第3章 新华网络安全技术

电子商务安全与网上支付

第3章

网络安全技术

本章目标1. 2. 3. 4. 5. 了解网络安全的定义和内涵 掌握操作系统漏洞的相关知识 掌握防火墙技术 掌握计算机病毒的相关知识 掌握木马的相关知识

3. 1 网络安全概述1.网络安全的定义：指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统 连续可靠正常地运行，网络服务不中断。

2.网络安全的内涵：计算机安全的内容应包括两个方面：物理安全和逻辑安全。 物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。 逻辑安全包括信息的完整性、保密性和可用性。

3. 网络安全的主要技术① ②

③④ ⑤

病毒防范技术 访问控制 VPN技术 网络入侵检测技术 加密和数字签名技术、身份认证

3.21. 漏洞的定义：

系统安全漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺 陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

注意：并不是系统中存在的错误都是安全漏洞，只有能威胁到 系统安全的错误才是漏洞。

提问：怎么解决系统安全漏洞问题？

防火墙的课题：

各组任选一题(但不能重复)。7

3.3

防火墙技术

防火墙(Firewall)的最初含义是当房屋还处于木制结构 的时候，人们将石块堆砌在房屋周围用来防止火灾的发生， 这种墙被称之为防火墙。

这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。 防火墙是指设置在信任程度不同的网络(如公共网 和企业内部网)或网络安全域之间的一系列的软件或硬 件设备的组合。它对两个网络之间的通信进行控制，它 能允许你“同意”的人和数据进入你的网络，同时将你 “不同意”的人和数据拒之门外，最大限度地阻止网络 中的黑客来访问你的网络。可以包括硬件和软件防火墙

防火墙示意图

Internet

硬件防火墙11

防火墙的主要功能

防 火 墙 的 功 能

管理进出网络的访问行为封堵某些禁止的业务 记录进出网络的信息和活动

对网络攻击进行检测和告警实施网络地址转换，缓解地 址短缺矛盾。

防火墙的分类：1.数据包过滤型防火墙：包过滤型防火墙工作在OSI网络参考模型的网络层，它根据数据包头源地 址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤 条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

包过滤防火墙技术安全区域 服务器 工作站 台式PC 打印机 数据包

控制策略 查找对应的策略

服

务器IP报头 TCP报头 数据

防火墙

分组过滤判断

数据包

服务器

包过滤方式是一种通用、廉价的安全手段，之所以通用，是因为它不是 针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之 所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙 多数是由路由器集成的

数据包状态检测过滤状态 检测 表Host C Host D

Yes

提高了效率 防止假冒IP攻击

访问控 制规则 表No

2. 应用代理防火墙技术代理服务防火墙(Proxy Service)也称链路级网关防火墙， 工作在OSI模型的应用层，其特点是将所有跨越防火墙的网络 通信链路分为两段。外部计算机的网络链路只能到达代理服务 器，从而起到了隔离防火墙内外计算机系统的作用。 当外部 某台主机试图访问受保护网络时，必须先在防火墙(应用代理 主机)上经过身份认证和规则过滤。之后,防火墙代替外部用 户访问内部网络。在这个过程中，防火墙如果发现有入侵迹象 可以随时终止用户访问主机的访问时间及访问方式。同样，受 保护网络内部用户访问外部网时也需先登录到防火墙上，通过 验证后，才可访问。

应用代理符合策略 根据策略检查 应用层的数据 应用层 表示层 会话层 传输层

防火墙 应用层 应用层 表示层 会话层 传输层

网络层 链路层

网络层 链路层

物理层

物理层

内部接口

外部接口

内部网络

应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等

外部网络

最常见的企业网络防火墙配置图VLAN 1 WWW EMail DataBase

VLAN4 VLAN 2

VLAN 3

带路由模块的 三层交换机

接ISP 防火墙

Internet

防火墙的局限性防火墙不是解决所有网络安全问题的万能 药方，只是网络安全政策和策略中的一个组成 部分。防火墙有以下四方面的局限：

防火墙不能防范绕过防火墙的攻击。防火墙不能防范来自内部人员恶意的攻 击。 防火墙不能阻止被病毒感染的程序或文 件的传递 防火墙不能防止数据驱动式攻击。如： 特洛伊木马。

3.4 VPN

3.4.1 VPN的概念 3.4.2 VPN的目的和原理 3.4.3 关键技术

3.4.1 VPN的概念VPN (Virtual Private Network):中文名称一般称为虚拟专 用网,它指的是以公用开放的网络(如Internet)作为基本传输 媒体，通过加密和验证网络流量来保护在公共网络上传输的 私有信息不会被窃取和篡改，从而向最终用户提供类似于私 有网络(Private Network)性能的网络服务技术。

本文来源：https://www.bwwdw.com/article/v19m.html