电子商务安全技术与应用.ppt

2.1.2 网络设备安全 IP 网络的安全有两个方面：一是主机的安全；二是网络自身的安全。用户主机所感知的安全威胁主要是针对特定系统的攻击，计算机病毒。网络设备主要面对的是基于TCP/IP协议的攻击。 交换机安全 交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。一般用于LAN-LAN的连接。交换机在电子商务中占有重要的地位，因此交换机在满足其基本的数据转发功能的前提下，有的还集成了安全认证，访问控制安全列表、防火墙和入侵检测功能。 防火墙技术 防火墙的弱点 不能防备病毒 对不通过它的连接无能为力 不能防备内部人员的攻击 限制有用的网络服务 不能防备新的网络安全问题 防火墙技术 对不通过它的连接无能为力 * * * * * * * * * * * * * 1、虽然防火墙扫描所有通过的信息，但不能扫描数据的确切内容，即使是先进的数据包过滤也不能防范数据中隐藏的病毒 4、防火墙会限制有用的网络服务器，为了提高被保护网络的安全，限制或关闭很多有用但存在安全缺陷的网络服务。 * 如允许从受保护网内部不受限制的向外拨号，一些用户即可形成与internet的直接连接，从而绕过防火墙，造成潜在的后门攻击渠道。 * * * * * 根据数据包来源的不同，采用不同的实现方式：网络型、主机型、混合型 * * * * * 根据数据包来源的不同，采用不同的实现方式：网络型、主机型、混合型 * 根据数据包来源的不同，采用不同的实现方式：网络型、主机型、混合型 * * * * * * * * （1）三层交换机就是具有部分路由器功能的交换机，三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。 （3）交换机除了可以通过“Console”端口与计算机直接连接，还可以通过普通端口连接。此时配置交换机就不能用本地配置，而是需要通过Telnet或者Web浏览器的方式实现交换机配置。具体配置方法如下 ：1、Telnet （Telnet协议是一种远程访问协议，可以通过它登录到交换机进行配置。 ）假设交换机IP为：192.168.0.1，通过Telnet进行交换机配置只需两步：第1步，单机开始，运行，输入“Telnet 192.168.0.1“第2步，输入好后，单击“确定”按钮，或单击回车键，建立与远程交换机的连接。然后，就可以根据实际需要对该交换机进行相应的配置和管理了。 2、web通过Web界面，可以对交换机设置，方法如下：第1步，运行Web浏览器，在地址栏中输入交换机IP，回车，弹出如下对话框第2步，输入正确的用户名和密码第3步，连接建立，可进入交换机配置系统 第4步，根据提示进行交换机设置和参数修改 。 * * * DMZ(非军事化区）内网中需要向外网提供服务的服务器放置的地方，便于配置管理。 * 1、过滤器用来阻断某些信息的通过。通常，外部过滤器用来保护网关免受来自因特网的攻击。防火墙的主要目的是控制组，只允许合法的数据流通过，过滤器则执行由防火墙管理机构制定的规则，检验各数据组决定是否允许放行。 2、网关：将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中的使用不同传输协议的数据进行相互的翻译转换。 * * * * * 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 * 状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。 状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。 我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据