《学习情景2网络通信安全构建教学讲义》由会员分享,可在线阅读,更多相关《学习情景2网络通信安全构建教学讲义(61页珍藏版)》请在金锄头文库上搜索。
1、,新世纪高职高专 电子商务类课程规划教材,电子商务 安全技术与应用,主编梁永生,e,电子商务安全技术与应用,学习情境1 客户端安全设置,新世纪高职高专 电子商务类课程规划教材,学习情境2 网络通信安全构建,学习情境3 信息传输安全构建,学习情境4 服务器安全设置,学习情境5 电子支付安全实现,学习情境描述,子学习情境1 防火墙技术,目 录,新世纪高职高专 电子商务类课程规划教材,学习情境2 网络通信安全构建,子学习情境2 入侵检测技术,子学习情境3 VPN技术,防火墙技术,学习情境2,子学习情境1,2.1.1 网络通信协议 1984年,国际标准化组织(ISO)提出了开放式系统互联模式(OSI)
2、。作为一个概念性框架,它是不同制造商的设备和应用软件在网络中进行通信的标准。现在该模型已成为计算机间和网络间进行通信的主要结构模型。目前使用的大多数网络通信协议的结构都是基于OSI模型的。OSI模型结构如图2-1所示。各层的具体描述见表2-2。,防火墙技术,学习情境2,子学习情境1,2.1.1 网络通信协议,图2-1 OSI模型结构,防火墙技术,学习情境2,子学习情境1,2.1.2 网络设备安全 在网络设备和网络应用市场蓬勃发展的带动下,近年来网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;
3、另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。 随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。,2.1.2 网络设备安全 IP 网络的安全有两个方面:一是主机的安全;二是网络自身的安全。用户主机所感知的安全威胁主要是针对特定系统的攻击,计算机病毒。网络设备主要面对的是基于TCP/IP协议的攻击。 交换机安全 交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。一般用于LAN-LAN
4、的连接。交换机在电子商务中占有重要的地位,因此交换机在满足其基本的数据转发功能的前提下,有的还集成了安全认证,访问控制安全列表、防火墙和入侵检测功能。,防火墙技术,学习情境2,子学习情境1,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议,(1)病毒过滤技术,(2)基于ACL的报文过滤技术,(3)CPU过载保护技术,(4)广播风暴控制功能,(5)VLAN技术,(6)基于802.1x的接入控制技术,(7)交换机与入侵检测系统(IDS)的联动,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议 2. 路由器安全 路由器,是一种连接多个网络或网段的网络设备,将不同网络之间的
5、数据信息进行“翻译”。一般用于WAN-WAN的连接。路由器的基本功能如下: (1)网络互联,路由器支持各种局域网和广域网接口,主要用于互联局域网和广域网,实现不同网络之间的互相通信。 (2)数据处理,提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。 (3)网络管理,路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议 2. 路由器安全 路由器从功能上可划分为:数据层面、控制/信令层面和管理层面。 (1)数据层面:处理进入设备的数据流。 (2)控制/信令层面:进行路由信息的交换。 (3) 管理层面:
6、威胁来源于使用的协议;不严密的管理。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 电子商务系统是基于Internet的,它方便了企业内部之间以及企业与外部的信息交流,提高了工作效率。然而,一旦企业内部网连入Internet,就意味着Internet上的每个用户都有可能访问企业网。如果没有一个安全性保护措施,黑客们可能会在毫无觉察的情况下进入企业网,非法访问企业的资源。而防火墙就是保护企业内部网中信息安全的一项重要措施。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 1. 防火墙的概念 防火墙是在内外网之间构筑的一道屏障,它是设置在内外网之间的隔离设备,用以保护
7、内网中的信息、资源等不受来自外网中非法用户的侵犯,它控制内外网之间的所有数据流量,控制和防止内网中的有价值数据流人外网,也控制和防止来自外网的无用垃圾和有害数据流人入内网。 简单地说,防火墙是一个全部进出内网的信息流量都必须经过的限制点,并由用户来控制通讯。良好的防火墙可以防止攻击者人侵并保护内部机密信息免于流出。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 2. 防火墙的构成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理5部分,如图2-2所示。,图2-2 防火墙结构,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 3. 防火墙的作用,(
8、1)可以限制用户进入内网,过滤掉不安全服务和非法用户,(2)防止入侵者接近用户防御设施,(3)限定用户访问特殊站点,(4)为监视Internet安全提供方便,防火墙技术,防火墙的弱点 不能防备病毒 对不通过它的连接无能为力 不能防备内部人员的攻击 限制有用的网络服务 不能防备新的网络安全问题,学习情境2,子学习情境1,2.1.3 防火墙技术,防火墙技术,对不通过它的连接无能为力,学习情境2,子学习情境1,2.1.3 防火墙技术,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 4. 防火墙的种类,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 5. 防火墙技术,传统意
9、义上的防火墙技术分为三大类,“包过滤(Packet Filtering)”、“应用代理”(Application Proxy)和“状态监视”(State Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。,防火墙技术,学习情境2,子学习情境1,(1)包过滤技术,包过滤是最早使用的一种防火墙技术。 包过滤防火墙工作在网络层 。 防火墙通过对信息头的检测就可以决定是否将数据包发往目的 地。从而达到对进入和流出网络的数据进行监测和限制目的。,图2-3 包过滤防火墙系统,防火墙技术,学习情境2,子学习情境1,(1)包过滤技术:包过滤是如何工作?
10、包过滤技术可以允许或不允许某些包在网络上传递,它的依据: 将包的目的地址、端口作为判据 将包的源地址作、端口为判据 将包的传送协议作为判据 包过滤系统只能让我们进行类似以下情况的操作: 不让任何用户从外部网用Telnet登录; 允许任何用户使用SMTP往内部网发电子邮件 只允许某台机器通过NNTP往外部网发新闻,防火墙技术,学习情境2,子学习情境1,(1)包过滤技术:包过滤是如何工作? 包过滤不能允许我们进行如下的操作: 允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 允许用户传送一些文件而不允许用户传送其他文件。 数据包过滤功能的实现依赖于包过滤规则,也叫访问控制列表。
11、配置访问控制列表(配置包过滤防火墙策略): 一个包过滤防火墙由一个脏端口、一个净端口和一组访问控制列表规则组成; 脏端口:连接Internet,来自Internet和流向Internet的数据都由此端口通过; 净端口:连接内部网络; 访问控制列表通过控制在防火墙的接口上转发还是阻断数据包分组来过滤数据流,防火墙检查每个数据分组,并根据访问控制列表规则对数据分组进行操作。,防火墙技术,学习情境2,子学习情境1,(1)包过滤技术:包过滤是如何工作? 访问控制列表的配置方法: 默认允许 默认拒绝,防火墙技术,学习情境2,子学习情境1,(2)应用代理技术,由于包过滤技术无法提供完善的数据保护措施,而且
12、一些特殊的报文攻击仅仅使用过滤的方法并不能消除其危害(如SYN攻击、ICMP洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(Application proxy)技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。应用协议分析技术工作在应用层上。,图2-3 包过滤防火墙系统,防火墙技术,学习情境2,子学习情境1,(3)状态监视技术,状态监视技术是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发
13、展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行检测,并根据各种过滤规则做出安全决策。,防火墙技术,学习情境2,子学习情境1,常用防火墙产品,天网防火墙 Cisco PIX Microsoft ISA ChekPointFirewall-14 Netscreen防火墙 其他国产防火墙,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制
14、的一组计算机指令或者程序代码。随着网络和Internet的发展,一个传播范围更广、危害更大的新型病毒应运而生,这就是网络病毒,即在网络环境下流行的病毒。网络病毒充分利用了网络的缺陷来涉及和传播,这就是网络病毒的共性。 网络病毒是一种新型病毒,它的传播媒介不再是移动式载体,而是网络通道。这种病毒的传染能力更强,破坏力更大。同时通过电子邮件和网络进行病毒传播的比例正逐步攀升。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,1. 网络病毒的传播方式与特点 网络病毒一般会试图通过以下四种不同的方式进行传播:,邮件附件,E-mail,A,B,文件共享,D,Web服务器,C,防火墙技术,
15、学习情境2,子学习情境1,2.1.4 网络病毒技术,2. 网络病毒的防范技术 (1)基于工作站的防治技术 工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,2.
16、网络病毒的防范技术 (2)基于服务器的防治技术 网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的-个重要标志就是网络服务器瘫痪。网络服务器-旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,3. 反病毒技术 反毒技术主要包括预防病毒、检测病毒和消毒等三种技术: (1)预防病毒技术,它通过自身常驻系统内存优先获得系统的控制权,监听和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统或对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。 (2)检测病毒技术,它是通过对计算机病毒的特征来判断是否存在病毒的技术
