1 / 65

第 9 章 防火墙与虚拟专用网

第 9 章 防火墙与虚拟专用网. 电子商务安全. 本章主要内容:). 学习目标. 1. 了解防火墙的属性和功能 2 .熟悉防火墙的基本类型及工作原理 3 .了解虚拟专用网的基本要求 4. 熟悉虚拟专用网主要类型 5 .了解 VPN 隧道技术原理. 第 10 章 防火墙与虚拟专用网. 电子商务安全. 一些常见协议名称. HTTP :超文本传输协议 FTP :文本传输协议 RPC :远程过程调用协议 SMTP :简单邮件传输协议 POP :邮局协议 ICMP: 控制报文协议 UDP :用户数据包协议 TCP :传输控制协议 IP :网络间互联协议.

curran-horn
Download Presentation

第 9 章 防火墙与虚拟专用网

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第9章 防火墙与虚拟专用网 电子商务安全 本章主要内容:) 学习目标 1. 了解防火墙的属性和功能 2.熟悉防火墙的基本类型及工作原理 3.了解虚拟专用网的基本要求 4. 熟悉虚拟专用网主要类型 5.了解VPN隧道技术原理

  2. 第10章 防火墙与虚拟专用网 电子商务安全 一些常见协议名称 HTTP:超文本传输协议 FTP:文本传输协议 RPC:远程过程调用协议 SMTP:简单邮件传输协议 POP:邮局协议 ICMP:控制报文协议 UDP:用户数据包协议 TCP:传输控制协议 IP:网络间互联协议

  3. 第10章 防火墙与虚拟专用网 电子商务安全 10.1 防火墙概述 10.1.1 防火墙属性 防火墙的英文名为“firewall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。一般认为,防火墙是放在两个网之间用于提高网络安全的软、硬件系统的集合,有如下属性: (1)所有从内到外的通信流量,都必须通过它。 (2)仅仅被本地安全策略定义的且被授权的通信量允许通过。 (3)系统对外部攻击具有高抵抗力。

  4. 第10章 防火墙与虚拟专用网 电子商务安全 10.1 防火墙概述 10.1.1 防火墙属性 防火墙工作原理 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障,是一种获取安全性方法的形象说法。它使互联网与内部网之间建立起一个安全网关(security gateway),保证流入流出的所有网络通信均要经过此防火墙,从而保护内部网免受非法用户的侵入,因此它实际上起到了一种隔离作用,防火墙的工作原理如图10—1所示。 防火墙是在两个网络通信时执行的一种访问控制尺度,它能允许用户“同意”的人和数据进入内部网络,同时将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问内部网络。换句话说,如果不通过防火墙,公司内部的人就无法访问互联网,互联网上的人也无法和公司内部的人进行通信。

  5. 电子商务安全 10.1 防火墙概述 10.1.1 防火墙属性 防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马,并且,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

  6. 电子商务安全 10.1 防火墙概述 防火墙的单向导通性 防火墙在网络中具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火墙最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的信息通过,也可以说具有“单向导通”性。

  7. 电子商务安全 10.1 防火墙概述 10.1.1 防火墙属性 防火墙本来是指早年居住木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的还有“门”。如果没有门,房屋内的人如何与外界沟通呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所指的“单向导通性”。

  8. 10.1 防火墙概述 设置防火墙的意义 互联网是一个开放的世界,它在拥有丰富信息量的同时也存在着许多不安全因素。自内部网与互联网相连,使它的用户能访问互联网上的服务时,非内部网用户也能通过互联网访问内部网用户,实现一些非法操作,如盗取重要资料、破坏文件等。这对于没有受到任何保护的内部网用户来说无疑是一种安全威胁。 与人们在建筑物之间修建墙壁、保护建筑所用的“防火墙”类似,可以在内部网和互联网之间设置一堵“防火墙”,以保护内部网免受外部的非法入侵。在网络世界中,防火墙是被配置在内部网和互联网之间的系统(或一组系统),通过控制内外网络间信息的流动来达到增强内部网络安全性的目的;防火墙决定了内部的哪些服务可以被外部用户访问以及哪些外部服务可以被内部用户访问。 防火墙对内部网具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。我们可以将防火墙配置成许多不同保护级别,最高级别的保护可能会禁止一些服务,这是用户自己的保护选择。

  9. 电子商务安全 10.1 防火墙概述 防火墙的运行方式 防火墙有不同的运行方式。一个防火墙可以是一个独立硬件,用户可以将互联网连接和计算机都插入其中;防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙;直接连在互联网上的机器还可以使用个人防火墙。

  10. 电子商务安全 10.1.2 防火墙的功能 1)防火墙是网络安全的屏障 防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络;防火墙同时可以保护网络免受基于路由的攻击。防火墙应该可以拒绝所有以上类型的攻击并通知防火墙管理员。

  11. 电子商务安全 10.1.2 防火墙的功能 2)防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而可以集中于防火墙一身。

  12. 电子商务安全 10.1.2 防火墙的功能 3)对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足,而网络使用统计对网络需求分析和威胁分析等也是非常重要的。

  13. 电子商务安全 10.1.2 防火墙的功能 4)防止内部信息外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的服务,如Finger、DNS等。 (1)Finger显示了主机的所有用户的注册名、真名、最后登录时间和使用shell的类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等。 (2)防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。

  14. 电子商务安全 10.1.3 防火墙特性 1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处的网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时,才可以全面、有效地保护企业内部网络不受侵害。 根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络之间的连接处建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙体系结构如图10—1所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

  15. 电子商务安全 10.1.3 防火墙特性 2)只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收过来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程中完成对报文的审查工作。

  16. 电子商务安全 10.1.3 防火墙特性 3)防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领,防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

  17. 电子商务安全 10.1.4 防火墙硬件结构 1)通用CPU架构 通用CPU架构最常见的是基于Intel X86架构的防火墙,在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限。 国内安全设备主要采用的就是基于X86的通用CPU架构。

  18. 电子商务安全 10.1.4 防火墙硬件结构 2)ASIC架构 ASIC(application specific integrated circuit,专用集成电路)技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术,ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。 ASIC技术的性能优势主要体现在网络层转发上,而对于需要强大计算能力的应用层数据的处理则不占优势,而且面对频繁变异的应用安全问题,其灵活性和扩展性也难以满足要求。 由于该技术有较高的技术和资金门槛,主要是国内外知名厂商在采用,国外主要代表厂商是Netscreen,国内主要代表厂商为天融信。

  19. 电子商务安全 10.1.4 防火墙硬件结构 3)网络处理器架构 由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。 随着网络处理器的主要供应商Intel, Broadcom, IBM等相继出售其网络处理器业务,目前该技术在网络安全产品中的应用已经走到了尽头。

  20. 电子商务安全 10.2 防火墙体系结构 我们首先来熟悉几个用于防火墙的关键术语。 (1)主机:与网络系统相连的计算机系统。 (2)堡垒主机:某一个计算机系统,它既连接外部网络,又是内部网络用户的主要连接点,非常容易被入侵。 (3)双宿主机:是具有至少两个网络接口的通用计算机系统。 (4)包:在互联网络上,进行通信时的基本单位。 (5)路由:为转发的包分组选择正确的接口和下一个路段的过程。 (6)包过滤:设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤操作。 数据包的头部信息主要包括: ①IP源地址。②IP目标地址。 ③协议(表明该数据包是TCP、UDP或ICMP包)。④TCP或者UDP源接口。 ⑤TCP或者UDP目标接口。⑥ICMP信息类型。

  21. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 1)屏蔽路由器(screened router) (1)包过滤路由器。包过滤路由器是路由加上过滤功能,如图10—2所示,这是结构最简单的防火墙。 包过滤系统就是有选择地让数据包在内部与互联网之间进行交换。包过滤系统将根据站点的安全规则允许或阻断某些数据包流过,进行有选择的路由。这种路由器也称为包过滤防火墙。

  22. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 1)屏蔽路由器(screened router) (2)包过滤规则。一个包过滤路由器的包过滤规则可设定为: ①除了进入内部网络的SMTP连接外,阻断所有来自于外部的连接。 ②阻断内部网络与某些认为不可靠的外部网络的所有连接。 ③允许使用电子邮件和文件传输服务,但阻断TFTP、RPC和R类服务(如RLOGIN、RSB、RCP)等较为危险的服务。 路由器在设置包过滤规则时要指定:对于某些端口允许数据包与该端口交换,或者阻断数据包与它们的连接(例如Telnet服务指定TCP端口23)。

  23. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 1)屏蔽路由器(screened router) (3)屏蔽路由器的不足。 ①日志没有或很少,难以判断是否被入侵。 ②规则表会随着应用变得很复杂。 ③单一的部件保护,脆弱,责任重大。

  24. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 2)双宿主机网关(dual homed host gateway) 用一台装有两块网卡的计算机作为堡垒主机(bastion host),两块网卡分别与内部网和外部网(或屏蔽路由器)相连,每块网卡有各自的IP地址,在堡垒主机上运行防火墙软件。在建立双宿主机时,应关闭操作系统的路由功能(IP转发),否则两块网卡间的通信会绕过防火墙软件。 这种主机可以充当与这台主机相连的若干网络之间的路由器。他能将一个网络的IP数据包在无安全控制环境下传递给另外一个网络。因此,在双宿主机网关防火墙结构中,首先要使双宿主机的这种路由功能失效。来自于互联网的IP数据包不能无条件地传输给内部网络。双宿主机内外网络均可与双宿主机实施通信,但内外网络之间不可直接通信。内外部网络之间的IP数据流被双宿主机完全切断。

  25. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 2)双宿主机网关(dual homed host gateway) 双宿主机网关防火墙结构如图10—3所示。双宿主机(堡垒主机)位于内部网络之间并与外部网络相连。 双宿主机网关的优点是,与屏蔽路由器相比,可以提供日志以备检查。但缺点是,双宿主机易受攻击。

  26. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 3)屏蔽主机防火墙(screened host gateway) 屏蔽主机防火墙由屏蔽路由器和应用网关组成,如图10—4所示。这种防火墙用两道屏障设置安全保障:网络层的包过滤和应用层的代理服务。但与双宿主机网关不同的是,这里的应用网关只有一块网卡。 屏蔽主机防火墙的优点是,设置了双重保护,安全性更高。但实施时,可以针对不同的服务,选择其中的一种或两种保护措施。

  27. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 4)屏蔽子网防火墙(screened subnet) 屏蔽子网防火墙如图10—5所示。在屏蔽子网防火墙中,通过添加周边网络进一步把内部网络与互联网隔离开。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上侵入的威胁,进一步提高了防火墙的安全性。

  28. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 4)屏蔽子网防火墙(screened subnet) 要想侵入用这种类型的体系结构构筑的内部网络,侵袭者必须通过屏蔽路由器、堡垒主机、内部路由器三道关口,即要突破周边网络。 (1)周边网络。周边网络是另一个安全层,是在外部网络与内部网络之间的附加的网络,它在内部网络与外部网络之间形成了一个非军事化区,即停火区(DMZ)。 周边网络的作用是,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或互联网,没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或者专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。

  29. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 4)屏蔽子网防火墙(screened subnet) (2)堡垒主机。堡垒主机是该系统中接受来自外界连接的主要入口。其完成的任务是: 对于进来的电子邮件(SMTP)会话,传送电子邮件到站点; 对于进来的FTP连接,转接到站点的匿名FTP服务器; 对于进来的域名服务(DNS)站点查询等。 出站服务按如下任一方法处理: 在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。 设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈。但是禁止内部的客户端与外部世界之间直接通信(如拨号上网)。

  30. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 4)屏蔽子网防火墙(screened subnet) (3)内部路由器。内部路由器用于保护内部的网络使之免受来自互联网和周边子网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到互联网的有选择的出站服务。这些服务是用户使用数据包过滤而不是通过代理服务提供。 内部路由器所允许的在周边网和内部网之间的服务可不同于内部路由器所允许的在外部和内部网之间的服务。内部路由器限制堡垒主机与内部网之间的通信,从而减少堡垒主机被攻破时对内部网的危害。

  31. 电子商务安全 10.2 防火墙体系结构 10.2.1 屏蔽型防火墙 4)屏蔽子网防火墙(screened subnet) (4)屏蔽路由器。在理论上,屏蔽路由器保护周边网和内部网使之免受来自互联网的侵犯。实际上,屏蔽路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。 屏蔽路由器的安全任务之一是:阻止从互联网上伪造源地址进来的任何数据包。

  32. 电子商务安全 10.2.2代理服务器型防火墙 1)代理服务 代理服务代表内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求送达外部服务器,同时将外部服务器的响应再回送给用户。 代理服务替代了用户与互联网的直接连接。对于用户请求的外界服务而言,代理服务相当于一个网关。有时代理服务又称为应用层网关。

  33. 电子商务安全 10.2.2代理服务器型防火墙 2)代理服务器(proxy server)工作原理 代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,请求信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给浏览器,而且,大部分代理服务器都具有缓冲的功能,就好像一个大的Cache,具有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率(速度会随着代理服务器地理位置的不同以及网络传输情况而改变),因为使用代理服务器上网可以隐藏自己的真实IP地址,所以这从根本上解决了端口扫描等恶意攻击的发生,此时的代理服务器已经变成了一个强大的防火墙。

  34. 电子商务安全 10.2.2代理服务器型防火墙 代理服务器实现过程如图10—6所示。

  35. 电子商务安全 10.2.2代理服务器型防火墙 代理服务器技术分类: 由图10—6可以看出内部网络与外部网络进行通信时,通信发起方首先与代理服务器建立连接,然后代理服务器另外建立到目标主机的连接,通信双方通过代理进行间接连接、通信,不允许端到端的直接连接。各种网络应用服务也是通过代理提供,由此达到访问控制的目的。

  36. 电子商务安全 10.2.2代理服务器型防火墙 3)代理服务器技术 (1)应用层代理。应用层代理工作在TCP/IP模型的应用层上,也称做应用级网关(application gateway)。如图10—7(A)所示。 其工作原理为: 1.当接收到用户方连接请求后,应用代理协议检查用户的源IP和目的IP地址,并根据过滤规则决定是否允许该请求连接。 2.如果允许该连接请求,进行用户身份识别。否则,阻断该连接请求。

  37. 电子商务安全 10.2.2代理服务器型防火墙 3.通过身份识别后,应用代理建立该连接请求的连接,并将这次的连接记录在日志内。 4.当一方关闭连接后,应用代理协议关闭对应的另一方连接,并将本次连接记录在日志内。 应用代理服务器一般运行在具有两个网络接口的双宿主机的防火墙上,两个网络接口分别连接内、外网络,并且禁止IP转发,切断内外网络之间直接的IP通信,由代理服务器按照一定的安全策略提供互联网连接和服务。 应用层代理只能用于支持代理的应用层协议,提供的控制最多,但不灵活,需要有相应的协议支持。如果协议不支持代理(如SMTP和POP),那么就只能在应用层以下代理,也即传输层代理。如图10—7(B)所示。

  38. 电子商务安全 10.2.2代理服务器型防火墙 (2)传输层代理。传输层代理直接与TCP层交互,更加灵活。要求代理服务器具有部分真正服务器功能:监听特定TCP或UDP端口,接受用户端的请求同时向用户端回复相应的响应。 传输层代理主要有两种方案:端口重定向和客户端服务器代理。端口重定向比较简单,代理服务器通过监听特定的TCP或UDP端口接收连接,希望连接到外部网络的用户端通过该端口连接到代理服务器,代理服务器使用另外的端口和IP地址发出对远端目的地连接。建立连接后,所有用户端和远端目的地的数据都由代理服务器转发。用户端服务器代理需要安装用户端,用户启动与外部网络通信的程序时,代理客户端封装包并直接转发给代理服务器。代理服务器打开封装并将包传输给外部网络。接到响应时,代理服务器封装数据并转发给用户端。这种方案有一个严重缺点,即由于客户端程序的安装,改变了TCP/IP栈的工作方式,使代理复杂化,降低了系统的可靠性。

  39. 电子商务安全 10.2.2代理服务器型防火墙 (3)SOCK代理。SOCK代理需要改变客户端的IP栈,它是可用的最强大、最灵活的代理标准协议。 被代理端与代理服务器通过“SOCK4/5代理协议”进行通迅(具体协议内容可查看RFC文档)。SOCK4代理协议可以说是对HTTP代理协议的加强,SOCK V4允许代理服务器内部的用户端完全连接到外部服务器,它不仅是对HTTP协议进行代理,而是对所有向外的连接进行代理,是没有协议限制的。也就是说,只要你向外连接,它就给你代理,并不管你用的是什么协议,极大的弥补了HTTP代理协议的不足,使得很多在HTTP代理情况下无法使用的网络软件都可以使用了(例如,OICQ、MSN等软件)。SOCK5代理协议又对前一版进行了修改,增加了支持UDP代理及身份验证的功能。它不是“协议代理”,所以它会对所有的连接进行代理,而不管用的是什么协议。SOCK V5增加了对用户端的授权和认证,因此它是一种安全性较高的代理。

  40. 电子商务安全 10.2.2代理服务器型防火墙 (4)代理服务器。代理服务是互联网链路级网关所提供的一种重要的安全功能,它工作在开放系统互联(OSI)模型的对话层。其主要的功能有: ①突破自身IP访问限制,访问任意站点。教育网、169网等网络用户可以通过代理访问任意网站。 ②访问一些单位或团体内部资源。如访问某大学的FTP(前提是该代理地址在该资源的允许访问范围之内),使用教育网内地址段免费代理服务器,就可以用于对教育网开放的各类FTP下载上传,以及各类资料查询共享等服务。 ③突破IP封锁。由于有很多网站是被限制访问的,这种限制是人为的,不同服务器对地址的封锁是不同的,所以不能访问时可以换一个代理服务器。 ④提高访问速度。通常代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。 ⑤隐藏真实IP。上网者也可以通过这种方法隐藏自己的IP,免受攻击。

  41. 电子商务安全 10.2.3防火墙的局限性 防火墙是保护Intranet免受外部攻击的极有效方式,防火墙应是整体网络安全计划中的重要组成部分,但同时必须注意到防火墙并非是万能的,防火墙主要有以下局限性: (1)防火墙不能防范不经过防火墙的攻击。 (2)防火墙不能解决来自内部网络的攻击和安全问题。 (3)防火墙不能防止策略配置不当或错误配置引起的安全威胁。 (4)防火墙不能防止可接触的人为或自然的破坏。 (5)防火墙不能防止利用标准网络协议中的缺陷进行的攻击。 (6)防火墙不能防止利用服务器系统漏洞所进行的攻击。 (7)防火墙不能防止受病毒感染的文件的传输。 (8)防火墙不能防止数据驱动式的攻击。 (9)防火墙不能防止内部的泄密行为。 (10)防火墙不能防止本身的安全漏洞的威胁。 在以上的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因,我们还需要对内部网的部分站点再加以保护以免受内部的其他站点的侵袭。因此,有时我们需要在同一结构的两个部分之间,或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。另外,防火墙除了安全作用,还支持具有互联网服务特性的企业内部网络技术体系VPN(虚拟专用网)。

  42. 电子商务安全 10.3 虚拟专用网VPN 随着信息数字化、网络化应用的迅速发展,企业面临的市场是没有国界的市场,企业间的竞争是国际范围内的竞争。以互联网为传输媒介,将远程客户、远程分支机构和合作伙伴等连接起来,构成一个灵活的商务网络平台,同时又具备专用网的安全性,这样就产生了虚拟专用网(virtual private network, VPN)。VPN是指通过在一个公用网络(如互联网等)中建立一个安全、专用的虚拟通道,连接异地的两个网络,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,构成逻辑上的虚拟子网。从而实现对重要信息的安全传输。通过VPN可以使企业的信息在公共网络上传输,就像在广域网中为企业建立了一条专线,安全可靠、方便快捷。它可以使企业利用公众网的资源将分散在各地的办事机构和客户等动态地连接起来,使网络提供商、企业和最终客户三者都获利。VPN对于网络提供商和企业都蕴含着极大的商机,已经成为提供新一代电信业务的基石。

  43. 电子商务安全 10.3 虚拟专用网VPN 10.3.1 VPN的基本要求 一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏。因此,最低限度,一个成功的VPN方案应当能够满足以下所有方面的要求。 1)易于部署 2)用户认证和访问控制 3)地址管理 4)数据加密 5)密钥管理 6)多协议支持

  44. 电子商务安全 10.3.2 VPN的应用 VPN在实际应用中,有三种方式,它们是企业内部型VPN(Intranet VPN)、企业扩展型VPN(Extranet VPN)和远程访问型VPN(Access VPN)。 1)Intranet VPN Intranet VPN如图10—8所示。

  45. 电子商务安全 10.3.2 VPN的应用 Intranet VPN用于连接企业总部网络与企业分部网络或多个异地分部网络,在总部与分部之间建立安全的通信连接。两个异地网络通过VPN安全隧道进行通信。在一个局域网中访问异地的另一个局域网,如同在本地网络进行操作。 用户可以通过加密数据和认证手段实现端到端的全面安全性。内部网VPN最常见的隧道协议有L2TP、L2F和PPTP。

  46. 电子商务安全 10.3.2 VPN的应用 2)Extranet VPN Extranet VPN(如图10—9所示)是Intranet VPN的扩展,应用于企业内部网络与用户等合作伙伴的网络连接,即将不同单位的属于互不信任的内部网络建立连接。它要求一个开放的基于标准的解决方案,需要应用不同的协议,以便解决企业内部网络与用户等合作伙伴的网络的协同工作。 Intranet VPN和Extranet VPN通过公用网络在企业总部和企业分部、用户、供应商和合作伙伴之间建立了虚拟专用网络。在B2B电子商务模式中主要采用Extranet VPN技术方案来实现安全访问服务。这种技术是通过公用网在各个路由器之间建立VPN连接来传输用户的商用数据,用于购建这种VPN连接的技术有IP隧道技术(如IPSec、GRE等)和基于ATM或桢中继的虚电路技术等。

  47. 电子商务安全 10.3.2 VPN的应用 3)Access VPN Access VPN是通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时随地以其所需的方式访问企业资源。

  48. 电子商务安全 10.3.2 VPN的应用 Access VPN包括模拟、拨号、ISDN、数字用户线路xDSL、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如图10—10所示。

  49. 电子商务安全 10.3.2 VPN的应用 如员工从住所访问办公室内的资源;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳;出差员工从外地旅店存取企业网数据;商家想要提供B2C的电子商务模式安全访问服务时,均可以采用Access VPN技术方案。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。

  50. 电子商务安全 10.3.2 VPN的应用 (1)Access VPN的特点: ①减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。 ②实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。 ③极大的可扩展性,简便地对加入网络的新用户进行调度。 ④远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

More Related