第五节电子商务网站常用防御方法.pptVIP

电子商务安全 第五章 电子商务网站常用防御方法 本章主要内容： 本章主要内容： ●防火墙(Firewall)工作原理 ●非军事区域(DMZ)概念 ●虚拟专用网(VPN) ●入侵检测系统(IDS) ●认证 一、防火墙(Firewan) (一)防火墙的工作原理 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。 防火墙主要有三种类型：包过滤防火墙、代理服务器防火墙和应用层网关防火墙 。 1．包过滤防火墙 包过滤防火墙主要有两种实现方式：基于路由器的防火墙和基于独立运行软件(如Packet Filter)的防火墙。下面主要介绍基于路由器的防火墙。 包是网络上信息流动的单位。 每个包有两个部分：数据部分和包头。 包头中含有源地址和目标地址的信息。 优点：透明性好，简单易用，费用低。 缺点：设置繁多，易留下安全漏洞。 1．包过滤防火墙 包过滤路由器防火墙可能遇到的攻击方式： (1)源IP地址欺骗 (2)源路由攻击 (3)微小碎片攻击 2．代理服务器(Proxy Server)防火墙 在Internet网络和Intranet互连时，广泛采用一种称为代理服务的工作方式，使Internet用户在访问Intranet的同时，提供的是一种类似网关的代理服务器型防火墙。 优点：代理服务可提供详细的日志(Log)和审计(Audit)记录，提高了网络的安全性和可靠性。 缺点：不能处理高负荷通信量，且对用户的透明性不好。 3．应用层网关防火墙 应用层网关防火墙可使网络管理员实现比包过滤路由器防火墙更严格的安全策略。 应用层网关不使用包过滤工具来限制Internet服务进出防火墙系统，而是采用为每种所需服务在网关上安装专用程序代码，否则该服务就不被支持且不能通过防火墙来转发。 网络的安全性比较高。 过程复杂、费用比较高、透明性差、限制严格，使用带来不便 。 (二)防火墙规则集 设计规则集的基本过程： 1．拒绝一切未特别允许的连接 彻底分析每个系统和网段确定实现它们的功能所需要的服务和连接。 2．常见通信的常用端口 确定每个服务器和网段需要什么端口和协议。 3．将伪代码转换成防火墙规则 查看手册，确定特定的方法和要求。 4．协议和风险：作出最佳决策 需要保证只允许了必要的协议，并且只能用于需要它们的服务器和网段。 二、非军事区域(DMZ) (一)DMZ的概念 (二)非军事区域的设置 (三)电子商务非军事区域的实现 (四)多区网络存在的问题 (一)DMZ的概念 DMZ(demilitarized zone)的定义：是指为不信任系统提供服务的孤立网段，它是两个防火墙之间的网段。 DMZ网段的创建方法通常有两种。 1.两个防火墙的DMZ 系统放置在有不同规则的两个防火墙之间，这就能允许Internet上的系统连接到DMZ系统提供的服务，但不能连接到企业内部网段(通常叫做受保护网络)中的电脑。 二、非军事区域(DMZ) 二、非军事区域(DMZ) 2.单个防火墙的DMZ（如上图） 实现DMZ网段的方法是在防火墙上实际增加第三个接口，并将DMZ系统放置在那个网段。 允许同一个防火墙管理Internet。降低了硬件的花费，集中了网络的规则集，使管理和处理问题更容易。现在已成为创建DMZ网段的主要方法。 DMZ目的：就是把敏感的内部网络和其他提供访问服务的网络分离开，为网络层提供深度的防御。 DMZ作用：防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反，在Internet和企业内部网之间的通信数据通常是不受限制的。 (二)非军事区域的设置 (二)非军事区域的设置 DMZ是放置公共信息的最佳位置，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息，而不用通过内部网。 企业的机密和私人的信息可以安全地存放在内部网中，即DMZ的后面。 (二)非军事区域的设置 可以在下列系统中装入非军事区域(DMZ)安全网络： ①载有公共信息的网络服务器。 ②与电子商务交易服务器相连接的前端机，该前端机用来接收客户订单。存放客户资料的后端应置于防火墙之后。 ③把外来电子邮件中转至内部的邮件服务器。 ④可据此进入内部网络的证书服务及服务器。 ⑤虚拟专用网络上的各端点。 ⑥应用(层)网关。 ⑦测试及登录服务器(根据系统要求或用户请求，使数据从一个脱机或优先权低的设备返回到一个联机的或优先权高的设备的过程)。 (三)电子商务非军事区域的实现 网络存储顾客信息和金融数据与存储商业处