电子商务的安全技术第5章讲解材料.ppt

  1. 1、本文档共34页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
电子商务的安全技术第5章讲解材料.ppt

第5章 防火墙的构造与选择 5.1 防火墙概述 5.2 防火墙的原理 5.3 防火墙的选择和使用 5.4 分布式防火墙技术 5.1防火墙概述 5.1.1 防火墙的概念 5.1.2 防火墙设计的基本原则 5.1.1 防火墙的概念 防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。 5.1 防火墙概述 5.1 防火墙概述 5.1.2 防火墙设计的基本原则 防火墙的姿态 机构的整体安全策略 防火墙的费用 防火墙的基本构件和拓扑结构 防火墙的维护和管理方案 5.2 防火墙的原理 5.2.1 防火墙设计的基本准则 5.2.2 防火墙的组成 5.2.3 防火墙不能对付的安全威胁 5.2.4 防火墙的分类 5.2.1 防火墙设计的基本准则 一切未被允许的就是禁止的。 如果防火墙采取第一个准则,那么需要确定所有可以被提供的服务以及它们的安全性,然后,开放这些服务,并将所有其他未被列入的服务排除在外,禁止访问。优点是可以造成一种十分安全的环境,其缺点在于用户所能使用的服务范围受到很大限制。 一切未被禁止的就是允许的。 如果防火墙采取第二个准则,需要确定那些被认为是不安全的服务,禁止其访问;而其他服务则被认为是安全的,允许访问。这种方法构成了一种更为灵活的应用环境,可以为用户提供更多的服务,其缺点在于很难提供可靠的安全防护。 5.2 防火墙的原理 5.2.2 防火墙的组成 5.2 防火墙的原理 E-mail 处理 域名服务 网关代理认证SOCKS 过 滤 器 因特网 Internet 内部网Intranet 安全操作系统 E-mail 域名询问 高级协议访问 IP级数据 防火墙主要包括五部分:安全操作系统、过滤器、网关、域名服务和E-mail处理。 5.2 防火墙的原理 3 网关 应用网关(Application Gateway)可以在TCP/IP应用级上控制信息流和认证用户。应用网关的功能常常由代理服务器提供。在专用网中的一个用户联机到一个代理服务器,代理服务器对用户认证,而后使用户和Internet中远端服务器联机。 SOCKS(套接层)服务器也对通过防火墙提供网关支持,代理服务器和SOCKS服务器之间的主要差别是前者要求改变用户接入Internet服务器的方式,但不需要修正客户机的软件;而后者则相反。 4 域名服务和函件处理 防火墙还可能包括有域名服务和函件处理。域名服务使专用网的域名与Internet相隔离,专用网中主机的内部IP地址不至于暴露给Internet中的用户。函件处理能力保证专用网中用户和Internet用户之间的任何函件交换都必须经过防火墙处理。 5.2 防火墙的原理 5.2.3 防火墙不能对付的安全威胁 1 防火墙不能防范来自内部的攻击 2 防火墙不能防范不经由防火墙的攻击 3 防火墙不能防止受到病毒感染的软件或文件的传输 4 防火墙不能防止数据驱动式攻击 5.2 防火墙的原理 5.2.4 防火墙的分类 1 包过滤型防火墙 是最简单的防火墙。它的处理对象IP包,其功能是处理通过网络的IP包的信息,实现进出网络的安全控制。 应用数据包过滤(packet filtering)技术在网络层对数据包进行选择,只有通过检查的IP包才能正常转发出去。其选择的依据是访问控制表ACL(Access Control List),通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或通过检查它们的组合来决定是否允许该数据包通过。实现原理如图所示。 5.2 防火墙的原理 包过滤型防火墙的优缺点 优点: 逻辑简单,价格便宜,易于安装和使用 网络性能和透明性好。 缺点: 数据包的源地址、目的地址以及IP的端口号都在数据包的头部,易被窃听或假冒,形成各种安全漏洞。 大多过滤器中过滤规则的数目有限制,且随着规则数目的增加,性能受影响。 包过滤的规则可能比较复杂,且不易验证其正确性。 由于缺少上下文关联信息,不能有效过滤某些协议。 大多不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。 大多对安全管理人员素质要求高 5.2 防火墙的原理 2 应用网关型防火墙 应用级网关(Application Level Gateways

文档评论(0)

youngyu0329 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档