTPUT只包含事实上进入/离开本机的包，过去的forward包穿过三条链的情况不再出现了。相当于以前的INPUT链的链名是PREROUTING，也就是一切通过本机NIC进入的都要通过PREROUTING，但事实上只有进入本机的才通过INPUT，类似地，所有通过本机NIC发出的数据都要通过POSTROUTING，但只有本机发出的数据包才通过OUTPUT。 配置实例见书P246。 §8.5 .2 防火墙的管理 1. 防火墙的失效状态 防火墙能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何，按级别来分，它有以下四种状态： · 未受伤害能够继续正常工作； · 关闭并重新启动，同时恢复到正常工作状态； · 关闭并禁止所有的数据通行； · 关闭并允许所有的数据通行。 前两种状态比较理想，而第四种最不安全。但是许多防火墙由于无条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络存在安全隐患。 2. 防火墙的动态维护 防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，那么会尽快发布补救(Patch)产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。 1. 防火墙的失效状态 防火墙能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何，按级别来分，它有以下四种状态： · 未受伤害能够继续正常工作； · 关闭并重新启动，同时恢复到正常工作状态； · 关闭并禁止所有的数据通行； · 关闭并允许所有的数据通行。 前两种状态比较理想，而第四种最不安全。但是许多防火墙由于无条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络存在安全隐患。 2. 防火墙的动态维护 防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，那么会尽快发布补救(Patch)产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。 3. 防火墙的非法访问 -深入分析研究防火墙技术，利用防火墙配置和实现的漏洞，可以对它实施攻击。通常情况下，有效的攻击都是从相关的子网进行的，因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。 4. 防火墙安全的几个威胁 防火墙安全防护面临威胁的主要原因有： · SOCK的错误配置； · 不适当的安全政策； · 强力攻击； · 允许匿名的FTP协议； · 允许TFTP协议； · 允许Rlogin命令； · 允许X－Windows或OpenWindows； · 端口映射； · 可加载的NFS协议； · 允许Win95/NT文件共享； 第9章 电子商务网站安全 9.1 电子商务的安全概述 9.2 电子商务中所使用的安全技术 9.3 电子商务中的认证 9.4 SSL协议 9.5 建立安全的Web站点 随着Internet 的发展， 电子商务已经逐渐成为人们进行商务活动的新模式。电子商务在国外已经成为一种很常见的购物方式，而我国正处于起步阶段，电子商务是端对端的网上交易，它必须具有强有力的安全防范措施，并提供数据的完整性、保密性、不可否认性，因为网上交易使用信用卡、个人帐号等私人秘密。我国电子商务正在崛起，电子商务的发展前景十分诱人，而其安全问题也变得越来越突出，如何建立一个安全、快捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。所以要开展的电子商务，就必须充分了解电子商务中应该注意的安全问题。目前，在电子商务网站中应用最多的客户机服务器中的