2019年电子商务安全概论.ppt

非对称加密技术–示意图 非对称加密技术--优缺点 优点： ??可以保证机密性 ??密钥空间大 缺点： ??产生密钥麻烦，难以做到一次一密 ??过程复杂，速度慢 不对称密钥加密和对称密钥加密比较 防火墙技术 ??防火墙的发展史 ??防火墙中常用概念 ??防火墙的功能 ??防火墙的分类 ??防火墙的应用 防火墙的发展史 ??第一代防火墙：包过滤（Packet filter）技术。 ??第二代防火墙：电路层防火墙 ??第三代防火墙：应用层防火墙（代理防火墙） ??第四代防火墙：状态监视（Statefulinspection）技术。 ??第五代防火墙：自适应代理（Adaptive proxy）技术 防火墙中常用概念 ??Intranet的安全性 ??内网 ??外网 Intranet的安全性 保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问 控制、监督和管理企业内部对外部Internet的访问 防火墙 防火墙是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。所有内部网和外部网之间的连接都必须经过此保护层，进行检查和连接。只有被授权的通信才能通过次保护层，从而使内部网络与外部网络在一定意义下隔离，防止非法入侵，非法使用系统资源，执行安全管制措施，记录所有可疑的事件。 防火墙结构 防火墙 外部WWW客户 Intranet 客户机 电子邮件服务部 Web服务器 DB 防火墙的功能 ??防火墙是网络安全的屏障 ??防火墙可以强化网络安全策略 ??对网络存取和访问进行监控审计 ??防止内部信息的外泄 防火墙的分类 包过滤防火墙 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷： ?1．不能防范黑客攻击。 2 ．不支持应用层协议。 3 ．不能处理新的安全威胁。 防火墙的分类 应用代理（网关）防火墙 应用代理防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 应用代理防火墙的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 缺点也非常突出，主要有： · 难于配置。 · 处理速度非常慢 防火墙的分类 状态（检测）防火墙 Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 防火墙安全策略 没有被列为允许的访问都应该被禁止。 需要确定所有可以被提供的服务以及他们的安全特征，开放这些服务，并将所有其他未加入的服务排斥在外，禁止访问。 没有被列为禁止访问的服务都是被允许的。 首先确定那些是被禁止的、不安全的服务，以禁止他们被访问，而其他服务被认为是安全的可以访问的。 防火墙的应用 ??两层防火墙体系架构 ??拒绝服务攻击DOS 两层防火墙体系架构 拒绝服务攻击DOS ??DoS：Denial of Service拒绝服务 ??DDoS：Distributed Denial of Service 分布式拒绝服务 ??DoS攻击通常是以消耗服务器端资源、迫使服务停止响应为目标。 ??可以在防火墙节点处安装入侵检测系统，并用专门软件监视CPU、内存和带宽的使用情况，这样就能快速检测出DOS攻击，以进一步采取措施有效抵抗拒绝服务攻击。 消息摘要 ??消息摘要概念 ??哈希算法特性 ??常用哈希算法 消息摘要概念 消息摘要（Message Digest）又称为数字摘要(Digit