电子商务安全与支付 宋少忠 9.pptVIP

第9章 电子商务网站常用防御方法 9.1 防火墙（Firewall） 9.1.1 防火墙的工作原理 1、包过滤防火墙 2、代理服务器防火墙 3、应用层网关防火墙 9.1.2 防火墙规则集 （1）先摆出“拒绝一切”的姿态。 （2）常见通信的常用端口。 （3）将伪代码转换成防火墙规则。 （4）协议和风险：作出最佳决策。 9.2 非军事区域（DMZ） 9.2.1 DMZ的概念 9.2.2 非军事区域的设置 9.2.3 电子商务非军事区域的实现 9.2.4 多区网络存在的问题 9.3 虚拟专用网（VPN） 9.3.1 VPN技术 VPN通常被定义为通过一个公共网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全的、稳定的隧道，它是对企业内部网的扩展。 VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接。并保证数据的安全传输。通过将数据流移到低成本的IP网上，一个企业的VPN解决方案将大幅度地减少用户花费在WAN上和远程网络连接上的费用。 9.3.1 VPN技术 同时，着将简化网络的设计和管理，加速连接新的用户和网站。另外，它还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的VPN解决方案可以使用户把精力集中到自己的生意上，而不是网络上。 VPN 可用于不断增长的移动用户的全球Internet接入，以实现安全连接；可用于建立网站之间安全通信的虚拟专用线路，以连接到商业伙伴和用户的安全外连网VPN。 9.3.2 IPSec协议 9.4 入侵检测系统（IDS） 9.4.1 入侵检测概念 9.4.2 基于主机的IDS 9.4.3 网络的IDS 9.4.4 入侵检测技术发展方向 9.5 认证 9.5.1 第三方认证 9.5.2 PKI的组成 9.5.3 证书认证机构CA 9.5.4 PKI应用 * * 9.1 防火墙 9.2 非军事区域 9.3 虚拟专用网(VPN) 9.4 入侵检测系统(IDS) 9.5 认证 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 9.1.1 防火墙的工作原理 9.1.2 防火墙规则集 防火墙主要有三种类型：包过滤防火墙、代理服务器防火墙、应用层防火墙。 1、包过滤防火墙 Internet 可信赖网络 内部过滤器 外部过滤器 Internet 内部网络 请求 请求转发 答复 答复 服务器 Internet 外部网 代理防火墙 WEB、FTP E-MAIL 采用为每种所需服务在网关上安装专用程序代码，否则该服务就不支持且不能通过防火墙来转发。另外，应用网关也可以通过配置专用程序代码来支持应用程序的特定服务。应用网关防火墙允许用户访问代码服务，但绝对不能允许让用户登陆到该网关上，否则该用户就有可能获得Root权限，从而通过安装特洛伊木马来截获登陆口令，并修改防火墙的安全配置，直接攻击防火墙。 9.2.1 DMZ的概念 9.2.2 非军事区域的设置 9.2.3 电子商务非军事区域的实现 9.2.4 多区网络存在的问题 为不信任系统提供服务的孤立网段，允许公众Internet访问的系统就位于这儿，并得到了一些基本的防止攻击的保护。它是两个放火墙之间的网段，或是连接防火墙的“死端”的网络。 WEB应用程序服务器 DMZ 防 火 墙 Internet企业 内部网 可在下列系统中装入非军事区域（DMZ） （1）载有公共信息的网络服务器 （2）与电子商务交易服务器连接的前端机，该前端机用来接收客户定单。存放客户资料的后端应置于防火墙之后。 （3）把外来电子邮件中转至内部的邮件服务器 （4）可据以进入内部网络的证书服务及服务器 （5）虚拟专用网络上的各端点。 （6）应用（层）网关 （7）测试及登录服务器。 INTERNET 受保护网络 防 火 墙 WEB和邮件服务器 金融处理网络 数据存储网络 对多区网络确实存在一些常见问题，由于它们的性质，它们难于实现、保护和管理。防火墙规则集通常庞大、动态和混乱，实现起来也是费力和浪费资源的。 9.3.1 VPN技术 9.3.2 IPSec协议 IPSec包括两部分： （1）IP security Protoc