第四章電子商務安全

第四章電子商務安全技術(shù)案例學習目標學習內(nèi)容2/5/20231案例國外早期，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)早期，有人利用普通的技術(shù)，從電子商務網(wǎng)站竊取到8萬個信用卡號和密碼，標價26萬元出售。2/5/20232第四章電子商務安全技術(shù)電子商務安全面臨的問題電子商務安全的要求電子商務安全技術(shù)2/5/20233一電子商務所面臨的安全問題

電子商務中的安全隱患可分為如下幾類：

1.信息的截獲和竊取

2.信息的篡改

3.信息假冒

4.交易抵賴2/5/20234二電子商務安全要求數(shù)據(jù)完整性即數(shù)據(jù)在傳輸過程中的完整性.也就是數(shù)據(jù)在發(fā)送前和到達后是否完全一樣.數(shù)據(jù)保密性即數(shù)據(jù)是否會被非法竊取.數(shù)據(jù)可用性即當需要時能否存取所需的信息,或在系統(tǒng)故障的情況下數(shù)據(jù)會否丟失.身份認證對信息的傳播即內(nèi)容具有控制能力.2/5/20235三電子商務安全內(nèi)容電子商務安全從整體上可分為兩大部分：計算機網(wǎng)絡安全和商務交易安全,兩者相輔相成，缺一不可。計算機網(wǎng)絡安全的內(nèi)容包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。

2/5/20236

商務交易安全緊緊圍繞傳統(tǒng)商務在互聯(lián)網(wǎng)絡上應用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。2/5/20237電子商務安全構(gòu)架交易安全技術(shù)安全應用協(xié)議SET、SSL安全認證手段數(shù)字簽名、CA體系基本加密算法對稱和非對稱密算法安全管理體系網(wǎng)絡安全技術(shù)病毒防范身份識別技術(shù)防火墻技術(shù)分組過濾和代理服務等法律、法規(guī)、政策2/5/20238安全模型2/5/20239企業(yè)級安全總體規(guī)劃安全業(yè)務調(diào)度安全安全政策法規(guī)功能設計安全職能劃分安全應用級安全文件安全目錄安全數(shù)據(jù)安全郵件安全群件安全事件安全系統(tǒng)級安全操作系統(tǒng)安全用戶管理安全分布系統(tǒng)管理安全故障診斷系統(tǒng)監(jiān)控安全網(wǎng)絡運行監(jiān)測平臺安全網(wǎng)絡級安全

...信息傳輸安全路由安全廣域網(wǎng)安全節(jié)點安全協(xié)議安全鏈路安全物理安全網(wǎng)絡安全內(nèi)容----網(wǎng)絡安全體系

電子商務安全要求對應的安全技術(shù)2/5/202311數(shù)據(jù)完整性機制奇偶位、校驗和、循環(huán)冗余校驗CRC(CyclicRedundancyCheck）

消息發(fā)送方可同時發(fā)送該消息的校驗值，消息接收方接到消息時只需要重新計算一次校驗值，并比較兩校驗值是否相同就可以判斷該消息是否正確了。以上技術(shù)不能絕對保證數(shù)據(jù)的完整性，2個原因:如果校驗值和消息數(shù)據(jù)同時破壞，且改變后的校驗值和消息又正巧匹配，則系統(tǒng)無法發(fā)現(xiàn)錯誤。1中所述技術(shù)上的缺陷，可能被人惡意利用。2/5/202312數(shù)據(jù)完整性機制消息驗證碼(MAC)為防止傳輸和存儲的消息被有意或無意地篡改，采用密碼技術(shù)對消息進行運算生成消息驗證碼（MAC），附在消息之后發(fā)出或與信息一起存儲，對信息進行認證。計算MAC的算法是不可逆的。加密的數(shù)據(jù)和MAC一起發(fā)送給接收者，接收者就可以用MAC來校驗加密數(shù)據(jù)，保證數(shù)據(jù)沒有被竄改過。

2/5/202313數(shù)據(jù)保密性機制加密與解密算法和密鑰數(shù)據(jù)加密標準DES公開密鑰密碼體制數(shù)字簽名2/5/202314加密與解密消息（message）被稱為明文（plaintext）。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密（encryption），被加密的消息稱為密文（ciphertext），而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密（decryption）。加密解密明文密文原始明文2/5/202315算法和密鑰算法和密鑰密碼算法（algorithm）也叫密碼（cipher），適用于加密和解密的數(shù)學函數(shù)。（通常情況下有兩個相關(guān)的函數(shù)，一個用來加密，一個用來解密）如果算法的保密性是基于保持算法的秘密，這種算法稱為受限制的（restricted）算法。受限制的算法不可能進行質(zhì)量控制或標準化。每個用戶和組織必須由他們自己唯一的算法。2/5/202316算法和密鑰現(xiàn)代密碼學用密鑰（key）解決了這個問題。加密解密明文密文原始明文加密解密明文密文原始明文密鑰密鑰加密密鑰解密密鑰2/5/202317算法和密鑰所有這些算法的安全性都基于密鑰的安全性；而不是基于算法的安全性。這就意味著算法可以公開，也可以被分析，可以大量生產(chǎn)使用算法的產(chǎn)品，即使偷聽者知道你的算法也沒有關(guān)系。密碼系統(tǒng)由（cryptosystem）由算法以及所有可能的明文、密文和密鑰組成。對稱算法基于密鑰的算法通常有兩類：對稱算法和公開密鑰算法。2/5/202318算法和密鑰對稱算法（symmetricalgorithm）有時又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰推算出來，反過來也成立。在大多數(shù)對稱算法中，加/解密密鑰是相同的。這些算法也叫做秘密密鑰算法或單鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加/解密。只要通信需要保密，密鑰就必須保密。2/5/202319算法和密鑰對稱算法可以分為兩類。一次只對明文中的單個位（有時對字節(jié)）運算的算法稱為序列算法（streamalgorithm）或序列密碼（streamcipher）。另一類算法是對明文的一組位進行運算，這些位稱為分組（block），相應的算法稱為分組算法（blockalgorithm）或分組密碼（blockcipher）。2/5/202320算法和密鑰公開密鑰算法公開密鑰算法（public-keyalgorithm，也叫非對稱算法）是這樣設計的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來（至少在合理假定的長時間內(nèi)）。之所以叫做公開密鑰算法，是因為加密密鑰能夠公開，即陌生者能用加密密鑰加密信息，但只有用相應的解密密鑰才能解密信息。在這些系統(tǒng)中，加密密鑰叫做公開密鑰（publickey），解密密鑰叫做私人密鑰（privatekey）。2/5/202321算法常見的計算機算法DES是最通用的計算機加密算法。DES是美國和國際標準，它是對稱算法，加密和解密的密鑰是相同的。RSA是最流行的公開密鑰算法，它能用作加密和數(shù)字簽名DSA是另外一種公開密鑰算法，它不能用作加密，只能用作數(shù)字簽名。2/5/202322

一般加密/解密的函數(shù)（算法）是公開的，一個算法的強度（被破解的難度）除了依賴于算法本身以外，還往往與密鑰長度有關(guān)，通常密鑰越長，強度越高。這是因為，密鑰越長，被猜出的可能性越低。所以，保密入情入理在于一個強度高的算法加上一個長度長的密鑰。對于不同的要求，長度可以不同，比如，為了保護你的電子郵件不讓孩子閱讀，密鑰長度有64位就可以了，但是，為了保護一個商業(yè)秘密，可能至少需要256位的密鑰。(1）替換（substitution）加密算法（2）變換（transposition）加密算法(3）數(shù)據(jù)加密標準（DES，DataEncryptionStandard）是美國政府于1997年發(fā)布的，DES使用相同的算法來對數(shù)據(jù)進行加密和解密，所使用的加密密鑰和解密密鑰是相同的。算法的輸入有64位的明文，使用56位的密鑰，輸出是64位的密文，它例用16輪的混合操作，目的是徹底地打亂明文的信息，使得密文的每一位都依賴于明文的每一位和密鑰的每一位.。2/5/202323常規(guī)密鑰密碼體制

密碼技術(shù)是保證網(wǎng)絡、信息安全的核心技術(shù)。加密方法有：替換加密和轉(zhuǎn)換加密一替換加密法：1.單字母加密法2.多字母加密法例一：Caesar(愷撒)密碼例二：將字母倒排序例三：單表置換密碼例一：Vigenere密碼例二：轉(zhuǎn)換加密2/5/202324單字母加密方法例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。2/5/202325例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。2/5/202326

例：如果明文m為“important”，則密文C則為“HDLKOQBFQ”。2/5/202327公開密鑰加密技術(shù)加密密鑰是公開的，不可進行解密，解密密鑰為私鑰，是保密的，且解密密鑰不可被推算出來的單向函數(shù)算法稱公開密鑰算法。所有的通信僅涉及公鑰，而任何私鑰不會被傳輸。2/5/202328公鑰密碼體制（RSA）公鑰（m,n=pq)私鑰(r,p,q)原文ABCD原文ABCD密文%#%￥公鑰(m,n=pq)亂文;~@‘互連網(wǎng)絡密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘密文%#%￥亂文;~@‘原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥2/5/202329秘密密鑰加密技術(shù)

加密算法與解密算法是相同的且是公開的，加密密鑰與解密密鑰是同一個且不可被推算出來的單向函數(shù)算法。密鑰的生成與發(fā)送需嚴格管理。2/5/202330DES密碼體制密鑰原文ABCD原文ABCD密文%#%￥密鑰生成與分發(fā)密鑰互連網(wǎng)絡密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥4078秒485小時5659天6441年7210696年802,738,199年DESCHALL小組破譯能力PASSWORD通常用DES算法2/5/202331對稱與非對稱加密體制對比特

性對

稱非

對

稱密鑰的數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數(shù)字證書及可靠第三者相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或?qū)π畔⒑炞值炔惶珖栏癖Ｃ艿膽?/5/202332

認證技術(shù)

信息認證的目的（1）確認信息的發(fā)送者的身份；（2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。常用的安全認證技術(shù)

1.數(shù)字摘要

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼（數(shù)字指紋FingerPrint），并在傳輸信息時將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。2/5/2023332.數(shù)字信封

數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。3.數(shù)字簽名在網(wǎng)絡環(huán)境中，可以用電子數(shù)字簽名作為模擬，從而為電子商務提供不可否認服務。把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時，也可以保證數(shù)據(jù)的真實性。把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名。2/5/202334數(shù)字簽名（DigitalSignature）的原理①

被發(fā)送文件用安全Hash編碼法SHA（SecureHashAlgorithm）編碼加密產(chǎn)生128bit的數(shù)字摘要；②

發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名；③

將原文和加密的摘要同時傳給對方；④

對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要；⑤

將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。2/5/202335數(shù)字簽名技術(shù)公鑰(m,n=pq)私鑰(r,p,q)原文ABCD原文ABCD密文%#%￥公鑰(m,n=pq)互連網(wǎng)絡密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥2/5/202336數(shù)字簽名原理示意圖2/5/2023374.數(shù)字時間戳時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：①

需加時間戳的文件的摘要(digest)；②DTS收到文件的日期和時間；③DTS的數(shù)字簽名。2/5/202338圖數(shù)字時間戳的應用過程

2/5/2023395.數(shù)字證書

所謂數(shù)字證書，就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡資源的訪問權(quán)限。2/5/202340安全認證機構(gòu)

電子商務授權(quán)機構(gòu)（CA），也稱為電子商務認證中心（CertificateAuthority），是承擔網(wǎng)上安全電子交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構(gòu)。

CA的四大職能：證書發(fā)放證書更新證書撤銷證書驗證2/5/202341世界著名的認證中心Verisign世界上較早的數(shù)字證書認證中心是美國的Verisign公司（）。圖認證中心VeriSign的主頁2/5/2023426）中國知名的認證中心①中國數(shù)字認證網(wǎng)（）②中國金融認證中心（）③中國電子郵政安全證書管理中心（/CA/index.htm）④北京數(shù)字證書認證中心（）⑤廣東省電子商務認證中心（）⑥上海市電子商務安全證書管理中心有限公司（）⑦海南省電子商務認證中心（）⑧天津CA認證中心（/ca/ca-1/ca.htm)⑨山東省CA認證中心（）2/5/202343

數(shù)字證書能夠起到標識貿(mào)易方的作用,是目前電子商務廣泛采用的技術(shù)。微軟公司的InternetExplorer和網(wǎng)景公司的Navigator和電子郵件軟件OutlookExpress等都提供了數(shù)字證書的功能來作為身份鑒別的手段。圖

－14為IE的Internet選項設置，在內(nèi)容選項卡中就有證書項目，點擊即可查看您的數(shù)字證書，如圖

－15為在GlobalSign申請的個人數(shù)字證書。申請了證書后就可以用證書證實你的身份，當然也可以查看你的證書的內(nèi)容。如果你有多個證書，可以先選中該證書，然后點擊圖6－15中的查看按鈕彈出即所選證書對話框就可以查看證書中的信息，如圖

－16所示，點擊詳細內(nèi)容選項卡可以查看證書的具體信息，包括版本、算法、公鑰、有效期等如圖

－17所示，這個證書的算法是RSA算法，公鑰為1024位。2/5/202344圖

－14Internet選項對話框2/5/202345圖

－15證書對話框2/5/202346圖

－16證書常規(guī)內(nèi)容2/5/202347圖

－17證書的詳細信息2/5/202348虛擬專用網(wǎng)VPNVPN的概念虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。虛擬專用網(wǎng)可以對數(shù)據(jù)傳輸提供全方位的安全保護，不僅能在網(wǎng)絡與網(wǎng)絡之間建立專用通道，保護網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護，保證網(wǎng)絡的安全。

2/5/202349VPN的類型可以根據(jù)網(wǎng)絡連接方式的不同把VPN分為以下幾種類型:AccessVPN（遠程訪問虛擬專網(wǎng)）與傳統(tǒng)的遠程訪問網(wǎng)絡相對應

IntranetVPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的Intranet相對應。ExtranetVPN（擴展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應。

2/5/202350數(shù)據(jù)可用性保證合法用戶在任何時候都能使用、訪問資源，阻止非法用戶使用系統(tǒng)資源。實現(xiàn)方法：訪問控制、防火墻、入侵檢測等。2/5/202351防火墻—防止攻擊的屏障

防火墻是作為Intranet的D第一道防線，是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡互連設備，可以用于網(wǎng)絡用戶訪問控制、認證服DD務、數(shù)據(jù)過濾等。2/5/202352防火墻的分類

報文分組過濾網(wǎng)關(guān)應用級網(wǎng)關(guān)信息級網(wǎng)關(guān)2/5/202353防火墻之報文過濾網(wǎng)關(guān)一般是基于路由器來實現(xiàn)。例如，商用的CISCO、BAY公司等路由器都在不同程度上支持諸如基于TCP/IP協(xié)議集的分組的源、目地址進出路由器的過濾，即讓某些地址發(fā)生的分組穿越路由器到達目的地。非特定IP地址3333333333333333333333333特定源IP地址8888888888禁止8888888888888特定目的IP地址0033333333333333禁止3333333333333333禁止禁止88禁止禁止33IP欺騙是黑克常用的手法2/5/202354防火墻之應用級網(wǎng)關(guān)應用級網(wǎng)關(guān)是為專門的應用設計專用代碼，用于對某些具體的應用進行防范。這種精心設計的專用代碼將比通用代碼更安全些。例如DEC公司生產(chǎn)的SEAL軟件包就具有對出境的FTP進行個人身份認證，并對其使用帶寬進行限制。FTP服務器訪問Emial合法訪問FTP非法訪問FTP訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial訪問Emial合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP認證合法合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP合法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP認證非法非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP非法訪問FTP2/5/202355防火墻之信息級網(wǎng)關(guān)

信息級網(wǎng)關(guān)是用于進行信息過濾的。其基本思想是限制含有指定敏感詞匯的信息包進入系統(tǒng)。顯然這種方法對圖象、聲音、影像、加密信息是難以起作用的，但對不應進入的公開資料的流入可以起限制性作用。...like......like......like......like......like......like......like......like......like......like......like......like......like......like......like...正常通過...like......like......like......like......like......like......like......like......like......like......like......like...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”......“6?4”......“6?4”...敏感禁入...“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......like......like...正常通過正常通過敏感禁入敏感禁入...“6?4”......“6?4”...2/5/202356防火墻的目標1.確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)和內(nèi)部網(wǎng)的安全；2.所有內(nèi)部網(wǎng)絡與外部網(wǎng)的信息交流必須經(jīng)過防火墻；3.只有按本地的安全策略被授權(quán)的信息才允許通過；4.防火墻本身具有防止被穿透的能力。2/5/202357防火墻從理論上來講，防火墻是你所能采取的最嚴格的安全措施。然而同樣和容易帶來一些問題：防火墻帶來的嚴格的安全性實際上削弱了網(wǎng)絡的功能。你在安全上得到了多少，那么你在功能上就失去了多少。防火墻很容易使你忽視內(nèi)部的安全問題。這樣防火墻就成了你位一的安全屏障，如果防火墻一旦被突破，你將失去全部的安全性。防火墻將成為網(wǎng)絡的瓶頸。2/5/202358防火墻防火墻堅不可摧嗎？沒有堅不可摧的防火墻。常見的入侵方式如下：從目標網(wǎng)絡上跳出真正的攻擊目標。努力獲得有關(guān)內(nèi)部系統(tǒng)的確切信息。閱讀最新的安全文章任何一個防火墻都無法有效的防止來自內(nèi)部的攻擊。2/5/202359防火墻商業(yè)防火墻CheckpointFirewallandFirewall-1可以控制時間對象，可以將處理任務分散到一組工作站上。CiscoPIXNokiaIP330,IP660固化CheckPointFirewall-12/5/202360入侵檢測系統(tǒng)(IDS)的分類

基于主機基于網(wǎng)絡混合分布式2/5/202361用戶身份認證保證通信對方的身份是真實的。實現(xiàn)方法：帳號-口令，電子證書等。2/5/202362怎樣構(gòu)建一個安全的網(wǎng)絡？網(wǎng)絡安全風險分析網(wǎng)絡安全