电子商务第九章电子商务安全.ppt

一、防火墙的概念 防火墙 6.5电子商务网站常用的防御方法——防火墙技术 防火墙是在内部网和互联网之间构筑的一道屏障，是在内外有别及在需要区分处设置有条件的隔离设备，用以保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯。 防火墙的目的是阻止对信息资源的非法访问，也可以阻止对内部信息的非法窃取。换言之，防火墙是一道门槛，控制进出两个方向的通信。 二、防火墙的主要功能 保护易受攻击的服务 控制对特殊站点的访问 安全管理集中化 检测外来黑客攻击的行为 对网络访问进行日志记录和统计 三. 防火墙的基本类型 包过滤型防火墙 应用级网关 电路级网关 规则检查防火墙 OSI 防火墙 应用层 应用级网关 表示层 会话层 电路级网关 传输层 网络层 路由器级 数据链路层 物理层 防火墙系统 内部网络 外部网络 1、包过滤 包过滤（Packet Filtering）也称网络级防火墙，一般是基于源地址和目的地址、协议，以及每个IP包的端口信息，由防火墙按照事先设置好的规则对数据包作出通过与否的判断。 路由器是一种“传统”的网络级防火墙，大多数路由器都能通过检查这些信息，决定是否将收到的数据包进行转发。但它不能判断出一个IP包来自何方，去向何处。而先进的网络级防火墙可以判断。 包过滤方法：包过滤防火墙逐一审查每个数据包，判断它们是否与包过滤规则相匹配： 与允许规则相匹配，则允许该包通过； 与拒绝规则相匹配，则拒绝该包通过； 无匹配规则，则由默认规则决定，一般默认规则是舍弃数据包。 举例：某数据包防火墙的访问控制规则 ①允许网络使用FTP（21端口）访问主机； ②允许IP地址为8和4的用户Telnet（23 端口）到主机上； ③允许任何地址的E-mail（25端口）进入主机； ④允许任何WWW数据（80端口）通过； ⑤不允许其它数据包进入。 优点： 逻辑简单，造价低廉。 有较强的透明性，易于安装和使用。 缺点： 对网络的保护有限（因只检查地址和端口）； 信息有可能被窃取或假冒。 2、应用级网关 　　应用级网关（Application Level Gateways)一个提供替代连接并且充当服务的网关,通常在应用层提供访问控制.也称应用代理防火墙. 应用型防火墙特点是将所有跨越防火墙的网络的通信链路分为两段,它不允许网络间的直接业务联系，而是以主机作为数据转发的中转站。 代理服务器也对过往的数据包进行分析、注册登记，形成报告；发现被攻击迹象时，发出警报并保留攻击痕迹。 客户代理 服务器代理 访问控制 防火墙 客户 服务器 请求 请求转发 应答 应答转发 优点： 应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。 应用级网关有较好的访问控制，是目前最安全的防火墙技术。 　　 缺点： 实现困难，每一种协议需要相应的代理软件。 缺少透明度,效率低 3、电路级网关 　　电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包 。 　　 在其上运行一个叫做“地址转移”的进程，来将所有内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。 但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。  4、规则检查防火墙  该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样， 可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。 　　 规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。 　 　目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增