第五章电子商务网站常用防御方法.ppt

第五章电子商务网站常用防御方法 本章主要内容 本章主要内容 防火墙 Firewall 工作原理 非军事区域 DMZ 概念 虚拟专用网 VPN 入侵检测系统 IDS 认证 一 防火墙 Firewan 一 防火墙的工作原理所谓防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网与公共网之间的界面上构造的保护屏障 防火墙主要有三种类型 包过滤防火墙 代理服务器防火墙和应用层网关防火墙 1 包过滤防火墙 包过滤防火墙主要有两种实现方式 基于路由器的防火墙和基于独立运行软件 如PacketFilter 的防火墙 下面主要介绍基于路由器的防火墙 包是网络上信息流动的单位 每个包有两个部分 数据部分和包头 包头中含有源地址和目标地址的信息 优点 透明性好 简单易用 费用低 缺点 设置繁多 易留下安全漏洞 1 包过滤防火墙 包过滤路由器防火墙可能遇到的攻击方式 1 源IP地址欺骗 2 源路由攻击 3 微小碎片攻击 包过滤防火墙 2 代理服务器 ProxyServer 防火墙 在Internet网络和Intranet互连时 广泛采用一种称为代理服务的工作方式 使Internet用户在访问Intranet的同时 提供的是一种类似网关的代理服务器型防火墙 优点 代理服务可提供详细的日志 Log 和审计 Audit 记录 提高了网络的安全性和可靠性 缺点 不能处理高负荷通信量 且对用户的透明性不好 3 应用层网关防火墙 应用层网关防火墙可使网络管理员实现比包过滤路由器防火墙更严格的安全策略 应用层网关不使用包过滤工具来限制Internet服务进出防火墙系统 而是采用为每种所需服务在网关上安装专用程序代码 否则该服务就不被支持且不能通过防火墙来转发 网络的安全性比较高 过程复杂 费用比较高 透明性差 限制严格 使用带来不便 二 防火墙规则集 设计规则集的基本过程 1 拒绝一切未特别允许的连接彻底分析每个系统和网段确定实现它们的功能所需要的服务和连接 2 常见通信的常用端口确定每个服务器和网段需要什么端口和协议 3 将伪代码转换成防火墙规则查看手册 确定特定的方法和要求 4 协议和风险 作出最佳决策需要保证只允许了必要的协议 并且只能用于需要它们的服务器和网段 二 非军事区域 DMZ 一 DMZ的概念 二 非军事区域的设置 三 电子商务非军事区域的实现 四 多区网络存在的问题 一 DMZ的概念 DMZ demilitarizedzone 的定义 是指为不信任系统提供服务的孤立网段 它是两个防火墙之间的网段 DMZ网段的创建方法通常有两种 1 两个防火墙的DMZ系统放置在有不同规则的两个防火墙之间 这就能允许Internet上的系统连接到DMZ系统提供的服务 但不能连接到企业内部网段 通常叫做受保护网络 中的电脑 二 非军事区域 DMZ 图示为 两个防火墙的DMZ 二 非军事区域 DMZ 2 单个防火墙的DMZ 如上图 实现DMZ网段的方法是在防火墙上实际增加第三个接口 并将DMZ系统放置在那个网段 允许同一个防火墙管理Internet 降低了硬件的花费 集中了网络的规则集 使管理和处理问题更容易 现在已成为创建DMZ网段的主要方法 DMZ目的 就是把敏感的内部网络和其他提供访问服务的网络分离开 为网络层提供深度的防御 DMZ作用 防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据 相反 在Internet和企业内部网之间的通信数据通常是不受限制的 二 非军事区域的设置 安全的DMZ配置 二 非军事区域的设置 DMZ是放置公共信息的最佳位置 把没有包含敏感数据 担当代理数据访问职责的主机放置于DMZ中 这样用户 潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息 而不用通过内部网 企业的机密和私人的信息可以安全地存放在内部网中 即DMZ的后面 二 非军事区域的设置 可以在下列系统中装入非军事区域 DMZ 安全网络 载有公共信息的网络服务器 与电子商务交易服务器相连接的前端机 该前端机用来接收客户订单 存放客户资料的后端应置于防火墙之后 把外来电子邮件中转至内部的邮件服务器 可据此进入内部网络的证书服务及服务器 虚拟专用网络上的各端点 应用 层 网关 测试及登录服务器 根据系统要求或用户请求 使数据从一个脱机或优先权低的设备返回到一个联机的或优先权高的设备的过程 三 电子商务非军事区域的实现 网络存储顾客信息和金融数据与存储商业处理的普通信息的需求是不同的 很多网站通过实现一个多网段结构来更好地管理和安全化商业信息 第一个网段是用于信息存储的 第二个网段则是特别用于商业信息的处理的 电子商务系统中DMZ的实现 四 多区网络存在的问题 随着网站的成长 要提供新的功能 可能需要建立新的区 重复上面的过程 建立管理这些新网段的规则集 注意事项 一定要监视和检查任何变动 备份旧的规则集以备紧急的时候需要回复过去 管理原则 创建和管理诸如防火墙 IDS入侵检测系统 即IntrusionDetectionSystem 签名和用户访问规则之类的安全控制是个很大的任务 在不损害安全和可用性的前提下要尽可能地简化这些过程 三 虚拟专用网 VPN Internet Intranet内部网 信息 防火墙 VPN 三 虚拟专用网 VPN 虚拟专用网 VPN 目的 通过Internet或其他线路 如私有网络和租用的线路等 在公司外地雇员 驻外机构 公司总部及其相关企业和组织机构之间建立一个信息传输的安全通道 以保证所传输信息的安全性和完整性 并设置用户对特定资源的访问权限 三 虚拟专用网 VPN 一 技术 二 IPSec协议 一 VPN技术 VPN VirtualPrivateNetwork 即虚拟专用网络 概念 通过一个公共网络 通常是Internet 建立一个临时的 安全的与内网的连接 作用 安全连接 可以帮助远程用户与公司的内部网建立可信的安全连接 并保证数据的安全传输 成本较低 即大幅度地减少用户花费在WAN上和远程网络连接上的费用 管理方便 使用VPN将简化网络的设计和管理 加速连接新的用户和网站 网络结构灵活 可以保护现有的网络投资 一 VPN技术 VPN的功能 加密数据 以保证通过公网传输的信息即使被他人截获也不会泄露 信息认证和身份认证 保证信息的完整性 合法性 并能鉴别用户的身份 提供访问控制 不同的用户有不同的访问权限 一 VPN技术 VPN采用了多种安全技术和网络技术 安全隧道技术 SecureTunnelingTechnology 将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送人公共网络 如Internet 中 像普通数据包一样传输 经过这样的处理 只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理 其他用户看到的只是无意义的信息 就像是在源端和目标端的用户之间建立了一个安全的信息专用隧道 一 VPN技术 隧道模式的VPN框架 一 VPN技术 用户认证技术 UserAuthenticationTechnology 在隧道连接开始之前需要确认用户的身份 以便于系统进一步实施资源访问控制或用户授权 访问控制技术 AccessControlTechnology 由VPN服务的提供者与最终网络信息资源的提供者共同确定特定用户对特定资源的访问权限 以此实现基于用户访问的访问控制 以实现对信息资源的最大限度的保护 一 VPN技术 隧道模式的VPN框架示意图VPN隧道组成 一个隧道启动器 一个路由网络 Internet 一个可选的隧道交换机 一个或多个隧道终结器 二 IPSec协议 IPsec主要提供IP网络层上的加密通信能力 IPsec组成 1 IPsecurityProtocolproper 定义IPsec报文格式 2 ISAKMP Oakley 负责加密通信协商 二 IPSec协议 IPsec采用的加密通信手段 1 IPsecTunnel 整个IP封装在Ipsec报文 提供IPsecgateway之间的通信 2 IPsectransport 对IP包内的数据进行加密 使用原来的源地址和目的地址 四 入侵检测系统 IDS 即IntrusionDetectionSystem 一 入侵检测概念 二 基于主机的IDS 三 基于网络的IDS 四 入侵检测技术发展方向 一 入侵检测概念 概念 通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析 以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象 作用 入侵检测是对防火墙的合理补充 帮助系统对付网络攻击 扩展了系统管理员的安全管理能力 包括安全审计 监视 攻击识别和响应 提高了信息安全基础结构的完整性 一 入侵检测概念 主要任务 监视 分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 二 基于主机的IDS 基于主机的IDS主要用于运行关键应用层的服务器 它是早期的入侵检测系统 主要目标 是检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为 检测原理 是根据系统审计记录和系统日志文件 应用程序日志 目录和文件的不期望改变 程序执行中的非正常行为等信息来发现系统是否存在可疑事件的 二 基于主机的IDS 基于主机的IDS之优点 基于主机的IDS可以从系统审计和事件日志中提取攻击信息 从而判断本地或远程用户是否做了系统的安全规则 基于主机的IDS可以精确地判断入侵事件 并可对入侵事件立即进行反应 基于主机的IDS还可以针对不同的操作系统的特点判断应用层的入侵事件 二 基于主机的IDS 基于主机的IDS之缺点 占用主机资源 在服务器上产生额外的负载 缺乏跨平台支持 可移植性差 因而应用范围受到严重限制 三 基于网络的IDS 网络环境下 单独依靠主机的审计信息进行入侵检测难以适应网络安全的需求 主要表现 主机的审计信息容易受到攻击 入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计 不能通过分析主机审计记录来检测网络攻击 域名欺骗 端口扫描等 基于主机的IDS的运行或多或少地影响服务器的性能 只能对服务器的特定用户和应用程序的执行动作 日志进行检测 所能检测到的攻击类型有限 三 基于网络的IDS 基于网络的IDS原理 基于网络的入侵检测IDS放置在比较重要的网段内 不停地监视网段中的各种数据包 对每一个数据包或可疑的数据包进行特征分析 如果数据包与产品内置的某些规则吻合 入侵检测系统认为受到攻击 就会发出通知 警报甚至直接切断网络连接 基于网络的IDS位置 基于网络的入侵检测IDS通常放置在防火墙的后面 三 基于网络的IDS 探测器可以安装在网络中重要的服务器 路由器或单独的主机上 三 基于网络的IDS 优点 实时性强 通过实时监视网络数据包和网络管理信息 来寻找具有网络供给特征的活动 检测范围广 可以检测包括协议攻击和某些特定攻击在内的各种攻击 监视粒度更细 可移植性强 基于网络的入侵检测系统通常可以适合多种网络环境 具有服务器平台独立性 基于网络的入侵检测系统不会对服务器以及网络整体性能造成影响 三 基于网络的IDS 基于网络的入侵检测系统存在的缺点 只能监视经过本网段的活动 精确度不高 在交换网络环境下难以配置 防入侵欺骗的能力较差 难以定位入侵 四 入侵检测技术发展方向 入侵技术的发展与演化主要反映在下列几个方面 1 入侵或攻击的综合化与复杂化 2 入侵主体对象的间接化 即实施入侵与攻击的主体的隐蔽性 3 人侵或攻击的规模扩大 4 入侵或攻击技术的分布化 5 攻击对象的转移 四 入侵检测技术发展方向 三个方向发展 1 分布式入侵检测 含义一是针对分布式网络攻击的检测方法 含义二是使用分布式的方法来检测分布式的攻击 2 智能化入侵检测 使用智能化的方法与手段来进行入侵检测 所谓的智能化方法 现阶段常用的有神经网络 遗传算法 模糊技术 免疫原理等方法 这些方法常用于入侵特征的辨识与泛化 利用专家系统的思想来构建入侵检测系统也是常用的方法之一 3 全面的安全防御方案 即使用安全工程风险管理的思想与方法来处理网络安全问题 将网络安全作为一个整体工程来处理 从管理 网络结构 加密通道 防火墙 病毒防护 入侵检测等多方位对所关注的网络作全面的评估 然后提出可行的解决方案 五 认证 一 第三方认证 二 PKI组成 三 证书认证机构CA 一 第三方认证 在电子商务中 必须从技术上保证在交易过程中能够实现身份认证 安全传输 不可否认性 数据完整性 数字证书认证技术采用了加密传输和数字签名 能够实现上述要求 因此在国内外电子商务中 得到了广泛的应用 PKI采用证书进行公钥管理 通过第三方的可信任机构 认证中心 即CA 把用户的公钥和用户的其他标识信息捆绑在一起 其中包括用户名和电子邮件地址等信息 以在Internet网上验证用户的身份 二 PKI组成 PKI PublicKeyInfrastructure 即 公钥基础设施 PKI在实际应用上是一套软硬件系统和安全策略的集合 它提供了一整套安全机制 使用户在不知道对方身份或分布地很广的情况下 以证书为基础 通过一系列的信任关系进行通信和电子商务交易 二 PKI组成 PKI组成 一个简单的PKI系统包括证书机构CA 注册机构RA和相应的PKI存储库 其各部分作用如下 CA CertificateAuthority 用于签发并管理证书 RA RegistrationAuthority 数字证书注册审批机构 RA系统是CA的证书发放 管理的延伸 它负责证书申请者的信息录入 审核以及证书发放等工作 安全审计 同时 对发放的证书完成相应的管理功能 安全管理 PKI存储库包括LDAP目录服务器和普通数据库 用于对用户申请 证书 密钥 CRL和日志等信息进行存储和管理 并提供一定的查询功能 三 证书认证机构CA 1 数字证书基础2 发行证书的CA签名3 CA框架模型4 证书的申请和撤消5 证书管理6 密钥管理7 证书的使用 1 数字证书基础 CA CertificateAuthority 是数字证书认证中心的简称 是指发放 管理 废除数字证书的机构 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件 数字证书是一种数字标识 是Internet上的安全护照或身份证明 数字证书的格式 2 发行证书的CA签名 证书第二部分包括CA的签名和用来生成数字签名的签名算法 任何人收到证书后都能使用签名算法来验证证书是不是由CA的签名密钥签署的 3 CA框架模型 证书机构CA用于创建和发布证书 它通常为一个称为安全域 SecuritvDomain 的有限群体发放证书 创建证书的时候 CA系统首先获取用户的请求信息 其中包括用户公钥 公钥一般由用户端产生 如电子邮件程序或浏览器等 CA将根据用户的请求信息产生证书 并用自己的私钥对证书进行签名 其他用户 应用程序或实体将使用CA的公钥对证书进行验证 如果一个CA系统是可信的 则验证证书的用户可以确信 他所验证的证书中的公钥属于证书所代表的那个实体 3 CA框架模型 CA还负责维护和发布证书废除列表CRL CertificateRevocationLists 又称为证书撤销列表 当一个证书 特别是其中的公钥因为其他原因无效时 不是因为到期 CRL提供了一种通知用户和其他应用的中心管理方式 CA系统生成CRL以后 要么是放到LDAP 目录访问协议 LightweightDirectoryAccessProtocol 服务器中供用户查询或下载 要么是放置在Web服务器的合适位置 以页面超级链接的方式供用户直接查询或下载 3 CA框架模型 典型CA框架模型 4 证书的申请和撤消 证书的申请有两种方式 一是在线申请 另外一种就是离线申请 在线申请就是通过浏览器或其他应用系统通过在线的方式来申请证书 这种方式一般用于申请普通用户证书或测试证书 离线方式一般通过人工的方式直接到证书机构证书受理点去办理证书申请手续 通过审核后获取证书 这种方式一般用于比较重要的场合 如服务器证书和商家证书等 4 证书的申请和撤消 在线申请步骤如下 用户使用浏览器通过Internet访问安全服务器 下载CA的数字证书 又叫做根证书 然后注册机构服务器对用户进行身份审核 认可后便批准用户的证书申请 然后操作员对证书申请表进行数字签名 并将申请及其签名一起提交给CA服务器 CA操作员获得注册机构服务器操作员签发的证书申请 发行证书或者拒绝发行证书 然后将证书通过硬拷贝的方式传输给注册机构服务器 注册机构服务器得到用户的证书以