电子商务安全管理第2章 电子商务安全的技术措施.pptVIP

2．2．2 防火墙技术 防火墙系统结构 防火墙分为网络防火墙和主机(个人)防火墙，网络防火墙部署在内部网出入口，主机防火墙部署在PC机上。 1) 网络防火墙 网络防火墙主要有三类: 分组过滤型、代理服务型和状态检测型, 它们在网络性能、安全性和应用透明性等方面各有利弊。 (1) 分组过滤型 分组过滤型(Packet Filter)防火墙通常在网络层上通过对分组(也称数据包)中的IP地址、TCP/UDP端口号以及协议状态等字段的检查来决定是否转发一个分组。 2．2．2 防火墙技术 (2) 代理服务型 代理服务型(Proxy Services)防火墙有两种类型: 一是应用级网关型, 工作在应用层上, 对每一种应用, 都有一个代理服务程序；二是电路级网关型, 工作在传输层上, 根据客户的TCP连接请求, 重新建立一个允许通过防火墙的TCP连接来提供代理服务, 而不是针对应用程序。相比而言, 前者的安全性更好, 后者的灵活性和透明性更好。 在这种防火墙中，每种网络应用都需要有相应的代理程序，如HTTP代理、FTP代理及Telnet代理等。优点是安全性好, 而缺点是可伸缩性差和性能损失较大。因为每增加一种新的应用都必须增加相应的代理程序。并且代理程序将增加转发延迟, 引起网络性能下降。 2．2．2 防火墙技术 (3) 状态检测型 对于防火墙，理想的目标是在保证安全性前提下，尽可能地减少网络性能损失，提高网络吞吐能力，避免网络阻塞。从安全性和网络性能等方面来看，以上两种防火墙都存在着一定的缺陷。为了解决安全性和网络性能相协调问题, 近几年出现了一些新的防火墙技术，如状态检测型防火墙。 状态检测型防火墙, 在系统结构上仍采用类似于分组过滤型防火墙结构, 在网络层对数据包进行安全过滤。不同的是, 它提供了应用感知功能, 系统从接收的数据包中提取和保存与安全规则相关的状态信息，作为对后续连接请求的决策依据。防火墙首先从数据链路层和网络层之间的接口处截获数据包, 然后分析这些数据包, 将当前数据包及状态信息与以前数据包及状态信息相比较, 得到该数据包的控制信息, 确定是否让数据包通过，实现对本次通信进行控制的目的。 2．2．2 防火墙技术 2) 主机防火墙 网络防火墙一般部署在网络边界上，主要用于防范外部黑客对内部网的攻击。主机防火墙部署在用户主机上，主要用于防范恶意代码(如木马和病毒等)获取本机上的敏感信息，或者对本机实施的攻击行为。主机防火墙又可分成单机式个人防火墙和分布式个人防火墙两种。 2．2．2 防火墙技术 3) 网络防火墙应用模式 在使用和部署网络防火墙时，根据网络拓扑结构和安全需求等方面的差异,一般采用以下4种应用模式： (1) 屏蔽路由器(Screened Router) 这种模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常，防火墙功能由带有防火墙模块的路由器提供。该路由器设置在内部网与Internet之间，根据预先设置的安全规则对进入内部网的信息流进行安全过滤。 (2) 双穴主机网关(Dual Home Gateway) 这种模式采用单一的代理服务型防火墙来实现。防火墙由一个运行代理服务软件的主机(即堡垒主机)实现, 该主机具有两个网络接口(称为双穴主机)。充当内部网与外部网之间的网关, 内部网与外部网之间不能直接建立连接，必须通过堡垒主机进行通信。 2．2．2 防火墙技术 (3) 屏蔽主机网关(Screened Host Gateway) 这种模式采用双重防火墙来实现，一个是屏蔽路由器，构成内部网第一道屏障；另一个是堡垒主机，构成内部网第二道屏障。屏蔽路由器过滤分组流的规则是: 堡垒主机是内部网惟一的系统, 允许外部用户与堡垒主机建立连接, 且只能通过堡垒主机访问内部网资源和服务。 (4) 屏蔽子网网关(Screened Subnet Gateway) 这种应用模式在内部网与外部网之间设置一个屏蔽子网，称为停火区(DMZ)。在内部网与屏蔽子网之间和屏蔽子网与外部网之间都设置一个屏蔽路由器, 堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和外部网都可访问的系统，但要受到屏蔽路由器过滤规则的检查。 2．2．3 IP协议安全体系 网络层提供了端到端的数据传输服务，而网络层安全协议主要解决两个端点之间的安全交换数据问题，涉及数据传输的机密性和完整性，防止在数据交换过程中数据被非法窃听和篡改。IPSec协议是对IP协议的安全性增强，它在网络层协议的基础上增加了安全算法协商和数据加密/解密处理的功能和过程。IPSec提供了数据机密性、数据完整性、抗重播保护和接纳控制等安全服务，用于保证IP协议及上层协议能安全地交换数据。 2.1.1密码技术 数据加密技术是认证技术及其他安全技术的基础，是电子商务