[计算机软件及应用]学习情景2网络通信安全构建.ppt

,新世纪高职高专 电子商务类课程规划教材,电子商务 安全技术与应用,主编 梁永生,e,电子商务安全技术与应用,学习情境1 客户端安全设置,新世纪高职高专 电子商务类课程规划教材,学习情境2 网络通信安全构建,学习情境3 信息传输安全构建,学习情境4 服务器安全设置,学习情境5 电子支付安全实现,学习情境描述,子学习情境1 防火墙技术,目 录,新世纪高职高专 电子商务类课程规划教材,学习情境2 网络通信安全构建,子学习情境2 入侵检测技术,子学习情境3 VPN技术,防火墙技术,学习情境2,子学习情境1,本部分重点阐述网络通信安全原理和实践技术，主要内容包括：网络设备安全、防火墙、网络病毒等内容。通过完成本子学习情境任务，学生可以了解网络设备的安全技术，掌握防火墙技术，熟悉网络病毒的防范技术，具备能够实施基本的电子商务交易过程中设备的安全技术、防火墙技术和网络病毒的防范技术的能力。,防火墙技术,学习情境2,子学习情境1,2.1.1 网络通信协议 1984年，国际标准化组织（ISO）提出了开放式系统互联模式（OSI）。作为一个概念性框架，它是不同制造商的设备和应用软件在网络中进行通信的标准。现在该模型已成为计算机间和网络间进行通信的主要结构模型。目前使用的大多数网络通信协议的结构都是基于OSI模型的。OSI模型结构如图2-1所示。各层的具体描述见表2-2。,防火墙技术,学习情境2,子学习情境1,2.1.1 网络通信协议,图2-1 OSI模型结构,防火墙技术,学习情境2,子学习情境1,2.1.2 网络设备安全 在网络设备和网络应用市场蓬勃发展的带动下，近年来网络安全市场迎来了高速发展期，一方面随着网络的延伸，网络规模迅速扩大，安全问题变得日益复杂，建设可管、可控、可信的网络也是进一步推进网络应用发展的前提；另一方面随着网络所承载的业务日益复杂，保证应用层安全是网络安全发展的新的方向。 随着网络技术的快速发展，原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系，为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。,2.1.2 网络设备安全 IP 网络的安全有两个方面：一是主机的安全；二是网络自身的安全。用户主机所感知的安全威胁主要是针对特定系统的攻击，计算机病毒。网络设备主要面对的是基于TCP/IP协议的攻击。 交换机安全 交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。一般用于LAN-LAN的连接。交换机在电子商务中占有重要的地位，因此交换机在满足其基本的数据转发功能的前提下，有的还集成了安全认证，访问控制安全列表、防火墙和入侵检测功能。,防火墙技术,学习情境2,子学习情境1,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议,（1）病毒过滤技术,（2）基于ACL的报文过滤技术,（3）CPU过载保护技术,（4）广播风暴控制功能,（5）VLAN技术,（6）基于802.1x的接入控制技术,（7）交换机与入侵检测系统（IDS）的联动,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议 2. 路由器安全 路由器，是一种连接多个网络或网段的网络设备，将不同网络之间的数据信息进行“翻译”。一般用于WAN-WAN的连接。路由器的基本功能如下： （1）网络互联，路由器支持各种局域网和广域网接口，主要用于互联局域网和广域网，实现不同网络之间的互相通信。 （2）数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。 （3）网络管理，路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。,防火墙技术,学习情境2,子学习情境1,2.1.2 网络通信协议 2. 路由器安全 路由器从功能上可划分为：数据层面、控制/信令层面和管理层面。 （1）数据层面：处理进入设备的数据流。 （2）控制/信令层面：进行路由信息的交换。 （3) 管理层面：威胁来源于使用的协议；不严密的管理。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 电子商务系统是基于Internet的，它方便了企业内部之间以及企业与外部的信息交流，提高了工作效率。然而，一旦企业内部网连入Internet，就意味着Internet上的每个用户都有可能访问企业网。如果没有一个安全性保护措施，黑客们可能会在毫无觉察的情况下进入企业网，非法访问企业的资源。而防火墙就是保护企业内部网中信息安全的一项重要措施。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 1. 防火墙的概念 防火墙是在内外网之间构筑的一道屏障，它是设置在内外网之间的隔离设备，用以保护内网中的信息、资源等不受来自外网中非法用户的侵犯，它控制内外网之间的所有数据流量，控制和防止内网中的有价值数据流人外网，也控制和防止来自外网的无用垃圾和有害数据流人入内网。 简单地说，防火墙是一个全部进出内网的信息流量都必须经过的限制点，并由用户来控制通讯。良好的防火墙可以防止攻击者人侵并保护内部机密信息免于流出。,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 2. 防火墙的构成 防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理5部分，如图2-2所示。,图2-2 防火墙结构,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 3. 防火墙的作用,（1）可以限制用户进入内网，过滤掉不安全服务和非法用户,（2）防止入侵者接近用户防御设施,（3）限定用户访问特殊站点,（4）为监视Internet安全提供方便,防火墙技术,防火墙的弱点 不能防备病毒 对不通过它的连接无能为力 不能防备内部人员的攻击 限制有用的网络服务 不能防备新的网络安全问题,学习情境2,子学习情境1,2.1.3 防火墙技术,防火墙技术,对不通过它的连接无能为力,学习情境2,子学习情境1,2.1.3 防火墙技术,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 4. 防火墙的种类,防火墙技术,学习情境2,子学习情境1,2.1.3 防火墙技术 5. 防火墙技术,传统意义上的防火墙技术分为三大类，“包过滤（Packet Filtering）”、“应用代理”（Application Proxy）和“状态监视”（State Inspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。,防火墙技术,学习情境2,子学习情境1,（1）包过滤技术,包过滤是最早使用的一种防火墙技术。 包过滤防火墙工作在网络层 。 防火墙通过对信息头的检测就可以决定是否将数据包发往目的 地。从而达到对进入和流出网络的数据进行监测和限制目的。,图2-3 包过滤防火墙系统,防火墙技术,学习情境2,子学习情境1,（1）包过滤技术：包过滤是如何工作？ 包过滤技术可以允许或不允许某些包在网络上传递，它的依据： 将包的目的地址、端口作为判据 将包的源地址作、端口为判据 将包的传送协议作为判据 包过滤系统只能让我们进行类似以下情况的操作： 不让任何用户从外部网用Telnet登录； 允许任何用户使用SMTP往内部网发电子邮件 只允许某台机器通过NNTP往外部网发新闻,防火墙技术,学习情境2,子学习情境1,（1）包过滤技术：包过滤是如何工作？ 包过滤不能允许我们进行如下的操作： 允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作。 允许用户传送一些文件而不允许用户传送其他文件。 数据包过滤功能的实现依赖于包过滤规则，也叫访问控制列表。配置访问控制列表（配置包过滤防火墙策略）： 一个包过滤防火墙由一个脏端口、一个净端口和一组访问控制列表规则组成； 脏端口：连接Internet，来自Internet和流向Internet的数据都由此端口通过； 净端口：连接内部网络； 访问控制列表通过控制在防火墙的接口上转发还是阻断数据包分组来过滤数据流，防火墙检查每个数据分组，并根据访问控制列表规则对数据分组进行操作。,防火墙技术,学习情境2,子学习情境1,（1）包过滤技术：包过滤是如何工作？ 访问控制列表的配置方法： 默认允许 默认拒绝,防火墙技术,学习情境2,子学习情境1,由于包过滤技术无法提供完善的数据保护措施，而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除其危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理”（Application proxy）技术的防火墙诞生了。代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。应用协议分析技术工作在应用层上。,图2-3 包过滤防火墙系统,防火墙技术,学习情境2,子学习情境1,（3）状态监视技术,状态监视技术是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行检测，并根据各种过滤规则做出安全决策。,防火墙技术,学习情境2,子学习情境1,常用防火墙产品,天网防火墙 Cisco PIX Microsoft ISA ChekPointFirewall-14 Netscreen防火墙 其他国产防火墙,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着网络和Internet的发展，一个传播范围更广、危害更大的新型病毒应运而生，这就是网络病毒，即在网络环境下流行的病毒。网络病毒充分利用了网络的缺陷来涉及和传播，这就是网络病毒的共性。 网络病毒是一种新型病毒，它的传播媒介不再是移动式载体，而是网络通道。这种病毒的传染能力更强，破坏力更大。同时通过电子邮件和网络进行病毒传播的比例正逐步攀升。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,1. 网络病毒的传播方式与特点 网络病毒一般会试图通过以下四种不同的方式进行传播：,邮件附件,E-mail,A,B,文件共享,D,Web服务器,C,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,2. 网络病毒的防范技术 （1）基于工作站的防治技术 工作站就像是计算机网络的大门。只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,2. 网络病毒的防范技术 （2）基于服务器的防治技术 网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的-个重要标志就是网络服务器瘫痪。网络服务器-旦被击垮，造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块（NLM），以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。,防火墙技术,学习情境2,子学习情境1,2.1.4 网络病毒技术,3. 反病毒技术 反毒技术主要包括预防病毒、检测病毒和消毒等三种技术： （1）预防病毒技术，它通过自身常驻系统内存优先获得系统的控制权，监听和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统或对系统进行破坏。这类技术有加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等。 （2）检测病毒技术，它是通过对计算机病毒的特征来判断是否存在病毒的技术，如自身校验、关键字、文件长度的变化等。 （3）消毒技术，它通过对计算机病毒的分析，开发出具有删除病毒程序并回复原文件的软件。,入侵检测技术,学习情境2,子学习情境2,防火墙只能对黑客的攻击实施被动防御，一旦黑客攻入系统内部，则没有切实的防护策略，入侵检测是继防火墙之后的又一道防线，通过完成本子学习情境任务，要求学生掌握入侵检测系统的相关技术，具备实施构建基于电子商务网站的入侵检测系统。,入侵检测技术,学习情境2,子学习情境2,2.2.1 入侵检测系统及其功能,QQ，经常发生密码被盗的事情？系统密码被盗？,入侵检测技术,学习情境2,子学习情境2,2.2.1 入侵检测系统及其功能,1. 入侵检测系统 入侵检测就是对计算机网络和计算机系统的关键结点的信息收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知网络管理员。 入侵检测（Intrusion Detection）技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。,入侵检测技术,学习情境2,子学习情境2,2.2.1 入侵检测系统及其功能,1. 入侵检测系统相关术语 入侵：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测：对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统（Intrusion Detection System）：对计算机和网络资源的恶意使用行为进行识别和相应处理的软件、硬件系统。,入侵检测技术,学习情境2,子学习情境2,2.2.1 入侵检测系统及其功能,图2-5 入侵检测系统模型,入侵检测技术,学习情境2,子学习情境2,2.2.1 入侵检测系统及其功能,2. 入侵检测系统的功能,（1）监控网络和系统：监视用户和系统的运行状态，查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。系统程序和数据的一致性与正确性检查 （2）发现入侵企图或异常现象：对用户的非正常活动进行统计分析，发现入侵行为的规律。 （3）实时报警：识别攻击的活动模式，并向网管人员报警。 （4）主动响应 （5）审计跟踪：操作系统审计跟踪管理，识别违反政策的用户活动。,入侵检测技术,学习情境2,子学习情境2,2.2.2 入侵检测系统的分类,入侵检测系统根据数据包来源的不同，采用不用的实现方式， 一般地可分为网络型、主机型，也可是这两种类型的混合应用。,基于网络的入侵检测系统（NIDS） 基于主机的入侵检测系统（HIDS） 混合型入侵检测系统（Hybrid IDS）,入侵检测技术,学习情境2,子学习情境2,2.2.2 入侵检测系统的分类,1、网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。,安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中 混杂模式监听 分析网段中所有的数据包 实时检测和响应,Internet,NIDS,网络服务器1,客户端,网络服务器2,检测内容： 包头信息+有效数据部分,在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境 非共享网络上如何采集数据,入侵检测技术,学习情境2,子学习情境2,入侵检测技术,学习情境2,子学习情境2,2.2.2 入侵检测系统的分类,2、主机IDS： 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。, 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,入侵检测技术,学习情境2,子学习情境2,Internet,网络服务器1,客户端,网络服务器2,检测内容：系统调用、端口调用、系统日志、安全审记、应用日志,HIDS,HIDS,监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录 如何保护作为攻击目标主机审计子系统,两类IDS比较,网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少,主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感,入侵检测技术,学习情境2,子学习情境2,入侵检测技术,学习情境2,子学习情境2,2.2.3 入侵检测系统的优点,（1）可以检测和分析系统事件以及用户的行为； （2）可以测试系统设置的安全状态； （3）以系统的安全状态为基础，跟踪任何对系统安全的修改行为； （4）通过模式识别等技术从通信行为中检测出已知的攻击行为； （5）可以对网络通信行为进行统计，并进行检测分析； （6）管理操作系统认证和日志机制并对产生的数据进行分析处理； （7）在检测到攻击的时候，通过适当的方式进行适当的报警处理； （8）通过分析引擎的配置对网络的安全事件进行有效的处理。,入侵检测技术,学习情境2,子学习情境2,2.2.4 IDS与Firewall,通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动。,入侵检测技术,学习情境2,子学习情境2,2.2.5 蓝盾入侵检测典型应用,入侵检测技术,学习情境2,子学习情境2,2.2.4 入侵检测技术的发展方向,1. 分布式入侵检测,2. 智能化入侵检测,3. 全面的安全防御方案,VPN技术,学习情境2,子学习情境3,虚拟专用网（VPN）是企业内部网在Internet上的延伸，通过一个专用通道来创建一个安全的专用连接，从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网联结起来，构成一个扩展的企业内部网。通过完成本子学习情境任务，学生可以了解基于VPN技术的安全电子商务交易环境，具备基于特定软件构建虚拟专用网的能力。,VPN技术,学习情境2,子学习情境3,2.3.1 VPN简介,虚拟专用网络（VPN）技术是一种在公用互联网络上构造企业专用网络的技术。通过VPN技术，可以实现企业不同网络的组件和资源之间的相互连接，它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障的。虚拟专用网络允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设计，以安全的方式与位于企业内部网内的服务器建立连接。 “虚拟”的概念是相对传统私人专用网络的构建方式而言的，对于广域网连接，传统的组网方式是通过远程拨号和专线连接来实现的，而VPN是利用网络服务提供商所提供的公共网络来实现远程的广域网连接的。,VPN技术,学习情境2,子学习情境3,2.3.1 VPN简介,图2-6 虚拟专用网结构,VPN技术,学习情境2,子学习情境3,2.3.1 VPN简介,VPN建立结构如图2-7所示：,图2-7 VPN建立结构,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,1. 隧道技术基础 现代计算机网络都是基于包交换（亦称分组交换）的，不同类型的网络支持不同的网络通信协议,传送不同格式的包。隧道技术（又称封装）是将一个网络传出的数据包加一个新的包头（可能还要加一个新的包尾），这样原先的数据包就成了新的数据包的负载，就可能在新的网络中继续通行了。在VPN中隧道技术用于运载私用网络中的数据包，使其通过并不直接支持私用网络协议的公共互联网络。,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,1. 隧道技术基础 VPN中的隧道技术是一种通过使用互联网络的基础设施在私用网络之间或私用网络与特定主机之间传递数据的方式。这里所说的互联网络可以是任何类型的公共互联网络，也可以是一个连接了多个子网的规模较大的企业内部网络。当然，通过不同互联网络的数据隧道会有不同的数据包格式和不同的处理方式。,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,2. 隧道技术的实现,（1）用户验证 隧道技术首先要求对用户进行验证。不同的隧道协议及不同的VPN实现有不同验证方法。第2层隧道协议继承了PPP协议的用户验证方式。第三层隧道协议IPSec协议则由ISAKMP（Interne 安全连接和密钥管理协议）协商提供隧道端点之间进行的相互验证。,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,2. 隧道技术的实现,（2）数据压缩与加密 隧道技术对要传送的数据压缩与加密 第2层隧道协议支持基于PPP的数据压缩和加密方式。IPSec通过ISAKMP/Oakley协商确定数据压缩和加密方法。保障隧道客户端和服务器之间数据流的安全。,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,2. 隧道技术的实现,（3）密钥管理 第2层协议验证用户时生成的密钥，并定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。,VPN技术,学习情境2,子学习情境3,2.3.2 VPN的核心技术隧道技术,2. 隧道技术的实现,（4）数据传输 完成了安全连接与密钥管理等协商，就可以开始在连接的对等双方之间转发数据。如果选择使用数据压缩和加密就会在传送之前先进行压缩和加密。点对点隧道协议（PPTP）是一个第2层的协议，将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装（GRE）技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP帧中的负载数据进行加密或压缩。,VPN技术,学习情境2,子学习情境3,2.3.3 VPDN,企业信息化的发展对远程互联网络提出了越来越高的要求，随着企业业务范围的不断扩大，他们扩张的区域越来越大、需要联系的客户和合作伙伴越来越多、实施地域也越来越广。因此企业迫切需要一种简单、快捷和节省的方式实现远程互联，虚拟专用拨号网络（Virtua