电子商务网站常用防御方法PPT课件

1 第9章电子商务网站常用防御方法 9 1防火墙9 2非军事区域9 3虚拟专用网 VPN 9 4入侵检测系统 IDS 9 5认证 2 9 1防火墙 Firewall 9 1 1防火墙的工作原理9 1 2防火墙规则集 3 9 1 1防火墙的工作原理 防火墙主要有三种类型 包过滤防火墙 代理服务器防火墙 应用层防火墙 4 1 包过滤防火墙 1 包过滤防火墙 5 请求请求转发答复答复服务器 2 代理服务器防火墙 6 采用为每种所需服务在网关上安装专用程序代码 否则该服务就不支持且不能通过防火墙来转发 另外 应用网关也可以通过配置专用程序代码来支持应用程序的特定服务 应用网关防火墙允许用户访问代码服务 但绝对不能允许让用户登陆到该网关上 否则该用户就有可能获得Root权限 从而通过安装特洛伊木马来截获登陆口令 并修改防火墙的安全配置 直接攻击防火墙 3 应用层网关防火墙 7 9 1 2防火墙规则集 1 先摆出 拒绝一切 的姿态 2 常见通信的常用端口 3 将伪代码转换成防火墙规则 4 协议和风险 作出最佳决策 8 9 2非军事区域 DMZ 9 2 1DMZ的概念9 2 2非军事区域的设置9 2 3电子商务非军事区域的实现9 2 4多区网络存在的问题 9 9 2 1DMZ的概念 为不信任系统提供服务的孤立网段 允许公众Internet访问的系统就位于这儿 并得到了一些基本的防止攻击的保护 它是两个放火墙之间的网段 或是连接防火墙的 死端 的网络 10 WEB应用程序服务器DMZ 9 2 2非军事区域的设置 防火墙 Internet企业内部网 11 可在下列系统中装入非军事区域 DMZ 1 载有公共信息的网络服务器 2 与电子商务交易服务器连接的前端机 该前端机用来接收客户定单 存放客户资料的后端应置于防火墙之后 3 把外来电子邮件中转至内部的邮件服务器 4 可据以进入内部网络的证书服务及服务器 5 虚拟专用网络上的各端点 6 应用 层 网关 7 测试及登录服务器 12 9 2 3电子商务非军事区域的实现 INTERNET 受保护网络 防火墙 WEB和邮件服务器 金融处理网络 数据存储网络 13 对多区网络确实存在一些常见问题 由于它们的性质 它们难于实现 保护和管理 防火墙规则集通常庞大 动态和混乱 实现起来也是费力和浪费资源的 9 2 4多区网络存在的问题 14 9 3虚拟专用网 VPN 9 3 1VPN技术9 3 2IPSec协议 15 9 3 1VPN技术 VPN通常被定义为通过一个公共网络建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全的 稳定的隧道 它是对企业内部网的扩展 VPN可以帮助远程用户 公司分支机构 商业伙伴及供应商与公司的内部网建立可信的安全连接 并保证数据的安全传输 通过将数据流移到低成本的IP网上 一个企业的VPN解决方案将大幅度地减少用户花费在WAN上和远程网络连接上的费用 16 9 3 1VPN技术 同时 着将简化网络的设计和管理 加速连接新的用户和网站 另外 它还可以保护现有的网络投资 随着用户的商业服务不断发展 企业的VPN解决方案可以使用户把精力集中到自己的生意上 而不是网络上 VPN可用于不断增长的移动用户的全球Internet接入 以实现安全连接 可用于建立网站之间安全通信的虚拟专用线路 以连接到商业伙伴和用户的安全外连网VPN 17 IPSec包括两部分 1 IPsecurityProtocolproper 定义IPSec报文格式 2 ISAKMP Oakley 负责加密通信协商 IPSec提供两种加密通信手段 1 IPSecTunnel 整个IP封装在IPSec报文 提供IPSecgateway之间的通信 2 IPSectransport 对IP包内的数据进行加密 使用原来的源地址和目的地址 9 3 2IPSec协议 18 9 4入侵检测系统 IDS 9 4 1入侵检测概念9 4 2基于主机的IDS9 4 2基于网络的IDS9 4 4入侵检测系统发展方向 19 9 4 1入侵检测概念 1 入侵检测概念通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析 以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象 2 分类 根据被监控对象的不同分为 基于主机的IDS基于网络的IDS 20 9 4 2基于主机的IDS 主要应用于运行关键应用层的服务器 它是早期的入侵检测系统 其主要目标市检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为 21 9 4 3网络的IDS 基于网络的入侵检测IDS放置在比较重要的网段内 不停地监视网段中的各种数据包 对没 每一个数据包或可疑的数据包进行分析 如果数据包与产品内置的某些规则吻合 入侵检测系统认为受到攻击 就会发出通知 警报甚至直接切断网络连接 22 9 4 4入侵检测技术发展方向 1 入侵或攻击的综和化与复杂化 2 入侵主体的间接化 3 入侵或攻击的规模扩大 4 入侵或攻击技术的分布化 5 攻击对象的转移 23 9 5认证 9 5 1第三方认证9 5 2PKI的组成9 5 3证书认证机构9 5 4PKI应用 24 9 5 1第三方认证 PKI采用证书进行公钥管理 通过第三方的可信任机构 把用户的公钥和用户的其他标识信息捆绑在一起 其中包括用户名和电子邮件地址等信息 以便在Internet网上验证用户的身份 25 9 5 2PKI的组成 PKI应用 注册机构RA 证书发布系统 注册机构CA PKI策略 硬软件系统 26 9 5 3证书认证机构CA 1 数字证书基础2 发行证书的CA签名3 CA框架