第五章电子商务网站常用防御方法课件

第五章电子商务网站常用防御方法

2023/7/241电子商务安全

本章主要内容：本章主要内容：●防火墙(Firewall)工作原理●非军事区域(DMZ)概念●虚拟专用网(VPN)●入侵检测系统(IDS)●认证2023/7/242电子商务安全

一、防火墙(Firewan)(一)防火墙的工作原理所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙主要有三种类型：包过滤防火墙、代理服务器防火墙和应用层网关防火墙。2023/7/243电子商务安全1．包过滤防火墙包过滤防火墙主要有两种实现方式：基于路由器的防火墙和基于独立运行软件(如PacketFilter)的防火墙。下面主要介绍基于路由器的防火墙。包是网络上信息流动的单位。每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址的信息。优点：透明性好，简单易用，费用低。缺点：设置繁多，易留下安全漏洞。2023/7/244电子商务安全1．包过滤防火墙包过滤路由器防火墙可能遇到的攻击方式：(1)源IP地址欺骗(2)源路由攻击(3)微小碎片攻击包过滤防火墙

2023/7/245电子商务安全2．代理服务器(ProxyServer)防火墙在Internet网络和Intranet互连时，广泛采用一种称为代理服务的工作方式，使Internet用户在访问Intranet的同时，提供的是一种类似网关的代理服务器型防火墙。优点：代理服务可提供详细的日志(Log)和审计(Audit)记录，提高了网络的安全性和可靠性。缺点：不能处理高负荷通信量，且对用户的透明性不好。2023/7/246电子商务安全3．应用层网关防火墙应用层网关防火墙可使网络管理员实现比包过滤路由器防火墙更严格的安全策略。应用层网关不使用包过滤工具来限制Internet服务进出防火墙系统，而是采用为每种所需服务在网关上安装专用程序代码，否则该服务就不被支持且不能通过防火墙来转发。网络的安全性比较高。过程复杂、费用比较高、透明性差、限制严格，使用带来不便。2023/7/247电子商务安全(二)防火墙规则集设计规则集的基本过程：1．拒绝一切未特别允许的连接彻底分析每个系统和网段确定实现它们的功能所需要的服务和连接。2．常见通信的常用端口确定每个服务器和网段需要什么端口和协议。3．将伪代码转换成防火墙规则查看手册，确定特定的方法和要求。4．协议和风险：作出最佳决策需要保证只允许了必要的协议，并且只能用于需要它们的服务器和网段。2023/7/248电子商务安全二、非军事区域(DMZ)(一)DMZ的概念(二)非军事区域的设置(三)电子商务非军事区域的实现(四)多区网络存在的问题2023/7/249电子商务安全(一)DMZ的概念DMZ(demilitarizedzone)的定义：是指为不信任系统提供服务的孤立网段，它是两个防火墙之间的网段。DMZ网段的创建方法通常有两种。1.两个防火墙的DMZ

系统放置在有不同规则的两个防火墙之间，这就能允许Internet上的系统连接到DMZ系统提供的服务，但不能连接到企业内部网段(通常叫做受保护网络)中的电脑。2023/7/2410电子商务安全二、非军事区域(DMZ)图示为：两个防火墙的DMZ2023/7/2411电子商务安全二、非军事区域(DMZ)2.单个防火墙的DMZ（如上图）实现DMZ网段的方法是在防火墙上实际增加第三个接口，并将DMZ系统放置在那个网段。允许同一个防火墙管理Internet。降低了硬件的花费，集中了网络的规则集，使管理和处理问题更容易。现在已成为创建DMZ网段的主要方法。2023/7/2412电子商务安全DMZ目的：就是把敏感的内部网络和其他提供访问服务的网络分离开，为网络层提供深度的防御。DMZ作用：防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反，在Internet和企业内部网之间的通信数据通常是不受限制的。2023/7/2413电子商务安全(二)非军事区域的设置

安全的DMZ配置2023/7/2414电子商务安全(二)非军事区域的设置DMZ是放置公共信息的最佳位置，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息，而不用通过内部网。企业的机密和私人的信息可以安全地存放在内部网中，即DMZ的后面。2023/7/2415电子商务安全(二)非军事区域的设置可以在下列系统中装入非军事区域(DMZ)安全网络：①载有公共信息的网络服务器。②与电子商务交易服务器相连接的前端机，该前端机用来接收客户订单。存放客户资料的后端应置于防火墙之后。③把外来电子邮件中转至内部的邮件服务器。④可据此进入内部网络的证书服务及服务器。⑤虚拟专用网络上的各端点。⑥应用(层)网关。⑦测试及登录服务器(根据系统要求或用户请求，使数据从一个脱机或优先权低的设备返回到一个联机的或优先权高的设备的过程)。2023/7/2416电子商务安全(三)电子商务非军事区域的实现网络存储顾客信息和金融数据与存储商业处理的普通信息的需求是不同的。很多网站通过实现一个多网段结构来更好地管理和安全化商业信息。第一个网段是用于信息存储的，第二个网段则是特别用于商业信息的处理的。电子商务系统中DMZ的实现2023/7/2417电子商务安全(四)多区网络存在的问题随着网站的成长，要提供新的功能，可能需要建立新的区。重复上面的过程，建立管理这些新网段的规则集。注意事项：一定要监视和检查任何变动，备份旧的规则集以备紧急的时候需要回复过去。管理原则：创建和管理诸如防火墙、IDS入侵检测系统（即IntrusionDetectionSystem）签名和用户访问规则之类的安全控制是个很大的任务，在不损害安全和可用性的前提下要尽可能地简化这些过程。2023/7/2418电子商务安全2023/7/2419电子商务安全三、虚拟专用网(VPN)InternetIntranet内部网信息防火墙VPN2023/7/2420电子商务安全三、虚拟专用网(VPN)虚拟专用网（VPN）目的：通过Internet或其他线路(如私有网络和租用的线路等)在公司外地雇员、驻外机构、公司总部及其相关企业和组织机构之间建立一个信息传输的安全通道，以保证所传输信息的安全性和完整性，并设置用户对特定资源的访问权限。2023/7/2421电子商务安全三、虚拟专用网(VPN)(一)技术(二)IPSec协议2023/7/2422电子商务安全(一)VPN技术VPN（VirtualPrivateNetwork

，即虚拟专用网络）概念：通过一个公共网络(通常是Internet)建立一个临时的、安全的与内网的连接。作用：①安全连接。可以帮助远程用户与公司的内部网建立可信的安全连接，并保证数据的安全传输。②成本较低。即大幅度地减少用户花费在WAN上和远程网络连接上的费用。③管理方便。使用VPN将简化网络的设计和管理，加速连接新的用户和网站。④网络结构灵活。可以保护现有的网络投资。2023/7/2423电子商务安全(一)VPN技术VPN的功能：

①加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。

②信息认证和身份认证。保证信息的完整性、合法性，并能鉴别用户的身份。

③提供访问控制。不同的用户有不同的访问权限。

2023/7/2424电子商务安全(一)VPN技术VPN采用了多种安全技术和网络技术：

①安全隧道技术(SecureTunnelingTechnology)。将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送人公共网络(如Internet)中，像普通数据包一样传输。经过这样的处理，只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理，其他用户看到的只是无意义的信息，就像是在源端和目标端的用户之间建立了一个安全的信息专用隧道。

2023/7/2425电子商务安全(一)VPN技术隧道模式的VPN框架

2023/7/2426电子商务安全(一)VPN技术②用户认证技术(UserAuthenticationTechnology)。在隧道连接开始之前需要确认用户的身份，以便于系统进一步实施资源访问控制或用户授权。③访问控制技术(AccessControlTechnology)。由VPN服务的提供者与最终网络信息资源的提供者共同确定特定用户对特定资源的访问权限，以此实现基于用户访问的访问控制，以实现对信息资源的最大限度的保护。2023/7/2427电子商务安全(一)VPN技术隧道模式的VPN框架示意图VPN隧道组成：

①一个隧道启动器；②一个路由网络(Internet)；③一个可选的隧道交换机；④一个或多个隧道终结器。2023/7/2428电子商务安全(二)IPSec协议IPsec主要提供IP网络层上的加密通信能力。IPsec组成：(1)IPsecurityProtocolproper，定义IPsec报文格式。(2)ISAKMP／Oakley，负责加密通信协商。2023/7/2429电子商务安全(二)IPSec协议IPsec采用的加密通信手段：(1)IPsecTunnel：整个IP封装在Ipsec报文。提供IPsecgateway之间的通信。(2)IPsectransport：对IP包内的数据进行加密，使用原来的源地址和目的地址。2023/7/2430电子商务安全四、入侵检测系统(IDS)

（即IntrusionDetectionSystem）(一)入侵检测概念(二)基于主机的IDS(三)基于网络的IDS(四)入侵检测技术发展方向2023/7/2431电子商务安全(一)入侵检测概念概念:通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。作用：入侵检测是对防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。2023/7/2432电子商务安全(一)入侵检测概念主要任务:①监视、分析用户及系统活动；②系统构造和弱点的审计；③识别反映已知进攻的活动模式并向相关人士报警；④异常行为模式的统计分析；⑤评估重要系统和数据文件的完整性；⑥操作系统的审计跟踪管理，并识别用户违反安全策略的行为。2023/7/2433电子商务安全(二)基于主机的IDS基于主机的IDS主要用于运行关键应用层的服务器，它是早期的入侵检测系统。主要目标：是检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为。检测原理：是根据系统审计记录和系统日志文件、应用程序日志、目录和文件的不期望改变、程序执行中的非正常行为等信息来发现系统是否存在可疑事件的。2023/7/2434电子商务安全(二)基于主机的IDS基于主机的IDS之优点：①基于主机的IDS可以从系统审计和事件日志中提取攻击信息，从而判断本地或远程用户是否做了系统的安全规则。②基于主机的IDS可以精确地判断入侵事件，并可对入侵事件立即进行反应。③基于主机的IDS还可以针对不同的操作系统的特点判断应用层的入侵事件。2023/7/2435电子商务安全(二)基于主机的IDS基于主机的IDS之缺点：①占用主机资源，在服务器上产生额外的负载。②缺乏跨平台支持，可移植性差，因而应用范围受到严重限制。2023/7/2436电子商务安全(三)基于网络的IDS网络环境下，单独依靠主机的审计信息进行入侵检测难以适应网络安全的需求。主要表现：①主机的审计信息容易受到攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计；②不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)；③基于主机的IDS的运行或多或少地影响服务器的性能；④只能对服务器的特定用户和应用程序的执行动作、日志进行检测，所能检测到的攻击类型有限。2023/7/2437电子商务安全(三)基于网络的IDS基于网络的IDS原理：基于网络的入侵检测IDS放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统认为受到攻击，就会发出通知、警报甚至直接切断网络连接。基于网络的IDS位置：基于网络的入侵检测IDS通常放置在防火墙的后面。

2023/7/2438电子商务安全(三)基于网络的IDS探测器可以安装在网络中重要的服务器、路由器或单独的主机上。

2023/7/2439电子商务安全(三)基于网络的IDS优点：

①实时性强。通过实时监视网络数据包和网络管理信息，来寻找具有网络供给特征的活动。

②检测范围广。可以检测包括协议攻击和某些特定攻击在内的各种攻击。

③监视粒度更细。

④可移植性强。基于网络的入侵检测系统通常可以适合多种网络环境。

⑤具有服务器平台独立性。基于网络的入侵检测系统不会对服务器以及网络整体性能造成影响。2023/7/2440电子商务安全(三)基于网络的IDS基于网络的入侵检测系统存在的缺点：①只能监视经过本网段的活动，精确度不高。②在交换网络环境下难以配置。③防入侵欺骗的能力较差，难以定位入侵。2023/7/2441电子商务安全(四)入侵检测技术发展方向入侵技术的发展与演化主要反映在下列几个方面：(1)入侵或攻击的综合化与复杂化。(2)入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽性。(3)人侵或攻击的规模扩大。(4)入侵或攻击技术的分布化。(5)攻击对象的转移。2023/7/2442电子商务安全(四)入侵检测技术发展方向三个方向发展：(1)分布式入侵检测。含义一是针对分布式网络攻击的检测方法；含义二是使用分布式的方法来检测分布式的攻击。(2)智能化入侵检测。使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。(3)全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方位对所关注的网络作全面的评估，然后提出可行的解决方案。2023/7/2443电子商务安全五、认证(一)第三方认证(二)PKI组成(三)证书认证机构CA2023/7/2444电子商务安全(一)第三方认证在电子商务中，必须从技术上保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据完整性。数字证书认证技术采用了加密传输和数字签名，能够实现上述要求，因此在国内外电子商务中，得到了广泛的应用。PKI采用证书进行公钥管理，通过第三方的可信任机构(认证中心，即CA)，把用户的公钥和用户的其他标识信息捆绑在一起，其中包括用户名和电子邮件地址等信息，以在Internet网上验证用户的身份。2023/7/2445电子商务安全(二)PKI组成PKI（PublicKeyInfrastructure）即“公钥基础设施”。PKI在实际应用上是一套软硬件系统和安全策略的集合，它提供了一整套安全机制，使用户在不知道对方身份或分布地很广的情况下，以证书为基础，通过一系列的信任关系进行通信和电子商务交易。2023/7/2446电子商务安全(二)PKI组成PKI组成：一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。其各部分作用如下：CA(CertificateAuthority)用于签发并管理证书；RA(RegistrationAuthority)，数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作(安全审计)。同时，对发放的证书完成相应的管理功能(安全管理)。PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。2023/7/2447电子商务安全(三)证书认证机构CA1．数字证书基础2．发行证书的CA签名3．CA框架模型4．证书的申请和撤消5．证书管理6．密钥管理7．证书的使用2023/7/2448电子商务安全1．数字证书基础CA(CertificateAuthority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文

件。数字证书是一种数字标识，是Internet上的安全护照或身份证明。

2023/7/2449电子商务安全数字证书的格式

2023/7/2450电子商务安全2．发行证书的CA签名证书第二部分包括CA的签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是不是由CA的签名密钥签署的。

2023/7/2451电子商务安全3．CA框架模型证书机构CA用于创建和发布证书，它通常为一个称为安全域(SecuritvDomain)的有限群体发放证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥(公钥一般由用户端产生，如电子邮件程序或浏览器等)，CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。2023/7/2452电子商务安全3．CA框架模型CA还负责维护和发布证书废除列表CRL(CertificateRevocationLists，又称为证书撤销列表

)。当一个证书，特别是其中的公钥因为其他原因无效时(不是因为到期)，CRL提供了一种通知用户和其他应用的中心管理方式。CA系统生成CRL以后，要么是放到LDAP(目录访问协议，LightweightDirectoryAccessProtocol

)服务器中供用户查询或下载，要么是放置在Web服务器的合适位置，以页面超级链接的方式供用户直接查询或下载。2023/7/2453电子商务安全3．CA框架模型典型CA框架模型2023/7/2454电子商务安全4．证书的申请和撤消证书的申请有两种方式，一是在线申请，另外一种就是离线申请。在线申请就是通过浏览器或其他应用系统通过在线的方式来申请证书，这种方式一般用于申请普通用户证书或测试证书。离线方式一般通过人工的方式直接到证书机构证书受理点去办理证书申请手续，通过审核后获取证书，这种方式一般用于比较重要的场合，如服务器证书和商家证书等。2023/7/2455电子商务安全4．证书的申请和撤消在线申请步骤如下：用户使用浏览器通过Internet访问安全服务器，下载CA的数字证书(又叫做根证书)，然后注册机构服务器对用户进行身份审核，认可后便批准用户的证书申请，然后操作员对证书申请表进行数字签名，并将申请及其签名一起提交给CA服务器。CA操作员获得注册机构服务器操作员签发的证书申请，发行证书或者拒绝发行证书，然后将证书通过硬拷贝的方式传输给注册机构服务器。注册机构服务器得到用户的证书以后将用户的一些公开信息和证书放到LDAP服务器上提供目录浏览服务，并且通过电子邮件的方式通知用户从安全服务器上下载证书。用户根据邮件的提示到指定的网址下载自己的数字证书，而其他用户可以通过LDAP服务器获得他的公钥数字证书。2023/7/2456电子商务安全5．证书管理实际中的证书系统以树型结构存在，并根据需要和系统级别分为不同的层次。如一个全国性的证书系统，根CA集中控制，每一个省级单位可建立一个二级CA，市级地区可建立一个三级CA，依此类推，并根据需要和级别，在不同的CA处为用户颁发证书。2023/7/2457电子商务安全6．密钥管理(1)密钥的产生：密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则交于CA中心进行签名，从而产生证书。(2)密钥备份和恢复：PKI系统必须备份用于加密的密钥对，并允许用户进行恢复，否则，用于解密的私钥丢失将意味着加密数据的完全不可恢复。(3)密钥更新：对每一个由CA颁发的证书都会有有效期，密钥对生命周期的长短由签发证书的CA中心来确定，各CA系统的证书有效期限有所不同，一般为2～3年。2023/7/2458电子商务安全7．证书的使用在电子商务系统中，证书的持有者可以是个人、企事业单位、商家、银行等。完整的验证过程：①将客户端发来的数据解密。②将解密后的数据分解成原始数据、签名数据和客户证书三部分。③用CA根证书验证客户证书的签名完整性。④检查客户证书是否有效(当前时间在证书结