電子商務(wù)的安全技術(shù)第5章匯編_第1頁(yè)
電子商務(wù)的安全技術(shù)第5章匯編_第2頁(yè)
電子商務(wù)的安全技術(shù)第5章匯編_第3頁(yè)
電子商務(wù)的安全技術(shù)第5章匯編_第4頁(yè)
電子商務(wù)的安全技術(shù)第5章匯編_第5頁(yè)
已閱讀5頁(yè),還剩29頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第5章防火墻的構(gòu)造與選擇15.1防火墻概述5.2防火墻的原理5.3防火墻的選擇和使用5.4分布式防火墻技術(shù)25.1防火墻概述5.1.1防火墻的概念5.1.2防火墻設(shè)計(jì)的基本原則

3

5.1.1防火墻的概念

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道或一組執(zhí)行控制策略的防御系統(tǒng)。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查,以決定通信是否被允許,對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況,并提供單一的安全和審計(jì)的安裝控制點(diǎn),從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問(wèn)和過(guò)濾不良信息目的。5.1防火墻概述45.1防火墻概述5.1.2防火墻設(shè)計(jì)的基本原則防火墻的姿態(tài)機(jī)構(gòu)的整體安全策略防火墻的費(fèi)用防火墻的基本構(gòu)件和拓?fù)浣Y(jié)構(gòu)防火墻的維護(hù)和管理方案

55.2防火墻的原理

5.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則5.2.2防火墻的組成5.2.3防火墻不能對(duì)付的安全威脅5.2.4防火墻的分類(lèi)65.2.1防火墻設(shè)計(jì)的基本準(zhǔn)則一切未被允許的就是禁止的。

如果防火墻采取第一個(gè)準(zhǔn)則,那么需要確定所有可以被提供的服務(wù)以及它們的安全性,然后,開(kāi)放這些服務(wù),并將所有其他未被列入的服務(wù)排除在外,禁止訪問(wèn)。優(yōu)點(diǎn)是可以造成一種十分安全的環(huán)境,其缺點(diǎn)在于用戶所能使用的服務(wù)范圍受到很大限制。一切未被禁止的就是允許的。 如果防火墻采取第二個(gè)準(zhǔn)則,需要確定那些被認(rèn)為是不安全的服務(wù),禁止其訪問(wèn);而其他服務(wù)則被認(rèn)為是安全的,允許訪問(wèn)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境,可以為用戶提供更多的服務(wù),其缺點(diǎn)在于很難提供可靠的安全防護(hù)。

5.2防火墻的原理75.2.2防火墻的組成

5.2防火墻的原理E-mail處理域名服務(wù)網(wǎng)關(guān)代理認(rèn)證SOCKS過(guò)濾器因特網(wǎng)Internet內(nèi)部網(wǎng)Intranet安全操作系統(tǒng)E-mail域名詢問(wèn)高級(jí)協(xié)議訪問(wèn)IP級(jí)數(shù)據(jù)

防火墻主要包括五部分:安全操作系統(tǒng)、過(guò)濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理。

81安全操作系統(tǒng)

防火墻本身必須建立在安全操作系統(tǒng)所提供的安全環(huán)境中,安全操作系統(tǒng)可以保護(hù)防火墻的代碼和文件免遭入侵者攻擊。這些防火墻的代碼只允許在給定的主機(jī)系統(tǒng)上執(zhí)行,這種限制可以減少非法穿越防火墻的可能性。2過(guò)濾器

防火墻的主要目的是控制數(shù)據(jù)包,只允許合法流通過(guò),它要對(duì)專(zhuān)用網(wǎng)和Internet之間傳送的每一數(shù)據(jù)組進(jìn)行干預(yù)。過(guò)濾器則執(zhí)行由防火墻管理機(jī)構(gòu)制定的一組規(guī)則,檢驗(yàn)各數(shù)據(jù)組,決定是否允許放行。這些規(guī)則按IP地址、端口號(hào)碼和各類(lèi)應(yīng)用等參數(shù)確定。5.2防火墻的原理95.2防火墻的原理3網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)(ApplicationGateway)可以在TCP/IP應(yīng)用級(jí)上控制信息流和認(rèn)證用戶。應(yīng)用網(wǎng)關(guān)的功能常常由代理服務(wù)器提供。在專(zhuān)用網(wǎng)中的一個(gè)用戶聯(lián)機(jī)到一個(gè)代理服務(wù)器,代理服務(wù)器對(duì)用戶認(rèn)證,而后使用戶和Internet中遠(yuǎn)端服務(wù)器聯(lián)機(jī)。 SOCKS(套接層)服務(wù)器也對(duì)通過(guò)防火墻提供網(wǎng)關(guān)支持,代理服務(wù)器和SOCKS服務(wù)器之間的主要差別是前者要求改變用戶接入Internet服務(wù)器的方式,但不需要修正客戶機(jī)的軟件;而后者則相反。4域名服務(wù)和函件處理 防火墻還可能包括有域名服務(wù)和函件處理。域名服務(wù)使專(zhuān)用網(wǎng)的域名與Internet相隔離,專(zhuān)用網(wǎng)中主機(jī)的內(nèi)部IP地址不至于暴露給Internet中的用戶。函件處理能力保證專(zhuān)用網(wǎng)中用戶和Internet用戶之間的任何函件交換都必須經(jīng)過(guò)防火墻處理。105.2防火墻的原理5.2.3防火墻不能對(duì)付的安全威脅1防火墻不能防范來(lái)自內(nèi)部的攻擊2防火墻不能防范不經(jīng)由防火墻的攻擊3防火墻不能防止受到病毒感染的軟件或文件的傳輸4防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊

115.2防火墻的原理

5.2.4防火墻的分類(lèi)1包過(guò)濾型防火墻是最簡(jiǎn)單的防火墻。它的處理對(duì)象IP包,其功能是處理通過(guò)網(wǎng)絡(luò)的IP包的信息,實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)的安全控制。應(yīng)用數(shù)據(jù)包過(guò)濾(packetfiltering)技術(shù)在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,只有通過(guò)檢查的IP包才能正常轉(zhuǎn)發(fā)出去。其選擇的依據(jù)是訪問(wèn)控制表ACL(AccessControlList),通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或通過(guò)檢查它們的組合來(lái)決定是否允許該數(shù)據(jù)包通過(guò)。實(shí)現(xiàn)原理如圖所示。12

5.2防火墻的原理包過(guò)濾型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn):邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用網(wǎng)絡(luò)性能和透明性好。缺點(diǎn):數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,易被竊聽(tīng)或假冒,形成各種安全漏洞。大多過(guò)濾器中過(guò)濾規(guī)則的數(shù)目有限制,且隨著規(guī)則數(shù)目的增加,性能受影響。包過(guò)濾的規(guī)則可能比較復(fù)雜,且不易驗(yàn)證其正確性。由于缺少上下文關(guān)聯(lián)信息,不能有效過(guò)濾某些協(xié)議。大多不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。大多對(duì)安全管理人員素質(zhì)要求高13

5.2防火墻的原理2應(yīng)用網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯,并在過(guò)濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常裝在專(zhuān)用工作站系統(tǒng)上,其實(shí)現(xiàn)原理如圖所示。145.2防火墻的原理3代理服務(wù)型防火墻代理服務(wù)型防火墻是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信線路分為兩段。

代理服務(wù)器代理客戶機(jī)器客戶機(jī)服務(wù)器請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答應(yīng)答防火墻代理轉(zhuǎn)發(fā)請(qǐng)求間代理獲得客戶機(jī)和服務(wù)器之間通信的全部控制權(quán)155.2防火墻的原理代理服務(wù)型防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn):最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過(guò)濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。缺點(diǎn):最大缺點(diǎn)就是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。大多是基于主機(jī)的,價(jià)格比較貴,安裝和使用比數(shù)據(jù)包過(guò)濾的防火墻復(fù)雜。165.3防火墻的選擇和使用

5.3.1防火墻的選擇原則

5.3.2防火墻產(chǎn)品的分類(lèi)

5.3.3防火墻產(chǎn)品的介紹175.3.1防火墻的選擇原則網(wǎng)絡(luò)的安全性主要是指網(wǎng)絡(luò)信息的安全性和網(wǎng)絡(luò)路由的安全性。網(wǎng)絡(luò)路由的安全性保障了網(wǎng)絡(luò)信息的安全性,而網(wǎng)絡(luò)路由的安全性通??捎煞阑饓?shí)現(xiàn)。所以選擇防火墻首先要確定網(wǎng)絡(luò)信息的保護(hù)策略,然后對(duì)防火墻進(jìn)行評(píng)價(jià)、分析,最后決定采用什么樣的防火墻。

1要考慮網(wǎng)絡(luò)結(jié)構(gòu)2要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)需求3要考慮用戶及通信流量規(guī)模方面的需求4要考慮到可靠性、可用性、易用性等方面的需求5.3防火墻的選擇和使用18

5.3.2防火墻產(chǎn)品的分類(lèi)按組成結(jié)構(gòu)而言,將防火墻產(chǎn)品分為以下三種:軟件防火墻軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專(zhuān)用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻,他們都基于PC架構(gòu)。

芯片級(jí)防火墻

基于專(zhuān)門(mén)的硬件平臺(tái),沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快,處理能力更強(qiáng),性能更高。

5.3防火墻的選擇和使用

195.3.3防火墻產(chǎn)品的介紹1CheckpointFirewall-1防火墻2SonicWALL系列防火墻3NetScreen防火墻4AlkatelInternetDevices系列防火墻5北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻6NAIGauntlet防火墻7CiscoPIX防火墻5.3防火墻的選擇和使用

20CheckpointFirewall-1防火墻是一個(gè)綜合的、模塊化的安全套件,它是一個(gè)基于策略的解決方案。CPFirewall-1套件提供單一的、集中的分布式安全策略,跨越Unix、NT、路由器、交換機(jī)和其他外圍設(shè)備,提供大量的API,有100多個(gè)解決方案和OEM廠商的支持。由3個(gè)交互操作的組件構(gòu)成:控制組件、加強(qiáng)組件和可選組件。這些組件既可以運(yùn)行在單機(jī)上,也可以部署在跨平臺(tái)系統(tǒng)上。操作在操作系統(tǒng)的核心層進(jìn)行,而不是在應(yīng)用程序?qū)?,這樣可以使系統(tǒng)達(dá)到最高性能的擴(kuò)展和升級(jí)。支持基于Web的多媒體和基于UDP的應(yīng)用程序,并采用多重驗(yàn)證模板和方法。支持幾乎所有平臺(tái),但價(jià)格偏高。5.3防火墻的選擇和使用21SonicWALL系列防火墻SonicWALL系列防火墻是在NASDAQ上市的美國(guó)SONICWALL公司的著名網(wǎng)絡(luò)安全產(chǎn)品,是目前全球銷(xiāo)量最大的硬件防火墻和市場(chǎng)占有率最高的硬件VPN產(chǎn)品。SonicWALL采用軟硬件一體化設(shè)計(jì),在高性能硬件平臺(tái)上,利用先進(jìn)的防火墻技術(shù)和SonicWALL專(zhuān)有的安全高效的實(shí)時(shí)操作系統(tǒng)。采用世界領(lǐng)先的加密算法、身份認(rèn)證技術(shù)以及網(wǎng)絡(luò)防病毒技術(shù),是一個(gè)強(qiáng)大的,集應(yīng)用級(jí)防火墻、入侵報(bào)警、內(nèi)容過(guò)濾、VPN、網(wǎng)絡(luò)防病毒等多種安全策略為一體的,穩(wěn)定可靠的高性能網(wǎng)絡(luò)安全系統(tǒng)。具有優(yōu)秀的性價(jià)比。5.3防火墻的選擇和使用

22NetScreen

防火墻是NetScreen科技公司推出的一種新型的網(wǎng)絡(luò)安全硬件產(chǎn)品,具有Trusted(可信端口)、Untrusted(非信任端口)、Optional(可選端口)三個(gè)J-45網(wǎng)絡(luò)接口,配有PCMCIA插槽,支持10MB、20MB、40MB和150MB快閃存儲(chǔ)器。優(yōu)勢(shì)之一是采用了新的體系結(jié)構(gòu),可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸,能實(shí)現(xiàn)最高級(jí)別的IP安全保護(hù)。在執(zhí)行效率和帶寬處理的能力上性能優(yōu)越。

AlkatelInternetDevices系列防火墻采用獨(dú)有的ASIC設(shè)計(jì)和基于Intel的FreeBSDUnix平臺(tái),使用簡(jiǎn)單易行,配置簡(jiǎn)單。率先提供了100MB的吞吐能力和無(wú)用戶數(shù)限制,并支持64000個(gè)并發(fā)會(huì)話,有效地消除了軟件防火墻的性能瓶頸,達(dá)到了安全和性能的統(tǒng)一。5.3防火墻的選擇和使用

23北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻是我國(guó)第一套自主版權(quán)的防火墻系統(tǒng),目前在我國(guó)電信、電子、教育、科研等單位廣泛使用。它由防火墻和管理器組成。其中,防火墻由多個(gè)模塊組成,包括包過(guò)濾、應(yīng)用代理、NAT、VPN、防攻擊等功能模塊,各模塊可分離、裁剪和升級(jí),以滿足不同用戶的需求。在體系結(jié)構(gòu)上,網(wǎng)絡(luò)衛(wèi)士采用了集中控制下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu),性能好、配置靈活。采用了領(lǐng)先一步的SSN(安全服務(wù)器網(wǎng)絡(luò))技術(shù),安全性高于其他防火墻普遍采用的DMZ(隔離區(qū))技術(shù)。NAIGauntlet防火墻使用完全的代理服務(wù)方式提供廣泛的協(xié)議支持以及高速的吞吐能力,很好地解決了安全、性能及靈活性之間的協(xié)調(diào)問(wèn)題。Gauntlet防火墻的新型自適應(yīng)代理技術(shù)還允許單個(gè)安全產(chǎn)品,如安全脆弱性掃描器、病毒安全掃描器和入侵防護(hù)傳感器之間實(shí)現(xiàn)更加靈活的集成。5.3防火墻的選擇和使用

24CiscoPIX防火墻是最具代表性的硬件防火墻,屬狀態(tài)檢測(cè)型。由于它采用了自有的實(shí)時(shí)嵌入式操作系統(tǒng),因此減少了黑客利用操作系統(tǒng)BUG攻擊的可能性。就性能而言,CiscoPIX是同類(lèi)硬件防火墻產(chǎn)品中最好的,對(duì)100BaseT可達(dá)線速。但是,其優(yōu)勢(shì)在軟件防火墻面前便不呈現(xiàn)不明顯了。其缺陷主要有三:其一價(jià)格昂貴,其二升級(jí)困難,其三是管理煩瑣復(fù)雜。5.3防火墻的選擇和使用

255.4分布式防火墻技術(shù)

5.4.1分布式防火墻的產(chǎn)生5.4.2傳統(tǒng)邊界式防火墻的固有欠缺5.4.3分布式防火墻的主要特點(diǎn)5.4.4分布式防火墻的主要優(yōu)勢(shì)5.4.5分布式防火墻的基本原理5.4.6分布式防火墻的主要功能

265.4.1分布式防火墻的產(chǎn)生

傳統(tǒng)意義上的邊界防火墻用于限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))之間相互進(jìn)行信息存取、傳遞操作。分布式防火墻是一種主機(jī)駐留式的安全系統(tǒng),用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。分布式防火墻克服了操作系統(tǒng)所具有的已知及未知的安全漏洞,如DoS(拒絕服務(wù))、應(yīng)用及口令攻擊。從而使操作系統(tǒng)得到強(qiáng)化。分布式防火墻對(duì)每個(gè)服務(wù)器都能進(jìn)行專(zhuān)門(mén)的保護(hù)。5.4分布式防火墻技術(shù)27

5.4.2傳統(tǒng)邊界式防火墻的固有欠缺

網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制內(nèi)部安全隱患仍在效率較低和故障率高5.4分布式防火墻技術(shù)28

5.4.3分布式防火墻的主要特點(diǎn)主機(jī)駐留嵌入操作系統(tǒng)內(nèi)核類(lèi)似于個(gè)人防火墻適用于服務(wù)器托管5.4分布式防火墻技術(shù)295.4.4分布式防火墻的主要優(yōu)勢(shì)更強(qiáng)的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論