《電子商務(wù)安全與支付》課件9

第9章電子商務(wù)網(wǎng)站常用防御方法9.1防火墻9.2非軍事區(qū)域9.3虛擬專用網(wǎng)(VPN)9.4入侵檢測(cè)系統(tǒng)(IDS)9.5認(rèn)證9.1防火墻（Firewall）9.1.1防火墻的工作原理9.1.2防火墻規(guī)則集9.1.1防火墻的工作原理防火墻主要有三種類型：包過濾防火墻、代理服務(wù)器防火墻、應(yīng)用層防火墻。1、包過濾防火墻1、包過濾防火墻Internet可信賴網(wǎng)絡(luò)內(nèi)部過濾器外部過濾器Internet內(nèi)部網(wǎng)絡(luò)

請(qǐng)求請(qǐng)求轉(zhuǎn)發(fā)答復(fù)答復(fù)服務(wù)器2、代理服務(wù)器防火墻Internet外部網(wǎng)代理防火墻WEB、FTPE-MAIL采用為每種所需服務(wù)在網(wǎng)關(guān)上安裝專用程序代碼，否則該服務(wù)就不支持且不能通過防火墻來轉(zhuǎn)發(fā)。另外，應(yīng)用網(wǎng)關(guān)也可以通過配置專用程序代碼來支持應(yīng)用程序的特定服務(wù)。應(yīng)用網(wǎng)關(guān)防火墻允許用戶訪問代碼服務(wù)，但絕對(duì)不能允許讓用戶登陸到該網(wǎng)關(guān)上，否則該用戶就有可能獲得Root權(quán)限，從而通過安裝特洛伊木馬來截獲登陸口令，并修改防火墻的安全配置，直接攻擊防火墻。3、應(yīng)用層網(wǎng)關(guān)防火墻9.1.2防火墻規(guī)則集（1）先擺出“拒絕一切”的姿態(tài)。（2）常見通信的常用端口。（3）將偽代碼轉(zhuǎn)換成防火墻規(guī)則。（4）協(xié)議和風(fēng)險(xiǎn)：作出最佳決策。9.2非軍事區(qū)域（DMZ）9.2.1DMZ的概念9.2.2非軍事區(qū)域的設(shè)置9.2.3

電子商務(wù)非軍事區(qū)域的實(shí)現(xiàn)9.2.4

多區(qū)網(wǎng)絡(luò)存在的問題9.2.1DMZ的概念

為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，允許公眾Internet訪問的系統(tǒng)就位于這兒，并得到了一些基本的防止攻擊的保護(hù)。它是兩個(gè)放火墻之間的網(wǎng)段，或是連接防火墻的“死端”的網(wǎng)絡(luò)。WEB應(yīng)用程序服務(wù)器DMZ9.2.2非軍事區(qū)域的設(shè)置防火墻Internet企業(yè)內(nèi)部網(wǎng)可在下列系統(tǒng)中裝入非軍事區(qū)域（DMZ）（1）載有公共信息的網(wǎng)絡(luò)服務(wù)器（2）與電子商務(wù)交易服務(wù)器連接的前端機(jī)，該前端機(jī)用來接收客戶定單。存放客戶資料的后端應(yīng)置于防火墻之后。（3）把外來電子郵件中轉(zhuǎn)至內(nèi)部的郵件服務(wù)器（4）可據(jù)以進(jìn)入內(nèi)部網(wǎng)絡(luò)的證書服務(wù)及服務(wù)器（5）虛擬專用網(wǎng)絡(luò)上的各端點(diǎn)。（6）應(yīng)用（層）網(wǎng)關(guān)（7）測(cè)試及登錄服務(wù)器。9.2.3電子商務(wù)非軍事區(qū)域的實(shí)現(xiàn)INTERNET受保護(hù)網(wǎng)絡(luò)防火墻WEB和郵件服務(wù)器金融處理網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)

對(duì)多區(qū)網(wǎng)絡(luò)確實(shí)存在一些常見問題，由于它們的性質(zhì)，它們難于實(shí)現(xiàn)、保護(hù)和管理。防火墻規(guī)則集通常龐大、動(dòng)態(tài)和混亂，實(shí)現(xiàn)起來也是費(fèi)力和浪費(fèi)資源的。9.2.4多區(qū)網(wǎng)絡(luò)存在的問題9.3

虛擬專用網(wǎng)（VPN）9.3.1VPN技術(shù)9.3.2IPSec協(xié)議9.3.1VPN技術(shù)VPN通常被定義為通過一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道，它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接。并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流移到低成本的IP網(wǎng)上，一個(gè)企業(yè)的VPN解決方案將大幅度地減少用戶花費(fèi)在WAN上和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。9.3.1VPN技術(shù)

同時(shí)，著將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，它還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的VPN解決方案可以使用戶把精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球Internet接入，以實(shí)現(xiàn)安全連接；可用于建立網(wǎng)站之間安全通信的虛擬專用線路，以連接到商業(yè)伙伴和用戶的安全外連網(wǎng)VPN。

IPSec包括兩部分：（1）IPsecurityProtocolproper,定義IPSec報(bào)文格式。（2）ISAKMP/Oakley,負(fù)責(zé)加密通信協(xié)商。IPSec提供兩種加密通信手段：（1）IPSecTunnel:整個(gè)IP封裝在IPSec報(bào)文。提供IPSecgateway之間的通信。（2）IPSectransport:對(duì)IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目的地址。9.3.2IPSec協(xié)議9.4

入侵檢測(cè)系統(tǒng)（IDS）9.4.1入侵檢測(cè)概念9.4.2基于主機(jī)的IDS9.4.2基于網(wǎng)絡(luò)的IDS9.4.4入侵檢測(cè)系統(tǒng)發(fā)展方向9.4.1入侵檢測(cè)概念1、入侵檢測(cè)概念通過計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。2、分類：根據(jù)被監(jiān)控對(duì)象的不同分為：基于主機(jī)的IDS基于網(wǎng)絡(luò)的IDS9.4.2

基于主機(jī)的IDS

主要應(yīng)用于運(yùn)行關(guān)鍵應(yīng)用層的服務(wù)器，它是早期的入侵檢測(cè)系統(tǒng)，其主要目標(biāo)市檢測(cè)主機(jī)系統(tǒng)是否受到外部或內(nèi)部的攻擊以及系統(tǒng)本地用戶是否有濫用或誤用行為。9.4.3網(wǎng)絡(luò)的IDS

基于網(wǎng)絡(luò)的入侵檢測(cè)IDS放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)沒、每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)認(rèn)為受到攻擊，就會(huì)發(fā)出通知、警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。9.4.4入侵檢測(cè)技術(shù)發(fā)展方向（1）入侵或攻擊的綜和化與復(fù)雜化（2）入侵主體的間接化（3）入侵或攻擊的規(guī)模擴(kuò)大（4）入侵或攻擊技術(shù)的分布化（5）攻擊對(duì)象的轉(zhuǎn)移9.5

認(rèn)證9.5.1第三方認(rèn)證9.5.2PKI的組成9.5.3證書認(rèn)證機(jī)構(gòu)9.5.4PKI應(yīng)用9.5.1第三方認(rèn)證PKI采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，其中包括用戶名和電子郵件地址等信息，以便在Internet網(wǎng)上驗(yàn)證用戶的身份。9.5.2PKI的組成PKI應(yīng)用注冊(cè)機(jī)構(gòu)RA證書發(fā)布系統(tǒng)注冊(cè)機(jī)構(gòu)CAPKI策略硬軟件系統(tǒng)9.5.3證書認(rèn)證機(jī)構(gòu)CA1、數(shù)字證書基礎(chǔ)2、發(fā)行證書的CA簽名3、CA框架模型4、證書的申請(qǐng)和撤消