学习情景2网络通信安全构建

新世纪高职高专电子商务类课程规划教材电子商务安全技术与应用主编梁永生e2020/12/191电子商务安全技术与应用学习情境1客户端安全设置新世纪高职高专电子商务类课程规划教材学习情境2网络通信安全构建学习情境3信息传输安全构建学习情境4服务器安全设置学习情境5电子支付安全实现2020/12/192学习情境描述

子学习情境1

防火墙技术目录新世纪高职高专电子商务类课程规划教材学习情境2网络通信安全构建子学习情境2

入侵检测技术子学习情境3

VPN技术2020/12/193防火墙技术学习情境2子学习情境1子学习情境任务描述电子商务中的网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等众多学科的综合技术体系。本部分重点阐述网络通信安全原理和实践技术，主要内容包括:网络设备安全、防火墙、网络病毒等内容。通过本子学习情境的学习，了解网络设备的安全技术，掌握防火墙技术，熟悉网络病毒的防范技术，在基本的电子商务交易过程中，具备实施网络设备的安全技术、防火墙技术和网络病毒的防范技术的能力。2020/12/194防火墙技术学习情境2子学习情境12.1.1网络通信协议

TCP/IP是用于计算机通信的一组协议，我们通常称它为TCP/IP协议族。它是20世纪70年代中期美国国防部为其ARPANET广域网开发的网络体系结构和协议标准，以它为基础组建的Internet是目前国际上规模最大的计算机网络，正因为Internet的广泛使用，使得TCP/IP成了事实上的标准。2020/12/195防火墙技术学习情境2子学习情境12.1.1网络通信协议图2-1OSI模型结构2020/12/196防火墙技术学习情境2子学习情境12.1.2网络设备安全

在网络设备和网络应用市场蓬勃发展的带动下，近年来网络安全市场迎来了高速发展期。一方面，随着网络的延伸，网络规模迅速扩大，安全问题变得日益复杂，建设可管、可控、可信的网络是进一步推进网络应用发展的前提;另一方面，随着网络所承载的业务日益复杂，保证应用层安全是网络安全发展的新方向。2020/12/197防火墙技术学习情境2子学习情境12.1.2网络设备安全

1.交换机安全（1）病毒过滤技术

（2）基于ACL的报文过滤技术

（3）CPU过载保护技术（4）广播风暴控制功能

（5）VLAN技术

（6）基于802.1x的接入控制技术

（7）交换机与入侵检测系统（IDS）的联动

2020/12/198防火墙技术学习情境2子学习情境12.1.2网络设备安全

2.路由器安全所谓“路由”，是指把数据从一个地方传送到另一个地方的行为和动作，而路由器，正是执行这种行为和动作的机器，其英文名称为Router。路由器的基本功能如下：（1）网络互联，路由器支持各种局域网和广域网接口，主要用于互联局域网和广域网，实现不同网络之间的互相通信。（2）数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。（3）网络管理，路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。2020/12/199防火墙技术学习情境2子学习情境12.1.3防火墙技术

电子商务系统是基于Internet的，它方便了企业内部之间以及企业与外部的信息交流，提高了工作效率。然而，一旦企业内部网连入Internet，就意味着Internet上的每个用户都有可能访问企业网。如果没有一个安全性保护措施，黑客们可能会在毫无觉察的情况下进入企业网，非法访问企业的资源。而防火墙就是保护企业内部网中信息安全的一项重要措施。2020/12/1910防火墙技术学习情境2子学习情境12.1.3防火墙技术

1.防火墙的概念防火墙是在内外网之间构筑的一道屏障，它是设置在内外网之间的隔离设备，用以保护内网中的信息、资源等不受来自外网中非法用户的侵犯，它控制内外网之间的所有数据流量，控制和防止内网中的有价值数据流人外网，也控制和防止来自外网的无用垃圾和有害数据流人入内网。简单地说，防火墙是一个全部进出内网的信息流量都必须经过的限制点，并由用户来控制通讯。良好的防火墙可以防止攻击者人侵并保护内部机密信息免于流出。2020/12/1911防火墙技术学习情境2子学习情境12.1.3防火墙技术

2.防火墙的构成防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理5部分，如图2-2所示。图2-2防火墙结构2020/12/1912防火墙技术学习情境2子学习情境12.1.3防火墙技术

3.防火墙的作用（1）可以限制用户进入内网，过滤掉不安全服务和非法用户（2）防止入侵者接近用户防御设施（3）限定用户访问特殊站点（4）为监视Internet安全提供方便2020/12/1913防火墙技术学习情境2子学习情境12.1.3防火墙技术

4.防火墙的种类防火墙可以划分为两类：标准防火墙和扩展防火墙。从实现原理上来分，防火墙可分为四类：网络级防火墙应用级网关电路级网关规则检查防火墙2020/12/1914防火墙技术学习情境2子学习情境12.1.3防火墙技术

5.防火墙技术传统意义上的防火墙技术分为三大类，即“包过滤（PacketFiltering）”、“应用代理”（ApplicationProxy）和“状态监视”（StateInspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。2020/12/1915防火墙技术学习情境2子学习情境1（1）包过滤技术包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（StaticPacketFiltering），使用包过滤技术的防火墙通常工作在OSI模型的网络层（NetworkLayer）上，后来发展更新的“动态包过滤”（DynamicPacketFiltering）使防火墙的工作范围增加到传输层（TransportLayer）。图2-3包过滤防火墙系统2020/12/1916防火墙技术学习情境2子学习情境1（2）应用代理技术由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除其危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（Applicationproxy）技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。图2-3包过滤防火墙系统2020/12/1917防火墙技术学习情境2子学习情境1（3）状态监视技术状态监视技术是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（DeepPacketInspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行检测，并根据各种过滤规则做出安全决策。2020/12/1918入侵检测技术学习情境2子学习情境2子学习情境任务描述防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，入侵检测是继防火墙之后的又一道防线。通过本子学习情境的学习，要求学生掌握入侵检测系统的相关技术，具备构建基于电子商务网站的入侵检测系统的能力。2020/12/1919入侵检测技术学习情境2子学习情境22.2.1入侵检测系统及其功能

1.入侵检测系统入侵检测就是对计算机网络和计算机系统的关键结点的信息收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知网络管理员。入侵检测（IntrusionDetection）技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。2020/12/1920入侵检测技术学习情境2子学习情境22.2.1入侵检测系统及其功能

1.入侵检测系统入侵检测系统（IntrusionDetectionSystem）定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的软件、硬件系统。图2-5入侵检测系统模型2020/12/1921入侵检测技术学习情境2子学习情境22.2.1入侵检测系统及其功能

2.入侵检测系统的功能（1）监视用户和系统的运行状态，查找非法用户和合法用户的越权操作。（2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。（3）对用户的非正常活动进行统计分析，发现入侵行为的规律。（4）系统程序和数据的一致性与正确性检查。（5）识别攻击的活动模式，并向网管人员报警。（6）操作系统审计跟踪管理，识别违反政策的用户活动。2020/12/1922入侵检测技术学习情境2子学习情境22.2.2入侵检测系统的分类NIDSSIVLFMHoneypots2020/12/1923入侵检测技术学习情境2子学习情境22.2.3入侵检测系统的优点（1）可以检测和分析系统事件以及用户的行为；（2）可以测试系统设置的安全状态；（3）以系统的安全状态为基础，跟踪任何对系统安全的修改行为；（4）通过模式识别等技术从通信行为中检测出已知的攻击行为；（5）可以对网络通信行为进行统计，并进行检测分析；（6）管理操作系统认证和日志机制并对产生的数据进行分析处理；（7）在检测到攻击的时候，通过适当的方式进行适当的报警处理；（8）通过分析引擎的配置对网络的安全事件进行有效的处理。2020/12/1924入侵检测技术学习情境2子学习情境22.2.4入侵检测技术的发展方向1.分布式入侵检测2.智能化入侵检测3.全面的安全防御方案2020/12/1925VPN技术学习情境2子学习情境3子学习情境任务描述虚拟专用网(VPN)是企业内部网在Internet上的延伸，通过一个专用通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来，构成一个扩展的企业内部网。通过本子学习情境的学习，了解基于VPN技术的安全电子商务交易环境，具备基于特定软件构建虚拟专用网的能力。2020/12/1926VPN技术学习情境2子学习情境32.3.1VPN简介虚拟专用网络（VPN）技术是一种在公用互联网络上构造企业专用网络的技术。通过VPN技术，可以实现企业不同网络的组件和资源之间的相互连接，它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障的。虚拟专用网络允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设计，以安全的方式与位于企业内部网内的服务器建立连接。

“虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用网络服务提供商所提供的公共网络来实现远程的广域网连接的。2020/12/1927VPN技术学习情境2子学习情境32.3.1VPN简介图2-6虚拟专用网结构2020/12/1928VPN技术学习情境2子学习情境32.3.1VPN简介VPN建立结构如图2-7所示：用户PSTN用户TCP/IPVPNServer图2-7VPN建立结构2020/12/1929VPN技术学习情境2子学习情境32.3.2VPN的核心技术——隧道技术

1.隧道技术基础现代计算机网络都是基于包交换（亦称分组交换）的，不同类型的网络支持不同的网络通信协议,传送不同格式的包。隧道技术（又称封装）是将一个网络传出的数据包加一个新的包头（可能还要加一个新的包尾），这样原先的数据包就成了新的数据包的负载，就可能在新的网络中继续通行了。在VPN中隧道技术用于运载私用网络中的数据包，使其通过并不直接支持私用网络协议的公共互联网络。2020/12/1930VPN技术学习情境2子学习情境32.3.2VPN的核心技术——隧道技术

1.隧道技术基础

VPN中的隧道技术是一种通过使用互联网络的基础设施在私用网络之间或私用网络与特定主机之间传递数据的方式。这里所说的互联网络可以是任何类型的公共互联网络，也可以是一个连接了多个子网的规模较大的企业内部网络。当然，通过不同互联网络的数据隧道会有不同的数据包格式和不同的处理方式。2020/12/1931VPN技术学习情境2子学习情境32.3.2VPN的核心技术——隧道技术

2.隧道技术的实现（1）用户验证隧道技术首先要求对用户进行验证。不同的隧道协议及不同的VPN实现有不同验证方法。第2层隧道协议继承了PPP协议的用户验证方式。第三层隧道协议IPSec协议则由ISAKMP（Interne安全连接和密钥管理协议）协商提供隧道端点之间进行的相互验证。2020/12/1932VPN技术学习情境2子学习情境32.3.2VPN的核心技术——隧道技术

2.隧道技术的实现（2）数据压缩与加密隧道技术对要传送的数据压缩与加密第2层隧道协议支持基于PPP的数据压缩和加密方式。IPSec通过ISAKMP/Oakley协商确定数据压缩和加密方法。保障隧道客户端和服务器之间数据流的安全。2020/12/1933VPN技术学习情境2子学习情境32.3.2VPN的核心技术——隧道技术

2.隧道技术的实现（3）密钥管理第2层协议验证用户时生成的密钥，并定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥