【正文】 plication Demonstration Center, Powered by KEERQIN, @2022 防火墻的種類 ? 防火墻 ? 硬件形式 ? 軟件形式 ? 具體分為 : ? 包過濾 ? 應用級網(wǎng)關 ? 狀態(tài)監(jiān)視器 ? 帶有虛擬專用網(wǎng)的防火墻 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 包過濾防火墻 (屏蔽路由器 ) ? 在 TCP/IP協(xié)議的網(wǎng)絡中，所有往來的信息都是按固定長度的信息包進行發(fā)送的，信息包中包含發(fā)送者的 IP地址和接收者的 IP地址等信息。這些信息包在發(fā)送途中，由路由器讀取接收方的 IP地址并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達目的地，當所有的包均抵達目的地后在進行重新組裝還原。 ? 包過濾式的防火墻（如圖 ）會檢查所有通過的信息包中的 IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則進行過濾。 ? 常用攻擊方法 :IP地址欺騙 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 應用級網(wǎng)關 (代理服務器 ) ? 應用級網(wǎng)關在邏輯上起著防火墻的作用，它位于一個網(wǎng)絡的內(nèi)部用戶和外部用戶之間，并詳細記錄所有的訪問狀態(tài)信息，從外部只能看到該代理服務器而無法獲知內(nèi)部用戶IP數(shù)據(jù)等任何內(nèi)部資源。 ? 應用級網(wǎng)關適用于特定的 Inter服務，如 HTTP、 FTP等。 ? 應用級網(wǎng)關由于不允許用戶直接訪問網(wǎng)絡，多了一層訪問控制機制，訪問速度通常比較明顯地變慢；應用級網(wǎng)關需要對每一類特定地Inter服務安裝相應的代理服務軟件；用戶不能使用未被服務器支持地服務，對每一類服務要使用特殊的客戶端軟件。因此，實際使用中，應用級網(wǎng)關常和包過濾路由器結合使用（如圖 ）； HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 狀態(tài)檢測防火墻 ? 使用一個稱之為 “ 監(jiān)測引擎 ” 的軟件模塊在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略。與前兩種防火墻不同，當用戶訪問請求達到網(wǎng)關的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關數(shù)據(jù)進行分析，根據(jù)不同的情況，并結合網(wǎng)絡配置和安全規(guī)定做出接納、拒絕、身份認證、報警或?qū)υ撏ㄐ偶用艿雀鞣N處理操作。 ? 狀態(tài)監(jiān)測防火墻的主要優(yōu)點是，一旦某個訪問違反安全規(guī)定，該訪問就會被拒絕，并將有關狀態(tài)進行記錄、寫入日志。另一個顯著優(yōu)點是可監(jiān)測無連接狀態(tài)的遠程過程調(diào)用和用戶數(shù)據(jù)報告之類的端口信息，這一優(yōu)點是前兩類防火墻所不具備的；但相應地，為獲得該優(yōu)點，狀態(tài)監(jiān)測防火墻付出的代價是網(wǎng)絡速度變慢，配置比較復雜，實現(xiàn)成本也相應較高。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 帶有虛擬專用網(wǎng)（ VPN）的防火墻 ? 在 Inter和 Intra之間接續(xù)的普通防火墻，雖然通過訪問控制有效提高應用系統(tǒng)的安全性，但是這樣的防火墻不能防止對網(wǎng)上信息的監(jiān)聽和竊取。為了保證信息不受攻擊，數(shù)據(jù)加密是行之有效的方法。 ? 一種在內(nèi)網(wǎng)上接續(xù)具有加密功能的路由器和防火墻的新安全機制，該機制的核心是把網(wǎng)絡上的數(shù)據(jù)加密再傳送，這就是帶有虛擬專用網(wǎng)的防火墻。 ? 虛擬專用網(wǎng)是通過 Inter這樣的公用網(wǎng)絡建立的一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)絡是對企業(yè)內(nèi)部網(wǎng)的擴展。 VPN在關鍵路由或通信節(jié)點允許操作保證所有的網(wǎng)絡通信都是安全的。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 防火墻的基本體系結構 ? 防火墻體系結構基本可分為 3類 ? 雙宿主主機結構 ? 主機過濾結構 ? 子網(wǎng)過濾結構。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 雙宿主主機結構 ? 基于雙宿主主機的防火墻結構比較簡單，雙宿主主機位于內(nèi)外網(wǎng)之間并與內(nèi)外網(wǎng)相連（如圖 ），但只有用代理服務的方式，或者讓用戶直接注冊到雙宿主主機上，才能提供安全控制服務。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 主機過濾結構 ? 提供安全保護的主機僅僅與內(nèi)網(wǎng)相連 。主機過濾結構還擁有一臺單獨的路由器（過濾路由器）。 ? 堡壘主機是指一個計算機系統(tǒng)，它對外網(wǎng)暴露，同時又是內(nèi)網(wǎng)用戶的主要連接點，所以非常容易被入侵，因此這個系統(tǒng)需要嚴加保護。 ? 路由器規(guī)則過濾數(shù)據(jù)包： ? 任何外部網(wǎng)的主機都只能與內(nèi)部網(wǎng)的堡壘主機建立連接，甚至只允許提供某些類型服務的外網(wǎng)的主機能與堡壘主機建立連接。 ? 任何外部系統(tǒng)對內(nèi)部網(wǎng)絡的操作都必須經(jīng)過堡壘主機。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 子網(wǎng)過濾結構 ? 子網(wǎng)過濾結構是在主機過濾結構中再增加一層參數(shù)網(wǎng)絡，并增加內(nèi)部路由器和外部路由器兩重路由控制的安全機制，使得內(nèi)外網(wǎng)之間有兩層隔斷 ? 最經(jīng)典的子網(wǎng)過濾結構中，有兩臺與參數(shù)網(wǎng)絡相連的過濾器路由器 ——內(nèi)部路由器和外部路由器，內(nèi)部路由器位于參數(shù)網(wǎng)絡與內(nèi)網(wǎng)之間，外部路由器位于參數(shù)網(wǎng)絡與外網(wǎng)之間。 ? 在這種結構下，入侵者要攻入到內(nèi)網(wǎng)必須通過兩臺路由器的安全控制。即使入侵者通過了堡壘主機，也還要通過內(nèi)部路由器才能抵達內(nèi)部網(wǎng) HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 網(wǎng)絡路由安全 1 ? 路由器作為一種網(wǎng)絡間的連接設備，是內(nèi)網(wǎng)和外網(wǎng)之間進行通信的關鍵。事實上，對網(wǎng)絡的攻擊，無論何種方式，都要通過路由器。 ? 對于路由器的可靠性與線路安全，在設計接口時，必須支持備份功能。當主接口發(fā)生故障時，備用接口自動投入工作，保證網(wǎng)絡仍能正常運行；當網(wǎng)絡流量過大時，備用接口還可以分擔負荷。 ? 在身份認證方面，實際上指的是訪問控制，分為針對訪問路由器和路由信息的認證和針對用戶的身份認證。路由器的訪問權限需要進行口令的分級保護，通過包過濾實現(xiàn)對 IP地址的基本訪問控制。在基于用戶的訪問控制方面，路由器也可以提供接入服務功能，通過對用戶設置特定的過濾屬性，實現(xiàn)對接入用戶的訪問控制。此外，與對方路由器通信時，通過地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址。只以公共地址的方式訪問外網(wǎng)。除了內(nèi)網(wǎng)首先發(fā)起的連接，外網(wǎng)用戶不能通過地址轉(zhuǎn)換直接訪問內(nèi)網(wǎng)中的信息。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 網(wǎng)絡路由安全 2 ? 在路由報文加密方面，可利用各種成熟的加密技術，對經(jīng)過路由器發(fā)送的報文進行加密，從而保證這些報文在公共外網(wǎng)上傳播時，仍然完整、正確、不被竊取?，F(xiàn)有的方法是采用內(nèi)嵌式的設計方法，將加密軟件模塊內(nèi)嵌到路由器中。 ? 在防止端口掃描攻擊方面，真正安全的路由器必須具有良好的入侵監(jiān)測和防范功能，必要時要通過各種攻擊測試以確認路由器是否足夠安全。同時，路由器的安全運行涉及越來越多的安全策略，有必要進行安全策略管理。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 網(wǎng)絡通信安全 ? 為保證電子商務系統(tǒng)在網(wǎng)絡環(huán)節(jié)的安全性，可從不同的方面建立安全策略，這主要包括物理安全策略和訪問控制策略。 ? 物理安全策略。這是針對電子泄漏、核輻射等物理方面和硬件方面建立的各種安全策略，包括加強各級權限用戶的身份認證等。 ? 訪問控制策略。訪問控制策略用于避免對網(wǎng)絡資源的非法訪問和使用。訪問控制策略包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和結點的安全控制、防火墻控制等 8個方面 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 信息加密技術 ? 密鑰系統(tǒng)的基本概念 ? 信息安全問題是電子商務中的關鍵。密碼技術是信息安全技術的核心。信息安全所要求的信息保密性、完整性、可用性和可控性，都可以通過密碼技術得到相應解決。密碼技術包括密碼算法設計、密碼分析、安全協(xié)議、身份 認證、消息確認、數(shù)字簽名、密鑰管理、密鑰托管等。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 加密和解密 ? 加密和解密。加密是指將數(shù)據(jù)進行編碼，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文。解密是加密的逆過程，即將密文還原成原來可理解的形式（也就是明文）。 ? 加密和解密過程依靠兩個元素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過程。在這個過程中需要一串數(shù)字，這個數(shù)字就是密鑰。 為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對所發(fā)送的信息進行加密。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 加密和解密的過程 ?例如：將字母 a， b， c， d， e， … x， y， z的自然順序保持不變，但使之與 D， E， F， G， H， … ， Y， Z，A， B分別對應（即相差 3個字符）。若明文為 and，則對應密文為 DQG。（接收方知其密碼為 3，它就能解開此密文）。 原始信息 明文 算法＋密鑰 目標信息 密文 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 加密算法的例子 HAPPY NEW YEAR KDSSA QHZ AHDU HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 對稱密鑰密碼體系簡介 ?對稱密鑰密碼體系 (Symmetric Cryptography)又稱對稱密鑰技術。 ?對稱密鑰密碼體系的優(yōu)點是加密、解密速度很快 (高效 )，但缺點也很明顯：密鑰難于共享，需太多密鑰。 加密原文 加了密原文 原文密鑰解密text text+1 1ufyuHPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, @2022 非對稱密鑰密碼體系簡介 ?非對稱密鑰密碼體系 (Asymmetric Cryptography)也稱公開密鑰技術。 ?非對稱密鑰技術的優(yōu)點是：易于實現(xiàn)，使用靈活，密鑰較少。 ?弱點在于要取得較好