《电子商务安全与支付教学课件 宋少忠 9》由会员分享,可在线阅读,更多相关《电子商务安全与支付教学课件 宋少忠 9(27页珍藏版)》请在金锄头文库上搜索。
1、第9章 电子商务网站常用防御方法,9.1 防火墙 9.2 非军事区域 9.3 虚拟专用网(VPN) 9.4 入侵检测系统(IDS) 9.5 认证,9.1 防火墙(Firewall),9.1.1 防火墙的工作原理 9.1.2 防火墙规则集,9.1.1 防火墙的工作原理,防火墙主要有三种类型:包过滤防火墙、代理服务器防火墙、应用层防火墙。,1、包过滤防火墙,1、包过滤防火墙,请求 请求转发 答复 答复 服务器,2、代理服务器防火墙,采用为每种所需服务在网关上安装专用程序代码,否则该服务就不支持且不能通过防火墙来转发。另外,应用网关也可以通过配置专用程序代码来支持应用程序的特定服务。应用网关防火墙允
2、许用户访问代码服务,但绝对不能允许让用户登陆到该网关上,否则该用户就有可能获得Root权限,从而通过安装特洛伊木马来截获登陆口令,并修改防火墙的安全配置,直接攻击防火墙。,3、应用层网关防火墙,9.1.2 防火墙规则集,(1)先摆出“拒绝一切”的姿态。 (2)常见通信的常用端口。 (3)将伪代码转换成防火墙规则。 (4)协议和风险:作出最佳决策。,9.2 非军事区域(DMZ),9.2.1 DMZ的概念 9.2.2 非军事区域的设置 9.2.3 电子商务非军事区域的实现 9.2.4 多区网络存在的问题,9.2.1 DMZ的概念,为不信任系统提供服务的孤立网段,允许公众Internet访问的系统就
3、位于这儿,并得到了一些基本的防止攻击的保护。它是两个放火墙之间的网段,或是连接防火墙的“死端”的网络。,WEB应用程序服务器 DMZ,9.2.2 非军事区域的设置,防 火 墙,Internet企业 内部网,可在下列系统中装入非军事区域(DMZ) (1)载有公共信息的网络服务器 (2)与电子商务交易服务器连接的前端机,该前端机用来接收客户定单。存放客户资料的后端应置于防火墙之后。 (3)把外来电子邮件中转至内部的邮件服务器 (4)可据以进入内部网络的证书服务及服务器 (5)虚拟专用网络上的各端点。 (6)应用(层)网关 (7)测试及登录服务器。,9.2.3 电子商务非军事区域的实现,INTERN
4、ET,受保护网络,防 火 墙,WEB和邮件服务器,金融处理网络,数据存储网络,对多区网络确实存在一些常见问题,由于它们的性质,它们难于实现、保护和管理。防火墙规则集通常庞大、动态和混乱,实现起来也是费力和浪费资源的。,9.2.4 多区网络存在的问题,9.3 虚拟专用网(VPN),9.3.1 VPN技术 9.3.2 IPSec协议,9.3.1 VPN技术,VPN通常被定义为通过一个公共网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全的、稳定的隧道,它是对企业内部网的扩展。 VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接。并保证数据的安全传输。
5、通过将数据流移到低成本的IP网上,一个企业的VPN解决方案将大幅度地减少用户花费在WAN上和远程网络连接上的费用。,9.3.1 VPN技术,同时,着将简化网络的设计和管理,加速连接新的用户和网站。另外,它还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的VPN解决方案可以使用户把精力集中到自己的生意上,而不是网络上。 VPN 可用于不断增长的移动用户的全球Internet接入,以实现安全连接;可用于建立网站之间安全通信的虚拟专用线路,以连接到商业伙伴和用户的安全外连网VPN。,IPSec包括两部分: (1)IP security Protocol proper,定义IPSec报文格式
6、。 (2)ISAKMP/Oakley,负责加密通信协商。 IPSec提供两种加密通信手段: (1) IPSec Tunnel : 整个IP封装在IPSec报文。提供IPSecgateway之间的通信。 (2) IPSec transport: 对IP包内的数据进行加密,使用原来的源地址和目的地址。,9.3.2 IPSec协议,9.4 入侵检测系统(IDS),9.4.1 入侵检测概念 9.4.2 基于主机的IDS 9.4.2 基于网络的IDS 9.4.4 入侵检测系统发展方向,9.4.1 入侵检测概念,1、入侵检测概念 通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或
7、系统中是否有违反安全策略的行为和遭到袭击的迹象。 2、分类: 根据被监控对象的不同分为: 基于主机的IDS 基于网络的IDS,9.4.2 基于主机的IDS,主要应用于运行关键应用层的服务器,它是早期的入侵检测系统,其主要目标市检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为。,9.4.3 网络的IDS,基于网络的入侵检测IDS放置在比较重要的网段内,不停地监视网段中的各种数据包。对没、每一个数据包或可疑的数据包进行分析。如果数据包与产品内置的某些规则吻合,入侵检测系统认为受到攻击,就会发出通知、警报甚至直接切断网络连接。,9.4.4 入侵检测技术发展方向,(1)入侵或攻
8、击的综和化与复杂化 (2)入侵主体的间接化 (3)入侵或攻击的规模扩大 (4)入侵或攻击技术的分布化 (5)攻击对象的转移,9.5 认证,9.5.1 第三方认证 9.5.2 PKI的组成 9.5.3 证书认证机构 9.5.4 PKI应用,9.5.1 第三方认证,PKI采用证书进行公钥管理,通过第三方的可信任机构,把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以便在Internet网上验证用户的身份。,9.5.2 PKI的组成,PKI应用,注册机构RA,证书发布系统,注册机构CA,PKI策略,硬软件系统,9.5.3 证书认证机构CA,1、数字证书基础 2、发行证书的CA签名 3、CA框架模型 4、证书的申请和撤消 5、证书管理 6、密钥管理 7、证书的使用,9.5.4 PKI应用,1、虚拟专用网(VPN)- PKI with IPSec 2、安全电子邮件 - PKI with S/MIME 3、Web安全- PKI with SSL 4、更广泛的应用,
