电子商务安全导论5-6..ppt

* 第5章 防火墙与VPN技术 * 5.1 防火墙1 5.1.1 什么是防火墙 防火墙：是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访，用来保护内部网络。 “扼制点”的作用：是控制访问。 围绕防火墙出现了一些常用的概念，这些是： （1）外网（非受信网络）：防火墙外的网络，一般为Internet。 （2）内网（受信网络）：防火墙内的网络。受信主机和非受信主机分别对照内网和外网的主机。 （3）非军事化区（DMZ）：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区（DMZ区）。 设置防火墙的目的及主要作用是什么？ 答：设置防火墙的目的是为了在内部网与外部网之间设立惟一通道，允许网络管理员定义一个中心“扼制点”提供两个网络间的访问的控制，使得只有被安全策略明确授权的信息流才被允许通过，对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事件引起的损害，使入侵更难实现，来防止非法用户，比如防止黑客，网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。 5.1 防火墙2 5.1.2 防火墙的设计原则 防火墙的设计须遵循以下基本原则： （1）由内到外和由外到内的业务流必须经过防火墙。 （2）只允许本地安全政策认可的业务流通过防火墙。 （3）尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。 （4）具有足够的透明性，保证正常业务的流通。 （5）具有抗穿透攻击能力，强化记录、审计和告警。 5.1.3 防火墙的基本组成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理。 5.1.4 防火墙的分类 1，包过滤型 2，包检验型 3，应用层网关型 * 5.1 防火墙3 5.1.5 防火墙不能解决的问题 防火墙无法防范通过防火墙以外的其他途径的攻击。 防火墙不能防止来自内部变节者和不经心的用户带来的威胁。 防火墙也不能防止传送已感染病毒的软件和文件。 防火墙无法防范数据驱动型的攻击。 防火墙无法防范内部人的工作失误。 * 5.2 VPN技术1 5.2.1 问题的提出 5.2.2 什么是VPN 虚拟专用网（VPN）：通常被定义为通过一个公共网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。 VPN提供如下功能： 加密数据：以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证：保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制：不同的用户有不同的访问权限。 5.2.3 VPN的优点 成本较低：VPN在设备的使用量及广域网络的频宽使用上，均比专线式的架构节省，故能使企业网络的总成本降低。 网络结构灵活：VPN比专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易地达到目的。 管理方便：VPN较少的网络设备及物理线路，使网络的管理较为轻松 VPN是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。 * 5.2 VPN技术2 5.2.4 VPN的基础——隧道协议 VPN利用隧道协议在网络之间建立一个虚拟通道，以完成数据信息的安全传输。 隧道协议可分为第2层隧道协议PPTP、L2F、L2TP和第3层隧道协议GRE、IPSec。 它们的本质区别在于用户的数据包是被封装在哪种数据包中传输的。 隧道协议主要包括以下几种： （1）互联网协议安全IPSec：它位于第3层，是一个与互联网密钥交换IKE有关的框架协议，主要用于基于防火墙的VPN系统。 （2）第2层转发协议L2F：它由Cisco系统公司提出，可以在多种媒介，如ATM、帧中继、IP网上建立多协议的安全VPN通信方式。 第2层隧道协议L2TP：它PPTP和L2F的优点，并提交IETF进行标准化操作。 （3）点对点隧道协议PPTP：它由3Com、Access、As-cend、Microsoft和ECI Telematics公司共同制定，用于PPTP客户机和PPTP服务器之间的安全通信。 （4）通用路由封装协议GRE：GRE在RFC1701、RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法，GRE的隧道由其两端的源IP地址和目的IP地址来定义。 5.2.5 隧道的基本组成 一个隧道启动器； 一个路由网络（Internet)； 一个可选的隧道交换机； 一个或多个隧道终结器。 隧道启动和终止可由许多网络设备和软件来实现。 * 5.2 VPN技术3 5.2.6 IPSec IPSec是一系列保护IP通信的规则的集合，制定了通过公有网路传输私有加密信息的途径和