1、电子商务信息安全技术主讲人:代春艳,第二章 网络安全技术,第二章 网络安全技术,2.1网络安全基础2.2防火墙技术2.3VPN技术2.4网络入侵检测2.5计算机病毒及其防治,2.1网络安全基础,2.1.1网络安全的定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,网络安全实际上包括两部分:网络的安全和主机系统的安全。网络安全主要通过设置防火墙来实现,也可以考虑在路由器上设置一些数据包过滤的方法防止来自Internet上的黑客的攻击。至于系统的安全则需根据不同的操作系统来修改相关的系统文件,合
2、理设置用户权限和文件属性。,2.1.2网络安全防范的内容 网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。,2.1.3网络安全防范技术 1防火墙技术2VPN技术3网络入侵检测技术4计算机病毒及其防治技术,2.2 防火墙技术,防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。在计算机网络中指隔离在本地网络与外界网络之间的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。,在逻辑上,防火墙是一个分离器,一个限
3、制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙技术在网络中的应用如图2-1所示,防火墙具有以下几种功能: 1允许网络管理员定义一个中心点来防止非法用户进入内部网络。 2可以很方便地监视网络的安全性,并报警。 3可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。 4是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈
4、位置,并能够依据本机构的核算模式提供部门级的计费。,2.2.2 防火墙的分类,1. 从防火墙的软、硬件形式分,防火墙可以分为软件防火墙和硬件防火墙。,2. 从防火墙技术来分总体来讲可分为“包过滤型”和“应用代理型”两大类。(1) 包过滤(Packet filtering)型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。,包过滤防火墙,(2) 应用代理(Application Proxy)型应用代理型防火墙是工作在OSI的最高层,即应用层
5、。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中,它也经历了两个不同的版本,即:第一代应用网关型代理防火和第二代自适应代理防火墙。,两种防火墙技术的对比,3. 从防火墙结构分, 防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。,4. 从防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。,边界防火墙是最传统的那种,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。个人防火墙安装于单台主机中
6、,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。,5. 从防火墙性能分,可以分为百兆级防火墙和千兆级防火墙两类。,2.2.3 防火墙的体系结构,防火墙的经典体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。,1双重宿主主机体系结构防火墙的双重宿主
7、主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。一个典型的双重宿主主机体系结构如图2-2所示。,双重宿主主机体系结构防火墙的优点:网络结构比较简单,由于内、外网络之间没有直接的数据交互而较为安全;内部用户账号的存在可以保证对外部资源进行有效控制;由于应用层代理机制的采用,可以方便地形成应用层的数据与信息过滤。,双重宿主主机体系结构防火墙的缺点:用户访问外部资源较为复杂,如果用户需要登录到主机上才能访问外部资源,则主机的资源消耗较大;用户机制存在着安全隐患,并且内部用户无法借助于该体系结构访问新的服务或者特殊服务;一旦外部用户入侵了双重宿主主机,则导致内部网络处于不安全状态。,
