电子商务交易过程中的安全与防范

电子商务交易过程中的安电子商务交易过程中的安全与防范全与防范(防火墙技术）防火墙技术）防火墙技术防火墙技术v 防火墙便是网络安全问题的解决方案之一。和其他网络安全技术相比，防火墙技术相对成熟。它通过监测、限制和更改跨越防火墙的数据流等多种技术，尽可能地对外部网络屏蔽有关被保护网络的结构信息，实现对内部网络的安全保护。v 虽然防火墙不能有效地解决所有的网络安全问题，但目前普遍的观点是不能在没有防火墙保护下，通过服务器或其他设备在网络上提供网络服务。网络安全的保障和维护离不开防火墙。防火墙概述防火墙概述v 防火墙的基本概念及特征防火墙的基本概念及特征v 人们借鉴传统“防火墙”的概念，在内部网络和外部网络之间构建起一道安全屏障，这道屏障的作用是阻断来自外部的威胁和入侵，提供负责本地网络的安全和审计的关卡。取传统防火墙的喻义，这种屏蔽系统就叫做网络防火墙或防火墙系统。防火墙的基本概念及特征防火墙的基本概念及特征v 防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。其最主要功能是屏蔽和允许指定的数据通信，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通信的合法性。防火墙基于一定的软硬件，使互联网与局域网之间建立起一个安全网关（security gateway），从而保护内部网络免受非法用户的侵入。防火墙的基本概念及特征防火墙的基本概念及特征v 防火墙一般由网络政策、验证工具、包过滤和应用网关4个部分组成。v 1）网络政策）网络政策v 网络政策一般包括服务访问政策和防火墙设计政策。v（1）服务访问政策用以确定受限的网络许可、明确拒绝的服务以及如何使用这些服务及例外条件。通过确定服务访问政策，可以确定如何使用互联网、如何控制外部网络访问等全局性问题。需要强调的是，这种政策是一个部门有关保护信息资源政策的延伸，通常应在部署防火墙前拟定。v（2）防火墙设计政策定义用来实施服务访问政策的有关规则，描述各种限制访问的具体实现，是服务访问政策的细化和实施方案。例如，它可以包含以下基本设计规则：v 拒绝访问除明确许可以外的任何一种服务。v 允许访问除明确拒绝以外的任何一种服务。防火墙的基本概念及特征防火墙的基本概念及特征v 2）验证工具）验证工具 验证工具用以保护用户的口令等信息免受入侵者监视和盗用。目前常用的有智能卡、验证令牌、生物特征识别等技术。由于防火墙可以集中控制网络访问，因此是安装验证工具的理想场所。虽然许多验证措施也可以应用到每个主机，但把各项验证措施集中于防火墙中实现更切合实际，更便于管理。防火墙的基本概念及特征防火墙的基本概念及特征v 3）包过滤）包过滤 包过滤的原理在于监视并过滤流入流出的IP包，拒绝发送可疑的包。过滤的依据主要包括IP源地址、IP目的地址、封装协议、TCP/UDP源端口、ICMP包类型等。其功能主要包括从属服务（以某一特定服务为基础的信息流）过滤和独立于服务的过滤。对基于特定端口的远程连接进行过滤是从属服务过滤的典型例子，而独立于服务的过滤可以有效阻止地址欺骗攻击、源路由攻击、残片攻击等。防火墙的基本概念及特征防火墙的基本概念及特征v 4）应用网关）应用网关v 为了克服包过滤的某些弱点，防火墙需使用应用软件来转发和过滤Telnet和Ftp等服务的连接，这种应用成为代理服务，相应的系统即应用网关。具有应用网关特征的防火墙具有更高的安全性和灵活性。防火墙的基本概念及特征防火墙的基本概念及特征v2典型的防火墙的基本特征典型的防火墙的基本特征v（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才可以全面、有效地保护内部网络不受侵害。防火墙的基本概念及特征防火墙的基本概念及特征v（2）只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到其他的链路上去。v （3）防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当内部网络安全防护重任的先决条件。防火墙的发展史防火墙的发展史v 防火墙的发展经历了5个时期：v（1）第一代防火墙。第一代防火墙几乎与路由器同时出现，它采用了包过滤(packet filter)技术，是依附于路由器的包过滤功能而实现的防火墙。v（2）第二代、第三代防火墙。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙。同时，推出了第三代防火墙，即应用层防火墙(或者叫做代理防火墙)。防火墙的发展史防火墙的发展史v（3）第四代防火墙。1992年，USC信息科学院的Bob Braden开发出了基于动态包过滤(dynamic packet filter)技术的防火墙，这种技术后来演变为目前所说的状态检测(stateful inspection)技术。这就是第四代防火墙的雏形。第四代防火墙技术成熟的标志是1994年以色列的CheckPoint公司推出的商业化产品。v（4）第五代防火墙。1998年，NAI公司正式推出了一种自适应代理(adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。防火墙的作用防火墙的作用v 一般来讲，防火墙具有如下作用。v 1网络安全的屏障网络安全的屏障v 防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。例如，防火墙可以禁止不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，例如，IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙还可以拒绝攻击的报文并通知防火墙管理员。防火墙的作用防火墙的作用v2强化网络安全策略强化网络安全策略v通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散到各个主机上，而是集中在防火墙上。防火墙的作用防火墙的作用v 3对网络存取和访问进行监控审计对网络存取和访问进行监控审计v 如果所有的访问都经过防火墙，防火墙就能记录下这些访问并生成日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集到的网络使用和误用情况也是非常重要的。这些情况可以清楚地反映防火墙是否能够抵挡攻击者的探测和攻击、防火墙的控制是否充足。而网络使用的统计对网络需求分析和威胁分析等有很大的作用。防火墙的作用防火墙的作用v4防止内部信息的外泄防止内部信息的外泄v通过利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至暴露内部网络的某些安全漏洞。防火墙的作用防火墙的作用v 目前的防火墙往往还能够提供以下特殊功能：v（1）IP转换。IP转换的主要功能有两个，一是隐藏网络设备的真实IP，从而使入侵者无法直接攻击内部网络，二是可以使用rfc1918的保留IP，这对IP地址匮乏的网络是很实用的。v（2）防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）和在公共网络中建立的专用加密虚拟通道，以确保通信安全。v（3）杀毒。一般都通过插件或联动实现。v（4）与IDS联动。目前实现这一功能的产品也有逐渐增多的趋势。v（5）GUI界面管理。传统以及一些UNIX/Linux下的防火墙一般都是通过命令行方式键入命令来控制访问策略的，商用的防火墙一般都提供了Web和GUI的界面，以便于管理员进行配置工作。v（6）自我保护、流控和计费等其他功能。防火墙的优缺点防火墙的优缺点v 1防火墙的优点防火墙的优点v 1）提供扫描、过滤功能v 网络间流入流出的所有数据均要经过防火墙。防火墙对所有流经的数据进行扫描，能够过滤掉一些攻击，以免其在目标计算机上执行。v 2）屏蔽端口v 防火墙不仅可以关闭不使用的端口，而且还能禁止特定端口的流出通信，封锁特洛伊木马。v 3）强化网络安全策略v 防火墙通过完善的安全策略，使符合规定的请求通过，阻止非法请求；同时可以阻止外部网络擅自连接到内部网络，以达到保护内网的目的。例如，在企业中防火墙可以控制内部员工的上网行为，防止公司机密信息泄露。防火墙的优缺点防火墙的优缺点v 4）有效记录网络连接行为v 防火墙可以完整地记录内外网互连的各种请求甚至通信信息。管理员可以通过这些记录来判断非法请求的来源，内网是否有病毒和木马存在，是否有人在外网进行攻击等。v 5）屏蔽用户v 防火墙能够隔离网络中的网段，防止一个网段出问题后影响另一个网段。防火墙还可以确保从外网无法直接查看到内网的主机信息，有效地保护内网的安全。防火墙的优缺点防火墙的优缺点v 2防火墙的缺点防火墙的缺点v 1）不能防范恶意知情者v 防火墙可以禁止系统用户通过网络连接发送专有信息，但用户可以将数据复制到其他介质中带出去。内部用户可以破坏防火墙体系，巧妙地修改程序从而绕开防火墙。因此，对于来自知情者的威胁只能加强内部管理，对用户进行安全教育。v 2）不能防范绕开防火墙的攻击v 防火墙能够有效地防止通过它进行传输的信息，然而不能防止不通过它进行传输的信息。如果站点允许对防火墙后面的内部系统进行连接，那么防火墙就没有办法阻止入侵者的入侵行为。防火墙的优缺点防火墙的优缺点v 3）不能自动防御新威胁v 防火墙被用来防范已知的威胁，如果是一个很好的防火墙设计方案，可以防范新的威胁。但是没有一个防火墙能自动防范所有新威胁。v 4）防火墙不能有效防范病毒v 病毒一旦感染内部受信任的主机，防火墙很难对其行为作出识别和过滤，从而不能有效防范病毒。防火墙的分类防火墙的分类v 防火墙技术发展至今，已经出现了许多成熟的产品。根据它们所使用的技术，结合OSI层次模型，可将防火墙分为以下几种类型。v 1电路层网关防火墙电路层网关防火墙v 电路层网关（circuit gateway）防火墙在网络的传输层上实施访问策略。它通过在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了一个孔进行传输，而应用层防火墙能严密控制应用层的信息。防火墙的分类防火墙的分类v 2包过滤型防火墙v 包过滤型（packet filter）防火墙是一种报文过滤防火墙，这个层次的防火墙通常工作在网络层及以下。它基于单个包实施网络控制，可控的内容主要包括报文的源地址、目的地址、源端口号及目的端口号、包出入接口、协议类型、数据包中的各种标志位以及第二层数据链路层可控的MAC地址等。防火墙的分类防火墙的分类v3基于状态的包过滤防火墙基于状态的包过滤防火墙v这种防火墙在传统的包过滤防火墙的基础上增加了对OSI参考模型第四层的支持，同时，防火墙会在自身cache或内存中维护一个动态的状态表，数据包到达时，对该数据包的处理方式将综合访问规则和数据包所处的状态。防火墙的分类防火墙的分类 防火墙的分类防火墙的分类v 5混合型防火墙混合型防火墙v 混合型防火墙（hybrid firewall），就是把过滤和代理服务等功能结合起来，形成新的防火墙，所用主机称为堡垒主机，负责代理服务。v 6基于状态检测的防火墙基于状态检测的防火墙v 目前，基于状态检测的防火墙是属于比较新的产品，是由CheckPoint公司最先推出的，其设计思想源于基于状态的包过滤防火墙，只是在此基础上增加了对应用层数据包的审核。防火墙的分类防火墙的分类v7自适应代理技术自适应代理技术v自适应代理技术是一种最新的防火墙技术，在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就可以直接通过网络层传送。防火墙技术分类防火墙技术分类 包过滤技术包过滤技术v1包过滤原理包过滤原理v 包过滤技术的基本工作原理是允许或不允许某些包在网络上传输。其遵循的基本原则是“最小特权原则”，即一切未被允许的就是被禁止的，一切未被禁止的就是被允许的。包过滤技术包过滤技术v 2包过滤的工作方式包过滤的工作方式v 几乎所有的包过滤设备（过滤路由器或包过滤网关）都按照如下方式工作：v（1）包过滤标准必须由包过滤设备端口存储起来，这些包过滤标准叫包过滤规则。v（2）当包到达端口时，对包的报头进行语法分析，大多数包过滤设备只检查IP、TCP或UDP报头中的字段，不检查包体的内容。v（3）包过滤器规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储的顺序相同。v（4）如果一条规则阻止包传输或接收，此包便不被允许通过。v（5）如果一条规则允许包传输或接收，该包可以继续处理。v（6）如果一个包不满足任何一条规则，该包被阻塞。包过滤技术包过滤技术3包过滤的分类包过滤的分类v 目前，常用的数据包过滤技术有两种：静态包过滤和动态包过滤。v 1）静态包过滤v 一般防火墙的包过滤规则是在启动时配置好的，只有系统管理员可以修改，是静态存在的，称为静态规则。利用静态包过滤规则建立的防火墙称为静态包过滤防火墙。这种类型的防火墙根据定义好的过滤规则审查每个数据包，并与规则表进行比较，以便确定其是否与某一条过滤规则匹配。v 2）动态包过滤v 采用这种技术的防火墙对通过其建立的每个连接都进行跟踪，并根据需要可动态地在过滤规则中增加和更新条目，即采用了基于连接状态的检查和动态设置包过滤规则的方法，将属于同一连接的所有包作为一个整体的数据流对待，通过规则表和连接状态表的共同配合进行检查。应用代理技术应用代理技术 应用代理型防火墙工作在OSI参考模型的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术应用代理技术1代理与代理服务代理与代理服务v 所谓代理，就是一个提供替代连接并且充当服务的网关。代理也称为应用级网关。v 代理服务（proxy service）是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内部计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。应用代理技术应用代理技术v2代理服务的工作方式代理服务的工作方式 状态检测技术状态检测技术 状态检测技术是近几年才应用的防火墙新技术。传统的包过滤防火墙只是通过检测数据包报头的相关信息来决定允许数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合对表中的各个连接状态因素加以识别。状态检测技术状态检测技术v 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，安全性有了大幅提升；在此基础上，摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态链接表，并将进出网络的数据当成一个个事件来处理。防火墙的体系结构防火墙的体系结构v 目前，常用的防火墙结构主要有双重宿主主机结构、屏蔽主机结构、屏蔽子网结构以及组合结构。这些结构的防火墙所提供的基本服务有终端访问、文件传输、电子邮件、新闻、Web服务以及域名服务。双重宿主主机结构双重宿主主机结构 双重宿主主机结构双重宿主主机结构v 双重宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。它不能转发任何TCP/IP流量，因此，可以彻底隔离内部和外部不可信网络间的任何IP流量。防火墙运行代理软件控制数据包从一个网络流向另一个网络，这样内部网络中的计算机就可以访问外部网络。双重宿主主机结构双重宿主主机结构v 在双重宿主主机结构中，与外部网络直接相连的主机需要承担堡垒主机的角色。它作为一种被强化的可防御进攻的计算机，提供进入内部网络的一个检查点，以达到对整个网络的安全问题集中解决的目的。v 双重宿主主机是防火墙体系的基本形态。建立双重宿主主机的关键是要禁止路由，网络之间通信的主要途径是通过应用层的代理软件。如果路由被意外允许，那么双重宿主主机防火墙的功能就会被旁路，内部受保护网络就会完全暴露在危险中。屏蔽主机结构屏蔽主机结构1.1.屏蔽路由器屏蔽路由器 屏蔽主机结构屏蔽主机结构v 屏蔽主机结构的防火墙比双重宿主主机防火墙更安全。屏蔽主机防火墙体系结构是在防火墙的外面增加了屏蔽路由器。v 蔽路由器是屏蔽主机结构防火墙的有机组成部分，是保护堡垒主机或服务主机以及内部网络的第一道防线。v 屏蔽路由器一般遵循如下规则进行数据过滤：v 任何外部网络的主机只能与堡垒主机建立连接。v 只有提供特定类型服务的外部主机被允许连接服务主机。v 仅允许堡垒主机或服务主机与外部网络进行符合站点安全规则的连接。屏蔽主机结构屏蔽主机结构2服务主机服务主机v 受屏蔽路由器直接保护的可以是传统意义上的堡垒主机，也可以是功能丰富的服务主机。之所以称为服务主机，是由于它往往需要向内部和外部客户提供Internet服务，并担任多重角色。例如，它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器，它还可能是文件服务器、打印服务器等，甚至它可能是本站点的唯一一台计算机。屏蔽子网结构屏蔽子网结构 屏蔽子网结构屏蔽子网结构v 屏蔽子网防火墙体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边网络更进一步地把内部网络与外网隔离。v 屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器，这两个路由器分别位于堡垒主机的两端，一端连接内网，一端连接外网。为了入侵这种类型的体系结构，入侵者必须穿透两个屏蔽路由器。即使入侵者控制了堡垒主机，他仍然需要通过内网端的屏蔽路由器才能到达内网。组合结构组合结构v 在构造防火墙体系时，一般很少使用单一的技术，通常都是使用多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务以及网管中心能接受什么等级的风险。还要看投资经费、技术人员的水平和时间等。一般包括下面几种形式：v（1）使用多个堡垒主机。v（2）合并内部路由器和外部路由器。v（3）合并堡垒主机和外部路由器。v（4）合并堡垒主机和内部路由器。v（5）使用多个内部路由器。v（6）使用多个外部路由器。v（7）使用多个周边网络。v（8）使用双重宿主主机与屏蔽子网。防火墙部署的基本原则防火墙部署的基本原则1部署位置部署位置v 首先，应该安装防火墙的位置是单位内部网络与外部网络的接口处，以阻挡来自外部网络的入侵；其次，如果单位内部网络规模较大，并且设置有虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时在总部与各分支机构之间分别组建虚拟专用网（VPN）。v 安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是内部网络与外部公网的连接处，都应该安装防火墙。防火墙部署的基本原则防火墙部署的基本原则2.防火墙产品的选择防火墙产品的选择选择防火墙产品应当综合考虑以下因素：（1）基本原则。选择防火墙产品的基本原则如下：v 能够承担网络整体保护者责任。v 能弥补操作系统等基础设施的不足。v 为使用者提供不同平台的选择。v 能向使用者提供完善的售后服务。v 总成本不应超出可能损失的成本。v 易扩充。防火墙部署的基本原则防火墙部署的基本原则（2）防火墙自身的安全性。作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者可乘之机。通常，防火墙的安全性问题来自两个方面：第一，防火墙本身的设计是否合理。这类问题一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。第二，使用是否恰当。防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不够熟悉，就有可能在配置过程中留下大量的安全漏洞。防火墙部署的基本原则防火墙部署的基本原则（3）考虑用户的需求。企业安全政策中往往有些需求不是每一个防火墙都会提供的，常见的需求如下：v IP地址转换v 双重DNSv 虚拟企业网络v 病毒扫描功能v 特殊控制需求 防火墙部署的基本原则防火墙部署的基本原则防火墙在选购和使用时经常会有一些误区：v（1）最全的就是最好的，最贵的就是最好的。v（2）一次配置，永远运行。v（3）审计可有可无。v（4）厂家的配置无需改动。本章小结本章小结v 本章首先介绍了防火墙技术的基本概念、作用、优缺点及分类；详细讨论了传统防火墙技术及特征；然后总结比较了常见的防火墙体系结构，并给出了防火墙部署过程中应遵循的一些原则；最后通过对防火墙产品Kerio WinRoute Firewall的安装、配置方法的介绍，使读者对防火墙技术有一个更为直观的认识。演讲完毕，谢谢观看！