电子商务的安全体系.pptVIP

防火墙技术的功能 管 理 功 能 通过集成策略集中管理多个防火墙 应提供基于时间的访问控制 应支持简单网络管理协议(SNMP)监视和配置 本地管理 远程管理 支持带宽管理 负载均衡特性失败恢复特性 * 第六十二页，共九十页。 防火墙技术的功能 记 录 报 表 防火墙处理完整日志的方法 提供自动日志扫描 提供自动报表、日志报告书写器 报警通知机制 提供简要报表 提供实时统计 列出获得的国内有关部门许可证类别及号码 * 第六十三页，共九十页。 防火墙技术 数据包过滤技术 事先在防火墙内设定好一个过滤逻辑，对于通过防火墙数据流中的每一个数据包，根据其源地址、目的地址、所用的TCP端口与TCP链路状态等方面进行检查，再确定该数据包是否可以通过。这种防火墙一般安装在路由器上。 代理服务技术 是一种基于代理服务器的防火墙技术，通过代理服务器和代理客户两个部件，使内部网和外部网不存在直接的连接。同时提供注册（log）和审计（audit）功能。 * 第六十四页，共九十页。 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。　　正是由于这种工作机制，包过滤防火墙存在以下缺陷： 　　＊通信信息：包过滤防火墙只能访问部分数据包的头信息； 　　＊通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息； 　　＊信息处理：包过滤防火墙处理信息的能力是有限的。 * 第六十五页，共九十页。 图1 包过滤防火墙工作原理图 * 第六十六页，共九十页。 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。应用网关防火墙存在以下缺陷： 　　＊连接限制：每一个服务需要自己的代理，所以可提供的服务数和可伸缩性受到限制； 　　＊技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理； 　　＊性能：应用网关防火墙牺牲了一些系统性能。 * 第六十七页，共九十页。 应用网关防火墙工作原理图 * 第六十八页，共九十页。 应用代理型防火墙 * 第六十九页，共九十页。 防火墙的基本类型 包过滤型防火墙 双宿网关防火墙 屏蔽主机防火墙 屏蔽子网防火墙 * 第七十页，共九十页。 包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现，对所接收的每个数据包做允许或拒绝的决定。 包过滤路由器型防火墙的优点： 处理包的速度要比代理服务器快； 包过滤路由器型防火墙的缺点：防火墙的维护比较困难等 过滤路由器 Internet 内部网络 * 第七十一页，共九十页。 双宿网关防火墙 双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。 所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以阻挡来自外部不可信网络的非法登录。 NIC 代理 服务器 NIC Internet 内部网络 * 第七十二页，共九十页。 屏蔽主机防火墙 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。 过滤路由器 堡垒主机 Internet 内部网络 * 第七十三页，共九十页。 屏蔽子网防火墙 外部 过滤路由器 堡垒主机 Internet 内部网络 内部 过滤路由器 屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在“非军事区”网络中。 * 第七十四页，共九十页。 虚拟专网（VPN）技术 VPN是使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信的网络技术。 使用加密、信息和身份认证、访问控制等技术