电子商务交易过程中的安全与防范.pptx

电子商务交易过程中的安全与防范(防火墙技术） 防火墙技术防火墙便是网络安全问题的解决方案之一。和其他网络安全技术相比，防火墙技术相对成熟。它通过监测、限制和更改跨越防火墙的数据流等多种技术，尽可能地对外部网络屏蔽有关被保护网络的结构信息，实现对内部网络的安全保护。虽然防火墙不能有效地解决所有的网络安全问题，但目前普遍的观点是不能在没有防火墙保护下，通过服务器或其他设备在网络上提供网络服务。网络安全的保障和维护离不开防火墙。 防火墙概述 防火墙的基本概念及特征人们借鉴传统“防火墙”的概念，在内部网络和外部网络之间构建起一道安全屏障，这道屏障的作用是阻断来自外部的威胁和入侵，提供负责本地网络的安全和审计的关卡。取传统防火墙的喻义，这种屏蔽系统就叫做网络防火墙或防火墙系统。 防火墙的基本概念及特征防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。其最主要功能是屏蔽和允许指定的数据通信，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通信的合法性。防火墙基于一定的软硬件，使互联网与局域网之间建立起一个安全网关（security gateway），从而保护内部网络免受非法用户的侵入。 防火墙的基本概念及特征防火墙一般由网络政策、验证工具、包过滤和应用网关4个部分组成。1）网络政策网络政策一般包括服务访问政策和防火墙设计政策。（1）服务访问政策用以确定受限的网络许可、明确拒绝的服务以及如何使用这些服务及例外条件。通过确定服务访问政策，可以确定如何使用互联网、如何控制外部网络访问等全局性问题。需要强调的是，这种政策是一个部门有关保护信息资源政策的延伸，通常应在部署防火墙前拟定。（2）防火墙设计政策定义用来实施服务访问政策的有关规则，描述各种限制访问的具体实现，是服务访问政策的细化和实施方案。例如，它可以包含以下基本设计规则：拒绝访问除明确许可以外的任何一种服务。允许访问除明确拒绝以外的任何一种服务。 防火墙的基本概念及特征 2）验证工具 验证工具用以保护用户的口令等信息免受入侵者监视和盗用。目前常用的有智能卡、验证令牌、生物特征识别等技术。由于防火墙可以集中控制网络访问，因此是安装验证工具的理想场所。虽然许多验证措施也可以应用到每个主机，但把各项验证措施集中于防火墙中实现更切合实际，更便于管理。 防火墙的基本概念及特征 3）包过滤 包过滤的原理在于监视并过滤流入流出的IP包，拒绝发送可疑的包。过滤的依据主要包括IP源地址、IP目的地址、封装协议、TCP/UDP源端口、ICMP包类型等。其功能主要包括从属服务（以某一特定服务为基础的信息流）过滤和独立于服务的过滤。对基于特定端口的远程连接进行过滤是从属服务过滤的典型例子，而独立于服务的过滤可以有效阻止地址欺骗攻击、源路由攻击、残片攻击等。 防火墙的基本概念及特征 4）应用网关为了克服包过滤的某些弱点，防火墙需使用应用软件来转发和过滤Telnet和Ftp等服务的连接，这种应用成为代理服务，相应的系统即应用网关。具有应用网关特征的防火墙具有更高的安全性和灵活性。 防火墙的基本概念及特征2．典型的防火墙的基本特征（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才可以全面、有效地保护内部网络不受侵害。 防火墙的基本概念及特征（2）只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到其他的链路上去。 （3）防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当内部网络安全防护重任的先决条件。 防火墙的发展史防火墙的发展经历了5个时期：（1）第一代防火墙。第一代防火墙几乎与路由器同时出现，它采用了包过滤(packet filter)技术，是依附于路由器的包过滤功能而实现的防火墙。（2）第二代、第三代防火墙。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙。同时，推出了第三代防火墙，即应用层防火墙(或者叫做代理防火墙)。 防火墙的发展史（3）第四代防火墙。1992年，USC信息科学院的Bob Braden开发出了基于动态包过滤(dynamic packet filter)技术的防火墙，这种技术后来演变为目前所说的状态检测(stateful inspection)技术。这就是第四代防火墙的雏形。第四代防火墙技术成熟的标志是1994年以色列的CheckPoint公司推出的商业化产品。（4）第五代防火墙。1998年，NAI公司正式推出了一种自适应代理(adaptive proxy)技术，并在其产品Gauntlet Firewa