电子商务安全
第三章 Internet安全
1
整体 概述
一 请在这里输入您的主要叙述内容
二
请在这里输入您的主要 叙述内容
三 请在这里输入您的主要叙述内容
2
3.1防火墙技术
防火墙（Fire wall）：
软件和硬件（如计算机、路由器）的组合，处 于企业或网络群体计算机与外界通道之间，用来加 强Internet与Intranet之间安全防范的一个或一组 系统。它控制网络内外的信息交流，提供接入控制 和审查跟踪，在外部网和内部网之间的界面构筑的 保障屏障。
14
状态检查防火墙的优缺点
优点： （1）检测模块支持多种协议和应用程序，并
可以很容易地实现应用和服务的扩充。 （2）它会监测RPC和UDP之类的端口信息，
而包过滤和代理网关都不支持此类端口。 （3）性能坚固 缺点：
（1）配置非常复杂。 （2）降低网络的速度。
15
3.1.2防火墙体系结构
16
3.1.3防火墙实施
代理服务防火墙运行在两个网络之间，它 对于客户来说像是一台真的服务器一样，而对 于外界的服务器来说，它又是一台客户机。
当代理服务器接收到用户的请求后，会检 查用户请求的站点是否符合公司的要求，如果 公司允许用户访问该站点的话，代理服务器会 像一个客户一样，去那个站点取回所需信息再 转发给客户。
10
直实服务器
网络地址服务
网络地址转换器在防火墙上装一套自己的 IP地址集。当受保护网络某一个用户需要访问 Internet时，防火墙动态的从地址集中选一个 未使用的地址分配给该用户，同时对于内部的 服务器，网络地址转换器允许为其分配一个固 定的合法地址，外部网络用户可以通过防火墙 来访问内部服务器。
9
代理服务防火墙
12
代理服务防墙的缺点
（1）代理速度较路由器慢。 （2）代理对用户不透明。 （3）对于每项服务代理可能要求不同的服务器。 （4）代理服务不能保证免受所有协议弱点的限制。 （5）代理不能改进底层协议的安全性。
13
状态检查防火墙
采用一个在网关上执行网络安全策略的软 件引擎（称之为检测模块）。检测模块在不影 响网络正常工作的前提下，采用抽取相关数据 的方法对网络通信的各层实施监测，抽取部分 数据，即状态信息，并动态地保存起来作为以 后指定安全决策的参考。
Internet
应用层代理服务 代理服务器
外部 响应 转发请求
应用协 议分析
代理客户
转发响应
请求
Intranet
真实的 客户端
代理服务防火墙的工作方式
11
代理服务防火墙的优点
（1）代理易于配置。 （2）代理能生成各项记录。 （3）代理能灵活、完全地控制进出流量、内容。 （4）代理能过滤数据内容。 （5）代理能为用户提供透明的加密机制。 （6）代理可以方便地与其他安全手段集成。
3
3.1.1防火墙的功能
包过滤技术 网络地址转换 代理服务 状态检查
4
包过滤防火墙
包过滤技术在网络层对数据包进行选择，但不 能针对数据包的内容对数据包进行过滤（因为 数据包的内容是应用层数据）；
包过滤防火墙的安装：双宿网关、路由器或服 务器。
5
包过滤防火墙的原理
拦截流经防火墙的数据包
屏蔽路由器防火墙 屏蔽主机网关防火墙 双宿主机网关防火墙 屏蔽子网防火墙 安全服务器网络防火墙
17
屏蔽路由器防火墙
又称包过滤路由器，在一般路由器的基础上 增加了一些新的安全控制功能，是一个检查 通过它的数据包的路由器。
18
屏蔽主机防火墙
屏蔽主机防火墙由包过滤路由器和堡垒主机（Bastion Host） 组成，它所提供的安全性能要比包过滤防火墙系统要强，因 为它实现了网络层安全（包过滤）和应用层安全（代理服务） 的结合。当入侵者在破坏内部网络的安全性之前，必须首先 突破这两种不同的安全系统。
对路由器的过滤规则进行配置，使得其只接收 来自堡垒主机的内部数据包，就可以强制内部用户 使用代理服务，从而加强内部用户对外部Internet 访问的管理。
20
双宿主机网关防火墙
又称应用型防火墙，在运行防火墙软件的堡垒 主机上运行代理服务器。
21
屏蔽子网防火墙
屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网 络隔离开，堡垒主机、信息服务器、Modem组，以及其他公 用服务器放在该子网中，这个子网称为“停火区”或“非军 事区”（DeMilitarised Zone，DMZ）
23
3.3 Web安全协议——SSL协议
SSL采用公开密钥技术，其目标是保证两个应用间通 信的保密性和可靠性，可在服务器和客户机两端同时实 现支持。
利用公开密钥技术的SSL协议已经成为Internet上 保密通信的工业标准。现行Web浏览器普遍将HTTP和 SSL相结合，从而实现安全通信。
22
安全服务器网络防火墙
安全服务器网络防火墙系统采用分别保护的策略对内部网络 实施保护。在堡垒主机上安装三块网卡，防火墙系统把公共 服务器设置为一个独立的网络，与堡垒主机上的其中一块网 卡相连，另外两块网卡分别与Internet和内部网络相连。这 时，公共服务器既是内部网络的一部分，但又与内部网关完 全隔离。
19
屏蔽主机防火墙原理和实现过程
堡垒主机位于内部网络上，而包过滤路由器则 放置在内部网络和外部网络之间。在路由器上设置 相应的规则，使得外部系统只能访问堡垒主机。
由于内部主机与堡垒主机处于同一个网络，内 部系统是否允许直接访问外部网络，或者是要求使 用堡垒主机上的代理服务来访问外部网络完全由企 业的安全策略来决定。
该包是否符合过滤规则 No
报警||通知管理员 丢弃数据包
防火墙记录数据包的情况
Yes
6
包过滤防火墙的工作原理
通过在网络中的适当位置对数据包进行过 滤，根据检查数据流中每个数据包的源地址、 目的地址、所有的TCP端口号和TCP链路状态 等要素，然后依据一组预定义的规则，以允许 合乎逻辑的数据包通过防火墙进入到内部网络， 而将不合乎逻辑的数据包加以删除。
7
包过滤防火墙优缺点
优点：不用改动应用程序、过滤路由器能协助保 护整个网络、数据包过滤对用户透明、过滤路由 器速度快、效率高。
缺点：不能彻底防止地址欺骗；一些应用协议不 适合于数据包过滤（如UDP协议）；正常的数据 包过滤路由器无法执行某些安全策略；安全性较 差 ；数据包工具存在很多局限性。
8