电子商务安全技术绍介

1、电子商务安全技术电子商务安全技术5.1 网络安全概述网络安全概述5.2 密码技术基础密码技术基础5.3 公开密钥基础设施（公开密钥基础设施（pki）5.4 防火墙技术防火墙技术5.5 网络病毒网络病毒5.6 网络安全解决案例网络安全解决案例5.1 网络安全概述网络安全概述5.1.1 开放网络环境开放网络环境 计算机应用的深度与广度的扩展，是与数据处理方式和计算计算机应用的深度与广度的扩展，是与数据处理方式和计算环境的演变密切相关的，其历程大体可以分为以下四个阶段。环境的演变密切相关的，其历程大体可以分为以下四个阶段。 单机环境（单机环境（monolithic mainframe environ

2、ment） 网络环境（网络环境（networked pc and mainframe environment）。）。 分布式环境（分布式环境（distributed computing environment）。）。 协同计算环境（协同计算环境（cooperative computing environment）。）。11开放系统的基本概念开放系统的基本概念22开放系统的特征开放系统的特征 符合各类标准（事实上标准、工业标准、国家标符合各类标准（事实上标准、工业标准、国家标准及国际标准）。准及国际标准）。 技术公开。技术公开。 可移植性（可移植性（portablortable）。）。 兼容性（

3、兼容性（compatcompatiblble）。）。 互操作性（互操作性（i int teroproperatratio on）。）。 可伸展性（可伸展性（scalablcalable）。）。 33标准标准 面向信息技术的国际标准。面向信息技术的国际标准。 有关银行方面的标准。有关银行方面的标准。 有关国家政府的某些标准。它是由各国政府制定的。有关国家政府的某些标准。它是由各国政府制定的。 i int ter rnet t标准。标准。 44i int ter rnet t与与i intratranet t5.11.2 2 对网络安全的需求对网络安全的需求 网络安全是急需解决的最重要的问题之一。

4、网络安全是急需解决的最重要的问题之一。 系统互联与网络互联数量的日益增长，使任何系系统互联与网络互联数量的日益增长，使任何系统都潜在地存在着已知或未知用户对网络进行非法访统都潜在地存在着已知或未知用户对网络进行非法访问的可能性。问的可能性。 人们越来越多地使用计算机网络来传送安全敏感人们越来越多地使用计算机网络来传送安全敏感的信息。的信息。 对攻击者来说，可以得到的技术越来越先进，并对攻击者来说，可以得到的技术越来越先进，并且这些技术的成本在不断地下降，从而使密码分析技且这些技术的成本在不断地下降，从而使密码分析技术的实现变得越来越容易。术的实现变得越来越容易。11信息业务及其价值信息业务及其

5、价值22机密信息机密信息33产权及敏感信息产权及敏感信息5.1.3 通信网络的安全策略通信网络的安全策略 安全策略是一个很广的概念，安全策略有以下几个不同的安全策略是一个很广的概念，安全策略有以下几个不同的部分：部分： 安全策略目标。它是某个机构对所要保护的特定资源要达安全策略目标。它是某个机构对所要保护的特定资源要达到的目的所进行的描述。到的目的所进行的描述。 机构安全策略。这是一套法律、规则及实际操作方法，用机构安全策略。这是一套法律、规则及实际操作方法，用于规范某个机构如何来管理、保护和分配资源以达到安全策略于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标。的既定目标。

6、系统安全策略。它所描述的是如何支持此机构的安全策略系统安全策略。它所描述的是如何支持此机构的安全策略要求。要求。11授权授权 某个文件只能够由特定人员阅读或修改。某个文件只能够由特定人员阅读或修改。 一个人事记录只能由人事部的职员进行新增和修一个人事记录只能由人事部的职员进行新增和修改，并且只能由人事部职员、执行经理以及该记录所改，并且只能由人事部职员、执行经理以及该记录所属于的那个人阅读。属于的那个人阅读。 假 设 在 多 级 安 全 系 统 中 ， 有 一 密 级 （ 假 设 在 多 级 安 全 系 统 中 ， 有 一 密 级 （confidential-secret-top secret

7、confidential-secret-top secret），），只有所持的许只有所持的许可证级别等于或高于此密级的人员，才有权访问此密可证级别等于或高于此密级的人员，才有权访问此密级中的信息。级中的信息。22访问控制策略访问控制策略 基于身份的策略。该策略允许或者拒绝对明确区分的个体基于身份的策略。该策略允许或者拒绝对明确区分的个体或群体进行访问。或群体进行访问。 基于任务的策略。它是基于身份的策略的一种变形，它给基于任务的策略。它是基于身份的策略的一种变形，它给每一个体分配任务，并基于这些任务来使用授权规则。每一个体分配任务，并基于这些任务来使用授权规则。 多等级策略。它是基于信息敏感性

8、的等级以及工作人员许多等级策略。它是基于信息敏感性的等级以及工作人员许可证等级而制定的一般规则的策略。可证等级而制定的一般规则的策略。5.1.4 安全威胁与防护措施安全威胁与防护措施11安全威胁安全威胁（1）基本的威胁）基本的威胁 信息泄露。信息泄露。 完整性破坏。完整性破坏。 业务拒绝。业务拒绝。 非法使用。非法使用。 （2）主要的可实现的威胁）主要的可实现的威胁 主要的渗入威胁主要的渗入威胁 假冒假冒 旁路控制旁路控制 授权侵犯授权侵犯 主要的植入威胁主要的植入威胁 特洛伊木马特洛伊木马 陷阱门陷阱门 （3）潜在威胁）潜在威胁22防护措施防护措施 物理安全物理安全 人员安全人员安全 管理安

9、全管理安全 媒体安全媒体安全 辐射安全辐射安全 生命周期控制生命周期控制 33. 病毒病毒 所谓病毒，是指一段可执行的程序代码，通过对其所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以他程序进行修改，可以“感染感染”这些程序，使它们成为这些程序，使它们成为含有该病毒程序的一个拷贝。含有该病毒程序的一个拷贝。 5.1.5 安全业务安全业务 在网络通信中，主要的安全防护措施被称作安全业务。有五在网络通信中，主要的安全防护措施被称作安全业务。有五种通用的安全业务：种通用的安全业务： 认证业务。提供某个实体（人或系统）身份的保证。认证业务。提供某个实体（人或系统）身份的保证。 访问控制

10、业务。保护资源以防止对它的非法使用和操纵。访问控制业务。保护资源以防止对它的非法使用和操纵。 保密业务。保护信息不被泄露或暴露给非授权的实体。保密业务。保护信息不被泄露或暴露给非授权的实体。 数据完整性业务。保护数据以防止未经授权的增删、修改或数据完整性业务。保护数据以防止未经授权的增删、修改或替代。替代。 不可否认业务。防止参与某次通信交换的一方事后否认本次不可否认业务。防止参与某次通信交换的一方事后否认本次交换曾经发生过。交换曾经发生过。11认证认证（1）实体认证）实体认证（2）数据源认证）数据源认证 2.2.访问控制访问控制 访问控制的目标是防止对任何资源（如计算资访问控制的目标是防止对

11、任何资源（如计算资源、通信资源或信息资源）进行非授权的访问。所源、通信资源或信息资源）进行非授权的访问。所谓非授权访问包括未经授权的使用、泄露、修改、谓非授权访问包括未经授权的使用、泄露、修改、销毁以及颁发指令等。销毁以及颁发指令等。 33保密保密 保密业务就是保护信息不泄露或不暴露保密业务就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体（例如，给那些未授权掌握这一信息的实体（例如，人或组织）。人或组织）。 44数据完整性数据完整性 数据完整性业务（或简称为完整性业务），数据完整性业务（或简称为完整性业务），是对下面的安全威胁所采取的一类防护措施，这是对下面的安全威胁所采取的一类防护措

12、施，这种威胁就是以某种违反安全策略的方式，改变数种威胁就是以某种违反安全策略的方式，改变数据的价值和存在。据的价值和存在。5不可否认不可否认 不可否认业务与其他安全业务有着最基本不可否认业务与其他安全业务有着最基本的区别。的区别。 5.2 密码技术基础密码技术基础5.2.1 密码技术概述密码技术概述 基于密码技术的访问控制是防止数据传输泄密的主基于密码技术的访问控制是防止数据传输泄密的主要防护手段。要防护手段。 密码学包括密码编码学和密码分析学，密码体制的密码学包括密码编码学和密码分析学，密码体制的设计是密码编码学的主要内容，密码体制的破译是密码设计是密码编码学的主要内容，密码体制的破译是密码

13、分析学的主要内容，密码编码技术和密码分析技术是相分析学的主要内容，密码编码技术和密码分析技术是相互依存，互相支持，密不可分的两个方面。互依存，互相支持，密不可分的两个方面。 保密学（保密学（cryptology）是研究信息系统安全保密的科是研究信息系统安全保密的科学。它包含两个分支，即密码学（学。它包含两个分支，即密码学（cryptography）和密码和密码分析学（分析学（cryptanalytics）。）。 采用密码方法可以隐蔽和保护需要保密的消息，使未采用密码方法可以隐蔽和保护需要保密的消息，使未受权者不能提取信息。被隐蔽的消息称作明文（消息）（受权者不能提取信息。被隐蔽的消息称作明文（

14、消息）（plaintext）。）。密码可将明文变换成另一种隐蔽的形式，称密码可将明文变换成另一种隐蔽的形式，称为密文（为密文（ciphertext）或密报（或密报（cryptogram）。）。 33. 病毒病毒 所谓病毒，是指一段可执行的程序代码，通过对其所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以他程序进行修改，可以“感染感染”这些程序，使它们成为这些程序，使它们成为含有该病毒程序的一个拷贝。含有该病毒程序的一个拷贝。 33保密保密 保密业务就是保护信息不泄露或不暴露保密业务就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体（例如，给那些未授权掌握这一信息的实体（例

15、如，人或组织）。人或组织）。 保密学（保密学（cryptology）是研究信息系统安全保密的科是研究信息系统安全保密的科学。它包含两个分支，即密码学（学。它包含两个分支，即密码学（cryptography）和密码和密码分析学（分析学（cryptanalytics）。）。 采用密码方法可以隐蔽和保护需要保密的消息，使未采用密码方法可以隐蔽和保护需要保密的消息，使未受权者不能提取信息。被隐蔽的消息称作明文（消息）（受权者不能提取信息。被隐蔽的消息称作明文（消息）（plaintext）。）。密码可将明文变换成另一种隐蔽的形式，称密码可将明文变换成另一种隐蔽的形式，称为密文（为密文（ciphertex

16、t）或密报（或密报（cryptogram）。）。 5.2.2 密码体制分类密码体制分类 密码体制从原理上可分为两大类，即单钥体制（密码体制从原理上可分为两大类，即单钥体制（one-key system）和双钥体制（和双钥体制（two-key system）。）。 加密器ek解密器dk密钥产生器明文密文k密钥信道解密后明文k图5-1 单钥保密体制 对明文消息加密有两种方式：一是明文消息按字符对明文消息加密有两种方式：一是明文消息按字符（如二元数字）逐位地加密，称之为流密码（如二元数字）逐位地加密，称之为流密码（stream cipher）；）；另一种是将明文消息分组（含有多个字符），另一种是将明

17、文消息分组（含有多个字符），逐组地进行加密，称之为分组密码（逐组地进行加密，称之为分组密码（block cipher）。）。双钥体制用于保密通信可由图双钥体制用于保密通信可由图5-2表示。表示。 ekb1dkb2dk用户amc搭线信道受保护的用户bmm图5-2 双钥保密体制将双钥体制的公开密钥和秘密密钥反过来用，如图将双钥体制的公开密钥和秘密密钥反过来用，如图5-3所示。所示。eka1dka2dk用户amc搭线信道受保护的用户bmm图5-3 双钥认证体制 为了同时实现保密性和确认身份，要采用双为了同时实现保密性和确认身份，要采用双重加、解密，如图重加、解密，如图5-45-4所示。所示。ekb1

18、dka2用户am保密用户bmdkb2保密eka1保密认证公开公开图5-4 双钥保密和认证体制5.2.3 5.2.3 初等密码分析初等密码分析 密码设计和密码分析是共生的，又是互逆的，密码设计和密码分析是共生的，又是互逆的，两者密切相关但追求的目标相反。两者密切相关但追求的目标相反。 分析破译法有确定性和统计性两类。分析破译法有确定性和统计性两类。 确定性分析法是利用一个或几个已知量（比如，确定性分析法是利用一个或几个已知量（比如，已知密文或明文已知密文或明文- -密文对）用数学关系式表示出所求密文对）用数学关系式表示出所求未知量（如密钥等）。未知量（如密钥等）。 统计分析法是利用明文的已知统计

19、规律进行破译统计分析法是利用明文的已知统计规律进行破译的方法。的方法。 破译者通常是在下述四种条件下工作的，或者破译者通常是在下述四种条件下工作的，或者说密码可能经受的不同水平的攻击。说密码可能经受的不同水平的攻击。 惟密文攻击（惟密文攻击（ciphertext only attacks）。）。 已知明文攻击（已知明文攻击（know plaintext attacks）。）。 选择明文攻击（选择明文攻击（chosen plaintext attacks）。）。 选择密文攻击（选择密文攻击（chosen ciphertext attack）。）。 5.2.4 对称密钥密码技术对称密钥密码技术 在

20、在set协议中协议中data encryption standard（des）是默认是默认的对称密钥算法，用于保护敏感金融数据（如支付指示）。的对称密钥算法，用于保护敏感金融数据（如支付指示）。commercial data masking facility（cdmf）是另一个对称是另一个对称密钥算法，用于保护收单行和持卡者的消息。密钥算法，用于保护收单行和持卡者的消息。11流密码流密码 流密码一直是作为军事和外交场合使用的主要密流密码一直是作为军事和外交场合使用的主要密码技术之一，它的主要原理是，通过有限状态随机产码技术之一，它的主要原理是，通过有限状态随机产生性能优良的伪随机序列，使用该序

21、列加密信息流，生性能优良的伪随机序列，使用该序列加密信息流，（逐（逐bit加密）得到密文序列，所以，流密码算法的安加密）得到密文序列，所以，流密码算法的安全强度完全决定于它所产生的伪随机序列的好坏。全强度完全决定于它所产生的伪随机序列的好坏。 2分组密码技术分组密码技术 分组密码的工作方式是将明文分成固定长度的组（分组密码的工作方式是将明文分成固定长度的组（块），如块），如64bit一组，用同一密钥和算法对每一块加密，输一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。出也是固定长度的密文。 算法必须完全确定而无含糊之处；算法必须完全确定而无含糊之处； 算法必须有足够高的保护水准，即

22、可以检测到威胁，恢算法必须有足够高的保护水准，即可以检测到威胁，恢复密钥所必须的运算时间或运算次数足够大；复密钥所必须的运算时间或运算次数足够大； 保护方法必须只依赖于密钥的保密；保护方法必须只依赖于密钥的保密； 对任何用户或产品供应者必须是不加区分的。对任何用户或产品供应者必须是不加区分的。5.2.5 公钥密码技术公钥密码技术 公钥体制于公钥体制于1976年由年由w.diffie和和m.hellman提出，同时提出，同时r.merkle于于1978年也独立提出了这一体制。这一体制的最年也独立提出了这一体制。这一体制的最大特点是采用两个密钥将加密和解密能力分开：一个公开作大特点是采用两个密钥将

23、加密和解密能力分开：一个公开作为加密密钥；一个为用户专用，作为解密密钥，通信双方无为加密密钥；一个为用户专用，作为解密密钥，通信双方无需事先交换密钥就可进行保密通信。需事先交换密钥就可进行保密通信。 公钥加密算法也称非对称密钥算法，用两对密钥：一个公钥加密算法也称非对称密钥算法，用两对密钥：一个公共密钥和一个专用密钥。公共密钥和一个专用密钥。 dss（digital signature standard）、）、diffie-hellman公公钥加密方法支持彼此互不相识的两个实体间的安全通信，如钥加密方法支持彼此互不相识的两个实体间的安全通信，如信用卡交易，但缺乏对资源访问的授权能力（存取控制）

24、。信用卡交易，但缺乏对资源访问的授权能力（存取控制）。 公用密钥的优点就在于，也许你并不认识某一实体，但公用密钥的优点就在于，也许你并不认识某一实体，但只要你的服务器认为该实体的只要你的服务器认为该实体的caca是可靠的，就可以进行安全是可靠的，就可以进行安全通信，而这正是通信，而这正是webweb商务这样的业务所要求的。商务这样的业务所要求的。 11rsa公开密钥密码算法公开密钥密码算法 22d diffffie-hellmallman密钥交换协议密钥交换协议33d dsa美国数字签字算法美国数字签字算法 44其他公钥体制其他公钥体制 5.22.6 6 hashash杂凑函数杂凑函数 杂凑（

25、杂凑（hashash）函数是将任意长的数字串函数是将任意长的数字串m m映射映射成一个较短的定长输出数字串成一个较短的定长输出数字串h的函数，以的函数，以h h表示，表示，h h（m m）易于计算，称易于计算，称hh h（m m）为）为m m的杂凑值，也称杂的杂凑值，也称杂凑码、杂凑结果等，或简称杂凑。凑码、杂凑结果等，或简称杂凑。 5.22.7 7 数字签字数字签字 数字签字在信息安全，包括身份认证、数据完整性、不数字签字在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以

26、及电子商务系统中具有重要安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。作用。 类似于手书签字，数字签字也应满足以下要求：类似于手书签字，数字签字也应满足以下要求： 收方能够确认或证实发方的签字，但不能伪造，简收方能够确认或证实发方的签字，但不能伪造，简记为记为r11-条件。条件。 发方发出签字的消息给收方后，就不能再否认他所发方发出签字的消息给收方后，就不能再否认他所签发的消息，简记为签发的消息，简记为s-条件。条件。 收方对已收到的签字消息不能否认，即有收报认证收方对已收到的签字消息不能否认，即有收报认证，简记作，简记作r22-条件。条件。 第三者可以确认收发双方之间的消息传送，

27、但不能第三者可以确认收发双方之间的消息传送，但不能伪造这一过程，简记作伪造这一过程，简记作t-条件。条件。5.3 公开密钥基础设施（公开密钥基础设施（pki）5.3.1 pki概述概述 pki是一种遵循标准的密钥管理平台，它能够为所有网络是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签字等密码服务所必需的密钥应用透明地提供采用加密和数字签字等密码服务所必需的密钥和证书管理。和证书管理。 11认证机关认证机关 ca是证书的签发机构，它是是证书的签发机构，它是pki的核心。众的核心。众所周知，构建密码服务系统的核心内容是如何实现所周知，构建密码服务系统的核心内容是如何实

28、现密钥管理，公钥体制涉及到一对密钥，即私钥和公密钥管理，公钥体制涉及到一对密钥，即私钥和公钥，私钥只由持有者秘密掌握，无须在网上传送，钥，私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题，目前较好的解决密钥管理主要是公钥的管理问题，目前较好的解决方案是引进证书（方案是引进证书（certificate）机制。机制。ca正是这样的机构，它的职责归纳起来有正是这样的机构，它的职责归纳起来有: 验证并标识证书申请者的身份；验证并标识证书申请者的身份； 确保确保ca用于签字证书的非对称密钥的质量；

29、用于签字证书的非对称密钥的质量； 确保整个签证过程的安全性，确保签字私钥的安全性；确保整个签证过程的安全性，确保签字私钥的安全性； 证书材料信息（包括公钥证书序列号、证书材料信息（包括公钥证书序列号、ca标识等）的管理；标识等）的管理； 确定并检查证书的有效期限；确定并检查证书的有效期限； 确保证书主体标识的惟一性，防止重名；确保证书主体标识的惟一性，防止重名； 发布并维护作废证书表；发布并维护作废证书表； 对整个证书签发过程做日志记录；对整个证书签发过程做日志记录； 向申请人发通知。向申请人发通知。 用户自己生成密钥对，然后将公钥以安全的方式传送给用户自己生成密钥对，然后将公钥以安全的方式传

30、送给ca，该过程必须保证用户公钥的可验证性和完整性；该过程必须保证用户公钥的可验证性和完整性； ca替用户生成密钥对，然后将其以安全的方式传送给替用户生成密钥对，然后将其以安全的方式传送给用户，该过程必须确保密钥对的机密性、完整性和可验证用户，该过程必须确保密钥对的机密性、完整性和可验证性。性。 一般地，公钥有两大类用途一般地，公钥有两大类用途: 用于验证数字签字。用于验证数字签字。 用于加密信息。用于加密信息。 （1）签字密钥对）签字密钥对（2）加密密钥对）加密密钥对22证书库证书库33密钥备份及恢复系统密钥备份及恢复系统44证书作废处理系统证书作废处理系统 作废一个或多个主体的证书；作废一

31、个或多个主体的证书； 作废由某一对密钥签发的所有证书；作废由某一对密钥签发的所有证书； 作废由某作废由某ca签发的所有证书。签发的所有证书。5pki应用接口系统应用接口系统 pki的价值在于使用户能够方便地使用加密、的价值在于使用户能够方便地使用加密、数字签字等安全服务，因此一个完整的数字签字等安全服务，因此一个完整的pki必须必须提供良好的应用接口系统，使得各种各样的应用提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与能够以安全、一致、可信的方式与pki交互，确交互，确保所建立起来的网络环境的可信性，同时降低管保所建立起来的网络环境的可信性，同时降低管理维护成本。理维

32、护成本。5.3.2 pki的功能的功能归纳起来，归纳起来，pki应该为应用提供如下的安全支持：应该为应用提供如下的安全支持：1证书与证书与ca2密钥备份及恢复密钥备份及恢复3证书、密钥对的自动更换证书、密钥对的自动更换4交叉签证交叉签证5加密密钥和签字密钥的分隔加密密钥和签字密钥的分隔6支持对数字签字的不可抵赖支持对数字签字的不可抵赖7密钥历史的管理密钥历史的管理5.3.3 pki的基本特征的基本特征 pki是一个颁发用户公开密钥的系统，所有的是一个颁发用户公开密钥的系统，所有的pki都应该执行以下两个基本操作都应该执行以下两个基本操作:11发放证书发放证书22确认确认5.3.4 基于基于x.

33、509的的pki1. x.509 v1和和v22. x.509 v35.3.2 pki的功能的功能归纳起来，归纳起来，pki应该为应用提供如下的安全支持：应该为应用提供如下的安全支持：1证书与证书与ca2密钥备份及恢复密钥备份及恢复3证书、密钥对的自动更换证书、密钥对的自动更换4交叉签证交叉签证5加密密钥和签字密钥的分隔加密密钥和签字密钥的分隔6支持对数字签字的不可抵赖支持对数字签字的不可抵赖7密钥历史的管理密钥历史的管理5.3.4 基于基于x.509的的pki1. x.509 v1和和v22. x.509 v35.4.2 防火墙原理防火墙原理11防火墙设计需要满足的基本原则防火墙设计需要满足

34、的基本原则 由内到外，或由外到内的业务流均经过防火墙。由内到外，或由外到内的业务流均经过防火墙。 只允许本地安全政策认可的业务流通过防火墙。对于任只允许本地安全政策认可的业务流通过防火墙。对于任何一个数据组，当不能明确是否允许通过时就拒绝通过；何一个数据组，当不能明确是否允许通过时就拒绝通过；只让真正合法的数据组通过。只让真正合法的数据组通过。 尽可能控制外部用户访问专用网，应当严格限制外部人尽可能控制外部用户访问专用网，应当严格限制外部人进入专用网中。如果有些文件要向进入专用网中。如果有些文件要向internet用户开放，则用户开放，则最好将这些文件放在防火墙之外。最好将这些文件放在防火墙之

35、外。 具有足够的透明性，保证正常业务流通。具有足够的透明性，保证正常业务流通。 具有抗穿透攻击能力，强化记录、审计和报警功能。具有抗穿透攻击能力，强化记录、审计和报警功能。5.4.3 防火墙的选择和使用防火墙的选择和使用 防火墙作为网络安全的一种防护手段得到了广泛的应防火墙作为网络安全的一种防护手段得到了广泛的应用，应该说它对网络起到了一定的防护作用，但并非万无一用，应该说它对网络起到了一定的防护作用，但并非万无一失。失。 风险分析（风险分析（risks analysis）；）； 需求分析（需求分析（needs analysis）；）； 确立安全政策（确立安全政策（security polic

36、y）；）； 选择准确的防护手段，并使之与安全政策保持一致。选择准确的防护手段，并使之与安全政策保持一致。5.4 防火墙技术防火墙技术5.4.1 防火墙概念防火墙概念防火墙的设计有两个基本准则。防火墙的设计有两个基本准则。（1）一切未被允许的就是禁止的。）一切未被允许的就是禁止的。 （2）一切未被禁止的就是允许的。）一切未被禁止的就是允许的。 5.4.2 防火墙原理防火墙原理11防火墙设计需要满足的基本原则防火墙设计需要满足的基本原则 由内到外，或由外到内的业务流均经过防火墙。由内到外，或由外到内的业务流均经过防火墙。 只允许本地安全政策认可的业务流通过防火墙。对于任只允许本地安全政策认可的业务

37、流通过防火墙。对于任何一个数据组，当不能明确是否允许通过时就拒绝通过；何一个数据组，当不能明确是否允许通过时就拒绝通过；只让真正合法的数据组通过。只让真正合法的数据组通过。 尽可能控制外部用户访问专用网，应当严格限制外部人尽可能控制外部用户访问专用网，应当严格限制外部人进入专用网中。如果有些文件要向进入专用网中。如果有些文件要向internet用户开放，则用户开放，则最好将这些文件放在防火墙之外。最好将这些文件放在防火墙之外。 具有足够的透明性，保证正常业务流通。具有足够的透明性，保证正常业务流通。 具有抗穿透攻击能力，强化记录、审计和报警功能。具有抗穿透攻击能力，强化记录、审计和报警功能。22防火墙的组成防火墙的组成e-mail处理域名服务网关代理认证 socks过滤器安全操作系统内部网(intranet)因特网(interet)e-mail域名询问高级协议访问ip级数据图5-5 防火墙的组成33防火墙不能对付的安全威胁防火墙不能对付的安全威胁（1）来自内部的攻击。）来自内部的攻击。 （2）直接的）直接的internet数据流。数据流。 （3）病毒防护。）病毒防护。 44防火墙的分类防火墙的分类（1）分组过滤网关（）分组过滤网关（packet-filtering gateways），），按按源地址和目的地址或业务（即端口号）卸包（组），并源地址和目的地址或业务（即端