【正文】 為虛擬專用網(wǎng)，用于構(gòu)建 VPN的公共網(wǎng)絡(luò)包括 Inter、 幀中繼、 ATM等 在公共網(wǎng)絡(luò)上組建的 VPN象企業(yè)現(xiàn)有的 VAN一樣提供安全性、可靠性和可管理性等 虛擬專用網(wǎng) 虛擬專用網(wǎng)特點(diǎn) 安全保障 :所有的 VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性 服務(wù)質(zhì)量保證（ QoS） :VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 “ 鏈接 ” ，由兩個(gè)終止代理服務(wù)器上的 “ 鏈接 ”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用，并隱藏了內(nèi)部地址，提高了安全性 電路層網(wǎng)關(guān)型防火墻 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 Inter 路由器 防火墻 電路層網(wǎng)關(guān) TCP TCP IP IP NI NI 進(jìn) 出 代理的工作方式 虛擬專用網(wǎng)（ VPN， Virtual Private Network） 傳統(tǒng)的 VAN（ ValueAdded NetWork,增值網(wǎng)）不能滿足企業(yè)的需要。 電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 ,這樣來(lái)決定該會(huì)話(Session) 是否合法 ,電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包 ,這樣比包過(guò)濾防火墻要高兩層。 在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問(wèn)控制?；诎械膮f(xié)議類型和協(xié)議字段值，過(guò)濾路由器能夠區(qū)分網(wǎng)絡(luò)流量；基于協(xié)議特定的標(biāo)準(zhǔn)，路由器在其端口能夠區(qū)分包和限制包的能力叫包過(guò)濾（ Packet Filtering） IP包過(guò)濾是通過(guò)路由的分組過(guò)濾，把通過(guò)的包信息頭部的內(nèi)容與設(shè)定于路由的存取控制規(guī)則進(jìn)行比較，進(jìn)行交通存取控制，實(shí)現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)包控制 過(guò)濾的項(xiàng)目（數(shù)據(jù)包過(guò)濾要考慮的信息） IP地址（源地址、目的地址） 端口號(hào)（源端口、目的端口） 協(xié)議號(hào)（ TCP、 UDP、 ICMP） 連接狀態(tài)、 IP包文的標(biāo)志位 其中：控制訪問(wèn)內(nèi)部網(wǎng)絡(luò)的客戶范圍： IP地址 控制訪問(wèn)內(nèi)部的網(wǎng)絡(luò)提供的服務(wù)的種類： 端口號(hào)、 協(xié)議號(hào) 發(fā)現(xiàn)攻擊者的掃描企圖、攻擊企圖： 標(biāo)志位 基于包過(guò)濾的防火墻設(shè)計(jì) 基于包過(guò)濾的防火墻設(shè)計(jì)（續(xù)） 規(guī)則的設(shè)定例子 過(guò)濾規(guī)則的設(shè)定方法因路由的不同而不同 下面是某一網(wǎng)絡(luò)級(jí)防火墻的訪問(wèn)控制規(guī)則： (1)允許網(wǎng)絡(luò) FTP(21口 )訪問(wèn)主機(jī)； (2) 允許 IP地址為 的用戶 Tel (23口 ) 到主機(jī) ； (3)允許任何地址的 E－ mail(25口 )進(jìn)入主機(jī)； (4)允許任何 WWW數(shù)據(jù)（ 80口）通過(guò)； (5)不允許其他數(shù)據(jù)包進(jìn)入。通過(guò)控制存在于某一網(wǎng)段的網(wǎng)絡(luò)流量類型，包過(guò)濾可以控制存在于某一網(wǎng)段的服務(wù)方式。 防火墻的拓?fù)浣Y(jié)構(gòu)（ 1） 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 路由器 防火墻的拓?fù)浣Y(jié)構(gòu)（ 2） 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 防火墻的拓?fù)浣Y(jié)構(gòu)（ 3） 內(nèi)部網(wǎng) FTP服務(wù)器 WWW服務(wù)器 防火墻 外部 內(nèi)部 1 2 Inter 路由器 防火墻 內(nèi)部網(wǎng) FTP 服務(wù)器 WWW 服務(wù)器 防火墻 路由器 防火墻 防火墻的分類 根據(jù)連接方式分類： — 包過(guò)濾型（網(wǎng)絡(luò)級(jí)防火墻）： 對(duì)源和目的的 IP地址及端口進(jìn)行檢查，擬定一個(gè)提供接收和服務(wù)對(duì)象的清單，一個(gè)不接受訪問(wèn)或服務(wù)對(duì)象的清單，按照所定的安全政策實(shí)施允許或拒絕訪問(wèn) — 應(yīng)用網(wǎng)關(guān)型（代理服務(wù)器）： 在內(nèi)域網(wǎng)和外域網(wǎng)之間建立一個(gè)單獨(dú)的子網(wǎng)，將內(nèi)域網(wǎng)屏蔽起來(lái) — 電路層網(wǎng)關(guān)型： 在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)現(xiàn)中繼 TCP連接。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境 , 可為用戶提供更多的服務(wù)。 一切未被禁止的就是允許的。這是一種非常實(shí)用的方法，可以造成一種十分安全的環(huán)境 , 因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才被允許使用。 防火墻的概念 防火墻 :是由軟件或和硬件設(shè)備組合而成 — 理論上：提供對(duì)網(wǎng)絡(luò)的存取控制功能 — 物理上：是 Inter和 Intra間設(shè)置的一種過(guò)濾器、限制器 Inter防火墻局域網(wǎng)Hx1x1根據(jù)規(guī)則判斷是否允許分組通過(guò)防火墻的基本準(zhǔn)則 一切未被允許的就是禁止的。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 電子交易的安全技術(shù) 身份認(rèn)證：確定貿(mào)易伙伴的真實(shí)性 數(shù)據(jù)加密和解密：保證電子單證的秘密性 時(shí)間戳、消息的流水作業(yè)號(hào)：保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失 散列技術(shù) ： 保證電子單證內(nèi)容的完整性 數(shù)字簽名技術(shù)：保證電子單證的真實(shí)性 CA認(rèn)證 ：防止收發(fā)雙方可能的否認(rèn)或抵賴 電子交易的安全協(xié)議標(biāo)準(zhǔn) 安全超文本傳輸協(xié)議（ S－ HTTP） 安全套接字協(xié)議（ SSL） 安全交易技術(shù)協(xié)議（ STT， Secure Transaction Technology） 安全電子交易協(xié)議（ SET， Secure Electronic Transaction） 電子商務(wù)安全概述 電子商務(wù)安全關(guān)鍵技術(shù) 電子商務(wù)安全解決方案 網(wǎng)絡(luò)路由的安全性 — 限制外域網(wǎng)對(duì)內(nèi)域網(wǎng)的訪問(wèn)，從而保護(hù)內(nèi)域網(wǎng)特定資源免受非法侵犯 — 限制內(nèi)域網(wǎng)對(duì)外域網(wǎng)的訪問(wèn)，主要是針對(duì)一些不健康信息及敏感信息的訪問(wèn) 防火墻 防火墻（ Firewall） 是 Inter上廣泛應(yīng)用的一種安全措施，是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 真實(shí)性 (authenticity) :在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。 不可抵賴性 (nonrepudiation):對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證，即交易雙方能夠在相互不見面的情況下確認(rèn)對(duì)方的身份。 完整性 (integrity):預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。 f. 信息安全性 :存儲(chǔ)在介質(zhì)上的信息的正確性應(yīng)當(dāng)?shù)玫奖ＷC 電子商務(wù)安全需求 機(jī)密性 (confidentiality):預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。 d． 身份的真實(shí)性 :交易方的身份不能被假冒或偽裝、可以有效鑒別確定交易方的身份。交易的參與方在信息交換過(guò)程中沒有被竊聽的危險(xiǎn)。 b． 不可抵賴性 :信息的發(fā)送方不能抵賴曾經(jīng)發(fā)送的信息、不能否認(rèn)自己的行為。 （ 2）假冒他人身份：如冒充領(lǐng)導(dǎo)發(fā)布命