2.4防火墙技术.pptVIP

电子商务安全技术 2.4防火墙技术 案例说教 肯德基在中国的每个连锁经营店都以拨号线路的方式通过互联网与各省、市公司进行业务信息的传输、查询。由于各店的业务人员对计算机的知识和维修技术能力有限，在加上业务主机通过拨号连接互联网后，直接面临来自互联网的病毒和黑客的攻击。曾经发生过某几个连锁店的主机蠕虫病毒和黑客的攻击，造成主机系统崩溃，导致当天无法进行营业的严重后果。一些连锁店选择了NETGEAR公司的PｒｏＳａｆｅＦＲ１１４Ｐ防火墙的设计方案，实现了肯德基各公司和经营店的网络的安全、高速、稳定的实时连接。 可以说，从事电子商务的企业必须将内部网连入Internet，这样才能方便企业内部之间以及企业与外部的信息交流。企业内部网连入Internet，就意味着Internet上的每个用户都有可能访问企业网。企业内部网就完全暴露在开放的环境中如果没有相应的安全性保护措施，黑客可能在毫无察觉的情况下进入企业网，非法访问企业的资源。而防火墙就是保护企业内部中信息安全的一项重要措施。 一、防火墙基础知识 1.防火墙的概念 防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。 网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。 防火墙可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。 2.防火墙的三个特性 (1)所有的通信都通过防火墙，即所有的内、外部网络之间的通信都要经过防火墙。 (2)防火墙只放行经过授权的网络流量。防火墙中安装有过滤机制，可以允许那些经授权的通信通过，从而实现防火墙的“安全策略”。 (3)防火墙能经受得住对其本身的攻击：这是防火墙担当企业内部网络安全防护的先决条件！ 3.电子商务中防火墙的作用 (1)商务信息的安全保护屏障 通过过滤不安全信息和保密信息,从而提高内部网络的安全性。 (2)集中商务人员认证服务 防火墙可以将所有对身份认证系统的相关内容配置在防火墙上 。 (3)对网络存取和访问进行监控审计 对所有的防问者都经过防火墙,并能记录下这些访问并作出日记录,同时也能提供网络使用情况的统计数据。 (4)防止内部信息外泄 使用防火墙可以隐蔽透露内部细节的服务，还可以通过利用防火墙对内部网络的划分，实现重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响 二、防火墙基本类型 1.包过滤型防火墙 包过滤是基于路由器的技术，通常由包过滤路由器对IP数据包进行选择，允许或拒绝特定的数据包通过。 过滤一般是基于一个IP数据包的下列各域进行：IP源地址、IP目标地址、源端口（或服务类型）、目的端口（或服务类型）、消息类型以及包的进入接口和出接口等。 它是防火墙的初级产品。 数据包 在通信过程中，单个消息被划分为多个数据块，这些数据块称为包（或称数据包），它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输，并且在目的地重新组合。 包过滤型防火墙 包过滤防火墙的体系结构 案例 案例 案例 2.代理型防火墙 安全性高于包过滤型防火墙，也称为应用级防火墙或应用网关。代理服务器处于客户机与服务器之间，完全阻挡了二者间的数据交流。 优点 ：既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP 地址，也不会通过严格的身份认证。 缺点：会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的Internet服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特殊的客户端软件。 3.状态监测防火墙 状态检测防火墙，试图跟踪通过防火墙的网络连接和分组，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。 特点：一旦某个访问违反安全规定，就会拒绝访问，并报告有关状态作日志记录，比包过滤和应用网关防火墙都坚固，但是它会降低网络的速度，而且配置也比较复杂。 三、防火墙的选购 一般情况下，企业用防火墙以硬件防火墙为主，并加之软件防火墙进行监测，但价格偏高，个人防火墙一般以软件防火墙为主，功能单一但价格偏低。 １.个人防火墙 个人用户一般选用软件的防火墙：功能简单，安装方便、使用简单，价格较低，基本能满足需求。 （１）WINDOW XP系统自带的防火墙 １）打开控制面板－WINDOWS防火墙。 １.个人防火墙 个人用户一般选用软件的防火墙：功能简单，安装方便、使用简单，价格较低，基本能满足需求。 （１）