电子商务安全技术实用教程第3章课件.pptx

1、第三章第三章 网络安全技术网络安全技术3.1 网络安全技术概述3.2 防火墙技术3.3 入侵检测系统IDS3.4 虚拟专用网VPN3.5 防病毒技术3.1 网络安全技术概述3.1.1 网络安全技术的概念1.网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，保障网络信息的保密性、完整性、可用性、可控性、可审查性。与其他概念不同，网络安全的具体定义和侧重点会随着观察者的角度而不断变化。2. 网络安全的特征（1）保密性：也称机密性，是强调有用信息只被授权对象使用的安全特征。（2）完整性：是指

2、信息在传输、交换、存储和处理过程中，保持信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。（3）可用性：也称有效性，指信息资源可被授权实体按要求访问、正常使用或在非正常情况下能恢复使用的特性。（4）可控性：是指信息系统对信息内容和传输具有控制能力的特性，指网络系统中的信息在一定传输范围和存放空间内可控程度。（5）可审查性：又称拒绝否认性、抗抵赖性或不可否认性，指网络通信双方在信息交互过程中，确信参与者本身和所提供的信息真实同一性。3.网络安全的目标（1）运行系统的安全；（2）网络上系统信息的安全；（3）网络上信息传播安全；（4）网络上信息内容的安全3.1.2 网络安全隐患（1）开放网络环

3、境：主要是指Internet中向公众开放的各种信息服务系统或网站，网站与Internet连接, 信息内容完全开放，任何客户都可以通过Internet浏览网站上的信息。这种网络应用是开放的，它所面临的安全风险是拒绝服务(Dos)、篡改网页内容以及被非法利用等。 （2）专用网络环境：主要是指基于Inernet互连的专用网, 如企业网、金融网、商务网等,专用网通过防火墙与Internet连接，网络资源只向授权的用户开放，他们可以通过Internet访问专用网上的信息资源。这种网络应用是半开放的，它所面临的安全风险是假冒合法用户获取信息以及在信息传输过程中非法截获或者篡改信息等。 （3）私用网络环境：

4、主要是指与Internet完全隔离的内部网，如政务网、军用网等，私用网与Internet是物理隔离的，网络资源只向授权的内部网用户开放，他们只能通过内部网访问网络中的信息资源。这种网络应用是封闭的，它所面临的安全风险是内部用户的非授权访问,窃取和泄漏机密信息等。3.1.3 网络安全层次（1）实体安全：也称物理安全，指保护计算机网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气体、电磁辐射、系统掉电和其他环境事故破坏的措施及过程。（2）运行安全：包括网络运行和网络访问控制的安全,如设置防火墙实现内外网的隔离、备份系统实现系统的恢复。（3）系统安全：包括操作系统安全、数据库系统安全和网络系统安全

5、。（4）应用安全：由应用软件开发平台安全和应用系统数据安全两部分组成。（5）管理安全：主要指对人员及网络系统安全管理的各种法律、法规、政策、策略、规范、标准、技术手段、机制和措施等内容。3.1.4 网络安全技术（1）防火墙技术（2）入侵检测技术（3）虚拟专用网技术（4）认证技术（5）病毒防范技术另外保障网络的信息安全、系统安全、应用安全还涉及到安全漏洞扫描技术、网络嗅探技术、数据加密技术、访问控制技术、安全审计技术等等。3.2 防火墙技术3.2.1 防火墙的概念1.防火墙的定义防火墙是位于被保护网络和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，构成一道屏障，以防止发生对被保护

6、网络的不可预测的、潜在破坏性的侵扰。 通过安全规则来控制外部用户对内部网资源的访问。在逻辑上，防火墙是分离器，限制器，也是一个分析器。在物理上，防火墙通常是一组硬件设备。图3-1 一个典型的防火墙使用形态2.防火墙的功能（1）监控并限制访问：防火墙通过采取控制进出内、外网络数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理。（2）控制协议和服务：防火墙对相关协议和服务进行控制，从而大大降低了因某种服务、协议的漏洞而引起安全事故的可能性。（3）保护内部网络：针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，对访问进行限制。（4）网络地址转换：NAT可以缓解目前IP地址紧

7、缺的局面、屏蔽内部网络的结构和信息、保证内部网络的稳定性。（5）日志记录与审计：当防火墙系统被配置为所有内部网络与外部网络连接均需经过的安全节点时，防火墙会对所有的网络请求做出日志记录。防火墙应用的局限性（1）不能防范不经过防火墙的攻击（2）不能解决来自内部网络的攻击和安全问题（3）不能防止受病毒感染的文件的传输（4）不能防止数据驱动式的攻击（5）不能防止系统安全体系不完善的攻击3.防火墙的安全策略（1）一切未被允许的都是禁止的（限制政策）防火墙只允许用户访问开放的服务, 其它未开放的服务都是禁止的。这种策略比较安全，因为允许访问的服务都是经过筛选的, 但限制了用户使用的便利性。（2）一切未被

8、禁止的都是允许的（宽松政策）防火墙允许用户访问一切未被禁止的服务, 除非某项服务被明确地禁止。这种策略比较灵活, 可为用户提供更多的服务, 但安全性要差一些。3.2.2 防火墙的分类与技术1防火墙的分类（1）软件防火墙与硬件防火墙（2）主机防火墙与网络防火墙2.防火墙的技术（1）包过滤技术（2）代理服务技术（3）状态检测技术（4）NAT技术3.2.3 防火墙的应用模式1.包过滤防火墙这种模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常，防火墙功能由带有防火墙模块的路由器提供，所以也称为屏蔽路由器。表3-1：包过滤防火墙规则示例：（1）内部主机10.1.1.1任何端口访问任何主机的任

9、何端口，基于TCP协议的数据包 都允许通过。（2）任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。（3）任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。组序组序号号动作动作源源IP目的目的IP源端口源端口目的端目的端口口协议类协议类型型1允许10.1.1.1*TCP2允许*10.1.1.120*TCP3禁止*10.1.1.1201024TCP2.双穴主机防火墙这种模式采用单一的代理服务型防火墙来实现。防火墙由一个运行代理服务软件的主机（即堡垒主机）实现, 该主机具有两个

10、网络接口（称为双穴主机）3.屏蔽主机防火墙屏蔽主机防火墙一般由一个包过滤路由器和一个堡垒主机组成,一个外部包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。这种模式采用双重防火墙来实现，一个是屏蔽路由器，构成内部网第一道屏障；另一个是堡垒主机，构成内部网第二道屏障。4.屏蔽子网防火墙屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系（周边网络）。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。非军事区DMZ：屏蔽子网防火墙在内部网络和外部网络之间建立一个被隔离的子网，用两台路由器将这一子网分别与内部网络和外部网络分开，两个包过滤路由器放置在子网的两

11、端，形成的子网构成一个“非军事区”。3.2.4 个人防火墙1个人防火墙的概念个人防火墙是一套安装在个人计算机上的软件系统，它能够监视计算机的通信状况，一旦发现有对计算机产生危险的通信就会报警通知管理员或立即中断网络连接，以此实现对个人计算机上重要数据的安全保护。比如：瑞星，赛门铁克， 天网防火墙 ，冰盾DDOS防火墙等等。2个人防火墙的主要功能（1）防止Internet上用户的攻击（2）阻断木马及其他恶意软件的攻击（3）为移动计算机提供安全保护（4）与其他安全产品进行集成3Windows防火墙3.3 入侵检测技术3.3.1 入侵检测系统的概念1. 入侵检测系统的定义入侵检测系统IDS（Intr

12、usion Detection System）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵检测系统是对防火墙的合理补充，是一个实时的网络违规识别和响应系统，是继防火墙之后的又一道防线。2.入侵检测系统的功能（1）监测、分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估重要系统和数据文件的完整性；（4）识别已知的攻击行为并采取适当的措施；（5）统计分析异常行为；（6）审计操作系统日志，识别违反安全策略的行为。3.IDS的分类（1）基于主机的入侵检测系统（HIDS）（2）基于网络的入侵检测系统（NIDS）（3）分布式入侵检测系统（DIDS）

13、3.3.2 入侵检测系统的工作原理IDS的组成：事件发生器、事件分析器、响应单元、事件数据库IDS的工作流程：第一步，网络数据包的获取（混杂模式）；第二步，网络数据包的解码（协议分析）；第三步，网络数据包的检查（误用检测）；第四步，网络数据包的统计（异常检测）；第五步，网络数据包的审查（事件生成）；第六步，网络数据包的处理（报警和响应）。3.IDS的检查技术（1）静态配置分析技术静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。（2）误用检测技术 通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违

14、背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。（3）异常检测技术 通过对系统审计数据的分析建立起系统主体（用户、主机、程序、文件等）的正常行为特征轮廓；3.3.3 入侵检测系统的应用图3-8 入侵检测系统一般部署图图3-9 IDS引擎分布图3.4 虚拟专用网技术3.4.1 虚拟专用网的概念虚拟专用网VPN，就是建立在公共网络上的私有专用网。它是一个利用基于公众基础架构的网络，来建立一个安全的、可靠的和可管理的企业间通信的通道。图3-10 VPN实例图VPN使用实例：某公司总部在北京，而上海和杭州各有分公司， MIS主管需要彼此之间能够实时交换数据，为了安全考虑和提高

15、工作效率，使用VPN技术。（总公司路由器上开放两个VPN账户，允许分公司路由器拨入，以建立VPN通道）。3.4.2 VPN的工作原理1.VPN的协议（1）点对点隧道协议PPTP（Point to Point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP协议上开发的，是PPP的一种扩展。客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。（2）第二层转发协议L2F （Layer 2 Forwarding）是1996年C

16、isco开发的。远端用户能够通过任何拨号方式接入公共IP网络。首先，按常规方式拨号到ISP的接入服务器，建立PPP连接；接入服务器根据用户名等信息发起第二次连接，呼叫用户网络的服务器。（3）第二层隧道协议L2TP （Layer 2 Tunneling Protocol）是1997年底由Microsoft 和Cisco共同开发。L2TP结合了L2F和PPTP的优点，可以让用户从客户端或接入服务器端发起VPN连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。2.VPN的实现方法（1）MPLS VPN：是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Mul

17、tiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）（2）SSL VPN：是以HTTPS（安全的HTTP）为基础的VPN技术，工作在传输层和应用层之间。（3）IPSec VPN：是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。3.4.3 VPN的应用环境远程访问虚拟网（Access VPN）企业内部虚拟网（Intranet VPN）企业扩展虚拟网（Extranet VPN）3.5 防病毒技术3.5.1. 病毒的基本概念1.病毒的概念病毒指“编制或者在计算

18、机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码” 中华人民共和国计算机信息系统安全保护条例。从广义上讲，凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。从这个概念来说计算机病毒就是恶意代码。从狭义上讲，具有病毒特征的恶意代码称为计算机病毒。所谓病毒特征就是生物界所具有的病毒特征是一样的。表3-2 常见的恶意代码表恶意代码类型恶意代码类型定义定义特点特点病毒病毒在计算机程序中插入的破坏计算机功能或数据、影响计算机使用，并能够自我复制的程序传染性、破坏性、潜伏性蠕虫

19、蠕虫能够铜锣网络自我复制、消耗计算机资源和网络资源的恶意程序扫描、攻击、传播木马木马能够与远程计算机建立连接，使远程计算机能远程控制本地计算机的恶意代码欺骗、隐藏、窃取信息后门后门能够避开计算机的安全控制，使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏的程序潜伏、破坏2.病毒的特征（1）非授权性（2）隐蔽性（3）传染性（4）潜伏性（5）破坏性（6）可触发性（7）针对性（8）与黑客技术的结合性3病毒的分类（1）文件传染源病毒（2）引导扇区病毒（3）宏病毒（4）复合型病毒3.5.2 病毒检测技术（1）特征码检测法计算机病毒是一种人为编写的特殊的程序

20、代码，不同病毒之间在代码上都存在着差异性。（2）校验和检测法使用校验和检测法对被查的对象（文件或一段程序代码）计算在正常状态时的校验和，并将校验和写入指定的文件中。（3）行为监测法行为监测法是指利用病毒的特有行为特征来监测病毒的一种方法。（4）软件模拟法是指用软件来模拟和分析程序的执行过程和结果。3.5.3 病毒的防范方法1非网络传播型病毒的防范方法（1）安装专业的反病毒软件，对存储介质进行定期的查、杀病毒操作。 （2）安装和启用防火墙软件，避免某些利用操作系统和软件漏洞的病毒和恶意代码侵入计算机系统。（3）使用不明来路的磁盘中的数据（软件）前，应先进行查、条病毒操作，确认无病毒后再使用。3.5.3 病毒的防范方法2网络传播型病毒的防范方法（1）安装反病毒软件（2）及时修补操作系统和应用软件的漏洞 （3）安装网络防火墙 （4）常备工具软件（5）建议禁用操作系统中的自动运行功能（6）对于来路不明的可疑邮件附件不要直接打开（7）不要贪图免费软件（8）不浏览非法网站本章小结网络安全的主要技术包括：防火墙技术、VPN技术、入侵检测技术、网络隔离技术和反病毒技术等。本章对这些网络安全主流技术的相关概念、工作原理、基本模型和实现方式进行了系统介绍。考虑到实现网络安全具有一定的复杂性和动态性，对网络安全技术的研究依然任重道远。