學(xué)習(xí)情景2網(wǎng)絡(luò)通信安全構(gòu)建

新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材電子商務(wù)安全技術(shù)與應(yīng)用主編梁永生e2020/12/191電子商務(wù)安全技術(shù)與應(yīng)用學(xué)習(xí)情境1客戶端安全設(shè)置新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建學(xué)習(xí)情境3信息傳輸安全構(gòu)建學(xué)習(xí)情境4服務(wù)器安全設(shè)置學(xué)習(xí)情境5電子支付安全實現(xiàn)2020/12/192學(xué)習(xí)情境描述

子學(xué)習(xí)情境1

防火墻技術(shù)目錄新世紀(jì)高職高專電子商務(wù)類課程規(guī)劃教材學(xué)習(xí)情境2網(wǎng)絡(luò)通信安全構(gòu)建子學(xué)習(xí)情境2

入侵檢測技術(shù)子學(xué)習(xí)情境3

VPN技術(shù)2020/12/193防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境1子學(xué)習(xí)情境任務(wù)描述電子商務(wù)中的網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等眾多學(xué)科的綜合技術(shù)體系。本部分重點闡述網(wǎng)絡(luò)通信安全原理和實踐技術(shù)，主要內(nèi)容包括:網(wǎng)絡(luò)設(shè)備安全、防火墻、網(wǎng)絡(luò)病毒等內(nèi)容。通過本子學(xué)習(xí)情境的學(xué)習(xí)，了解網(wǎng)絡(luò)設(shè)備的安全技術(shù)，掌握防火墻技術(shù)，熟悉網(wǎng)絡(luò)病毒的防范技術(shù)，在基本的電子商務(wù)交易過程中，具備實施網(wǎng)絡(luò)設(shè)備的安全技術(shù)、防火墻技術(shù)和網(wǎng)絡(luò)病毒的防范技術(shù)的能力。2020/12/194防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.1網(wǎng)絡(luò)通信協(xié)議

TCP/IP是用于計算機通信的一組協(xié)議，我們通常稱它為TCP/IP協(xié)議族。它是20世紀(jì)70年代中期美國國防部為其ARPANET廣域網(wǎng)開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議標(biāo)準(zhǔn)，以它為基礎(chǔ)組建的Internet是目前國際上規(guī)模最大的計算機網(wǎng)絡(luò)，正因為Internet的廣泛使用，使得TCP/IP成了事實上的標(biāo)準(zhǔn)。2020/12/195防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.1網(wǎng)絡(luò)通信協(xié)議圖2-1OSI模型結(jié)構(gòu)2020/12/196防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.2網(wǎng)絡(luò)設(shè)備安全

在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場蓬勃發(fā)展的帶動下，近年來網(wǎng)絡(luò)安全市場迎來了高速發(fā)展期。一方面，隨著網(wǎng)絡(luò)的延伸，網(wǎng)絡(luò)規(guī)模迅速擴大，安全問題變得日益復(fù)雜，建設(shè)可管、可控、可信的網(wǎng)絡(luò)是進(jìn)一步推進(jìn)網(wǎng)絡(luò)應(yīng)用發(fā)展的前提;另一方面，隨著網(wǎng)絡(luò)所承載的業(yè)務(wù)日益復(fù)雜，保證應(yīng)用層安全是網(wǎng)絡(luò)安全發(fā)展的新方向。2020/12/197防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.2網(wǎng)絡(luò)設(shè)備安全

1.交換機安全（1）病毒過濾技術(shù)

（2）基于ACL的報文過濾技術(shù)

（3）CPU過載保護(hù)技術(shù)（4）廣播風(fēng)暴控制功能

（5）VLAN技術(shù)

（6）基于802.1x的接入控制技術(shù)

（7）交換機與入侵檢測系統(tǒng)（IDS）的聯(lián)動

2020/12/198防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.2網(wǎng)絡(luò)設(shè)備安全

2.路由器安全所謂“路由”，是指把數(shù)據(jù)從一個地方傳送到另一個地方的行為和動作，而路由器，正是執(zhí)行這種行為和動作的機器，其英文名稱為Router。路由器的基本功能如下：（1）網(wǎng)絡(luò)互聯(lián)，路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。（2）數(shù)據(jù)處理，提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和防火墻等功能。（3）網(wǎng)絡(luò)管理，路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。2020/12/199防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

電子商務(wù)系統(tǒng)是基于Internet的，它方便了企業(yè)內(nèi)部之間以及企業(yè)與外部的信息交流，提高了工作效率。然而，一旦企業(yè)內(nèi)部網(wǎng)連入Internet，就意味著Internet上的每個用戶都有可能訪問企業(yè)網(wǎng)。如果沒有一個安全性保護(hù)措施，黑客們可能會在毫無覺察的情況下進(jìn)入企業(yè)網(wǎng)，非法訪問企業(yè)的資源。而防火墻就是保護(hù)企業(yè)內(nèi)部網(wǎng)中信息安全的一項重要措施。2020/12/1910防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

1.防火墻的概念防火墻是在內(nèi)外網(wǎng)之間構(gòu)筑的一道屏障，它是設(shè)置在內(nèi)外網(wǎng)之間的隔離設(shè)備，用以保護(hù)內(nèi)網(wǎng)中的信息、資源等不受來自外網(wǎng)中非法用戶的侵犯，它控制內(nèi)外網(wǎng)之間的所有數(shù)據(jù)流量，控制和防止內(nèi)網(wǎng)中的有價值數(shù)據(jù)流人外網(wǎng)，也控制和防止來自外網(wǎng)的無用垃圾和有害數(shù)據(jù)流人入內(nèi)網(wǎng)。簡單地說，防火墻是一個全部進(jìn)出內(nèi)網(wǎng)的信息流量都必須經(jīng)過的限制點，并由用戶來控制通訊。良好的防火墻可以防止攻擊者人侵并保護(hù)內(nèi)部機密信息免于流出。2020/12/1911防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

2.防火墻的構(gòu)成防火墻主要包括安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和E-mail處理5部分，如圖2-2所示。圖2-2防火墻結(jié)構(gòu)2020/12/1912防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

3.防火墻的作用（1）可以限制用戶進(jìn)入內(nèi)網(wǎng)，過濾掉不安全服務(wù)和非法用戶（2）防止入侵者接近用戶防御設(shè)施（3）限定用戶訪問特殊站點（4）為監(jiān)視Internet安全提供方便2020/12/1913防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

4.防火墻的種類防火墻可以劃分為兩類：標(biāo)準(zhǔn)防火墻和擴展防火墻。從實現(xiàn)原理上來分，防火墻可分為四類：網(wǎng)絡(luò)級防火墻應(yīng)用級網(wǎng)關(guān)電路級網(wǎng)關(guān)規(guī)則檢查防火墻2020/12/1914防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境12.1.3防火墻技術(shù)

5.防火墻技術(shù)傳統(tǒng)意義上的防火墻技術(shù)分為三大類，即“包過濾（PacketFiltering）”、“應(yīng)用代理”（ApplicationProxy）和“狀態(tài)監(jiān)視”（StateInspection），無論一個防火墻的實現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴展的。2020/12/1915防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境1（1）包過濾技術(shù)包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過濾”（StaticPacketFiltering），使用包過濾技術(shù)的防火墻通常工作在OSI模型的網(wǎng)絡(luò)層（NetworkLayer）上，后來發(fā)展更新的“動態(tài)包過濾”（DynamicPacketFiltering）使防火墻的工作范圍增加到傳輸層（TransportLayer）。圖2-3包過濾防火墻系統(tǒng)2020/12/1916防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境1（2）應(yīng)用代理技術(shù)由于包過濾技術(shù)無法提供完善的數(shù)據(jù)保護(hù)措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除其危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護(hù)技術(shù)，在這樣的需求背景下，采用“應(yīng)用代理”（Applicationproxy）技術(shù)的防火墻誕生了。代理服務(wù)器作為一個為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。圖2-3包過濾防火墻系統(tǒng)2020/12/1917防火墻技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境1（3）狀態(tài)監(jiān)視技術(shù)狀態(tài)監(jiān)視技術(shù)是繼“包過濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展起來的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動態(tài)包過濾”技術(shù)發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（DeepPacketInspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行檢測，并根據(jù)各種過濾規(guī)則做出安全決策。2020/12/1918入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境2子學(xué)習(xí)情境任務(wù)描述防火墻只能對黑客的攻擊實施被動防御，一旦黑客攻入系統(tǒng)內(nèi)部，則沒有切實的防護(hù)策略，入侵檢測是繼防火墻之后的又一道防線。通過本子學(xué)習(xí)情境的學(xué)習(xí)，要求學(xué)生掌握入侵檢測系統(tǒng)的相關(guān)技術(shù)，具備構(gòu)建基于電子商務(wù)網(wǎng)站的入侵檢測系統(tǒng)的能力。2020/12/1919入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.1入侵檢測系統(tǒng)及其功能

1.入侵檢測系統(tǒng)入侵檢測就是對計算機網(wǎng)絡(luò)和計算機系統(tǒng)的關(guān)鍵結(jié)點的信息收集分析，檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知網(wǎng)絡(luò)管理員。入侵檢測（IntrusionDetection）技術(shù)是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。2020/12/1920入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.1入侵檢測系統(tǒng)及其功能

1.入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IntrusionDetectionSystem）定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的軟件、硬件系統(tǒng)。圖2-5入侵檢測系統(tǒng)模型2020/12/1921入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.1入侵檢測系統(tǒng)及其功能

2.入侵檢測系統(tǒng)的功能（1）監(jiān)視用戶和系統(tǒng)的運行狀態(tài)，查找非法用戶和合法用戶的越權(quán)操作。（2）檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。（3）對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。（4）系統(tǒng)程序和數(shù)據(jù)的一致性與正確性檢查。（5）識別攻擊的活動模式，并向網(wǎng)管人員報警。（6）操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。2020/12/1922入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.2入侵檢測系統(tǒng)的分類NIDSSIVLFMHoneypots2020/12/1923入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.3入侵檢測系統(tǒng)的優(yōu)點（1）可以檢測和分析系統(tǒng)事件以及用戶的行為；（2）可以測試系統(tǒng)設(shè)置的安全狀態(tài)；（3）以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對系統(tǒng)安全的修改行為；（4）通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為；（5）可以對網(wǎng)絡(luò)通信行為進(jìn)行統(tǒng)計，并進(jìn)行檢測分析；（6）管理操作系統(tǒng)認(rèn)證和日志機制并對產(chǎn)生的數(shù)據(jù)進(jìn)行分析處理；（7）在檢測到攻擊的時候，通過適當(dāng)?shù)姆绞竭M(jìn)行適當(dāng)?shù)膱缶幚?；?）通過分析引擎的配置對網(wǎng)絡(luò)的安全事件進(jìn)行有效的處理。2020/12/1924入侵檢測技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境22.2.4入侵檢測技術(shù)的發(fā)展方向1.分布式入侵檢測2.智能化入侵檢測3.全面的安全防御方案2020/12/1925VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境3子學(xué)習(xí)情境任務(wù)描述虛擬專用網(wǎng)(VPN)是企業(yè)內(nèi)部網(wǎng)在Internet上的延伸，通過一個專用通道來創(chuàng)建一個安全的專用連接，從而可將遠(yuǎn)程用戶、企業(yè)分支機構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的內(nèi)部網(wǎng)連接起來，構(gòu)成一個擴展的企業(yè)內(nèi)部網(wǎng)。通過本子學(xué)習(xí)情境的學(xué)習(xí)，了解基于VPN技術(shù)的安全電子商務(wù)交易環(huán)境，具備基于特定軟件構(gòu)建虛擬專用網(wǎng)的能力。2020/12/1926VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.1VPN簡介虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專用網(wǎng)絡(luò)的技術(shù)。通過VPN技術(shù)，可以實現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障的。虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通信方、銷售人員或企業(yè)分支機構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)內(nèi)的服務(wù)器建立連接。

“虛擬”的概念是相對傳統(tǒng)私人專用網(wǎng)絡(luò)的構(gòu)建方式而言的，對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號和專線連接來實現(xiàn)的，而VPN是利用網(wǎng)絡(luò)服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實現(xiàn)遠(yuǎn)程的廣域網(wǎng)連接的。2020/12/1927VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.1VPN簡介圖2-6虛擬專用網(wǎng)結(jié)構(gòu)2020/12/1928VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.1VPN簡介VPN建立結(jié)構(gòu)如圖2-7所示：用戶PSTN用戶TCP/IPVPNServer圖2-7VPN建立結(jié)構(gòu)2020/12/1929VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.2VPN的核心技術(shù)——隧道技術(shù)

1.隧道技術(shù)基礎(chǔ)現(xiàn)代計算機網(wǎng)絡(luò)都是基于包交換（亦稱分組交換）的，不同類型的網(wǎng)絡(luò)支持不同的網(wǎng)絡(luò)通信協(xié)議,傳送不同格式的包。隧道技術(shù)（又稱封裝）是將一個網(wǎng)絡(luò)傳出的數(shù)據(jù)包加一個新的包頭（可能還要加一個新的包尾），這樣原先的數(shù)據(jù)包就成了新的數(shù)據(jù)包的負(fù)載，就可能在新的網(wǎng)絡(luò)中繼續(xù)通行了。在VPN中隧道技術(shù)用于運載私用網(wǎng)絡(luò)中的數(shù)據(jù)包，使其通過并不直接支持私用網(wǎng)絡(luò)協(xié)議的公共互聯(lián)網(wǎng)絡(luò)。2020/12/1930VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.2VPN的核心技術(shù)——隧道技術(shù)

1.隧道技術(shù)基礎(chǔ)

VPN中的隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在私用網(wǎng)絡(luò)之間或私用網(wǎng)絡(luò)與特定主機之間傳遞數(shù)據(jù)的方式。這里所說的互聯(lián)網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò)，也可以是一個連接了多個子網(wǎng)的規(guī)模較大的企業(yè)內(nèi)部網(wǎng)絡(luò)。當(dāng)然，通過不同互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)隧道會有不同的數(shù)據(jù)包格式和不同的處理方式。2020/12/1931VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.2VPN的核心技術(shù)——隧道技術(shù)

2.隧道技術(shù)的實現(xiàn)（1）用戶驗證隧道技術(shù)首先要求對用戶進(jìn)行驗證。不同的隧道協(xié)議及不同的VPN實現(xiàn)有不同驗證方法。第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗證方式。第三層隧道協(xié)議IPSec協(xié)議則由ISAKMP（Interne安全連接和密鑰管理協(xié)議）協(xié)商提供隧道端點之間進(jìn)行的相互驗證。2020/12/1932VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.2VPN的核心技術(shù)——隧道技術(shù)

2.隧道技術(shù)的實現(xiàn)（2）數(shù)據(jù)壓縮與加密隧道技術(shù)對要傳送的數(shù)據(jù)壓縮與加密第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮和加密方式。IPSec通過ISAKMP/Oakley協(xié)商確定數(shù)據(jù)壓縮和加密方法。保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全。2020/12/1933VPN技術(shù)學(xué)習(xí)情境2子學(xué)習(xí)情境32.3.2VPN的核心技術(shù)——隧道技術(shù)

2.隧道技術(shù)的實現(xiàn)（3）密鑰管理第2層協(xié)議驗證用戶時生成的密鑰，并定期對其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰