助理电子商务师电子商务基础.ppt

* 屏蔽路由器。屏蔽路由器是防火墙的最基本的构件。它可以由路由器实现，也可以由主机实现，作为内、外网连接的唯一通道，要求所有的报文都必须在此通过检查。 路由器上可以安装报文过滤软件，实现报文过滤功能。 此防火墙的危险区域是路由器本身及路由器允许访问的主机。路由器一旦被控制，很难发现。 3 网络安全技术——防火墙技术——基本结构 第3节 电子商务安全 第九十四页，共一百三十八页。 * 双宿主机防火墙。用一台装有两张网卡的堡垒主机做防火墙，两张网卡分别与内、外网相连。 堡垒主机上运行防火墙软件。 其致命弱点是，一旦堡垒主机被侵入，并使其只有路由功能，则网上任何用户都可自由访问内网。 3 网络安全技术——防火墙技术——基本结构 第3节 电子商务安全 第九十五页，共一百三十八页。 * 屏蔽主机防火墙。一个分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤原则，并使用这个堡垒主机成为外部网络唯一可以直接到达的主机，确保了内部网络不受未经授权的外部用户的攻击。 这种方法易于实现，比较安全，广泛应用。 3 网络安全技术——防火墙技术——基本结构 第3节 电子商务安全 第九十六页，共一百三十八页。 * 屏蔽子网防火墙。在内、外网之间建立一个被隔离的子网，用两台分组过滤路由器将这个子网分别与内、外网分开。在子网内构成一个非军事区。 这种方法的危险区域仅限于子网内主机及起到连接和屏蔽作用的路由器。 3 网络安全技术——防火墙技术——基本结构 第3节 电子商务安全 第九十七页，共一百三十八页。 * 数据包过滤技术。在网络中适当的位置，依据系统内设置的过滤规则对数据包实施有选择的通过。过滤规则通常成为访问控制表，只有满足过滤规则的数据包才被转发到相应的目的地，其余数据包则被从数据流中删除。 代理服务。运行在防火墙主机上的专门的应用程序或服务器程序，这些程序根据安全策略接收用户对网络服务的请求，并将它们转发到实际的服务。 3 网络安全技术——防火墙技术 第3节 电子商务安全 第九十八页，共一百三十八页。 * 流过滤技术。以状态包过滤形态，通过内嵌的专门的TCP协议栈，实现通用的应用信息过滤机制。 智能防火墙技术。以智能访问控制技术为核心，利用统计、记忆、概率和决策的智能方法对数据进行识别，以达到访问控制的目的。 3 网络安全技术——防火墙技术 第3节 电子商务安全 第九十九页，共一百三十八页。 * 身份识别 技术 数字证书 加密算法 数字签名 SET、 SSL OSI 安全体系 交易安全 技术 4 交易安全技术 第3节 电子商务安全 第一百页，共一百三十八页。 * OSI模型的设计目的是成为一个所有销售商都能实现的开放网路模型，来克服使用众多私有网络模型所带来的困难和低效性 OSI是在ISO（国际标准化组织）的参与下完成的。 4 交易安全技术——OSI安全体系 第3节 电子商务安全 第一百零一页，共一百三十八页。 * 为了解决不同体系结构的网络的互联问题，国际标准化组织ISO于1981年制定了开放系统互连参考模型（Open System Interconnection Reference Model，OSI/RM）。 这个模型把网络通信的工作分为7层,它们由低到高分别是 物理层（Physical Layer),数据链路层（Data Link Layer),网络层(Network Layer),传输层（Transport Layer),会话层（Session Layer），表示层（Presentation Layer)和应用层（Application Layer)。 每层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持，而网络通信则可以自上而下（在发送端）或者自下而上（在接收端）双向进行。 4 交易安全技术——OSI安全体系 第3节 电子商务安全 第一百零二页，共一百三十八页。 * OSI划分层次的原则 网络中各结点都有相同的层次 不同结点相同层次具有相同的功能 同一结点相邻层间通过接口通信 每一层可以使用下层提供的服务，并向上层提供服务 不同结点的同等层间通过协议来实现对等层间的通信 4 交易安全技术——OSI安全体系 第3节 电子商务安全 第一百零三页，共一百三十八页。 * OSI制订了5种标准的安全服务： 数据保密服务。防止信息被截取或被非法存取 数据完整性服务。防止传输中的数据被非法增删改，同时防止数据在传输中丢失 交易对象认证服务。确认交易双方身份的真实、合法 访问控制服务。防止非授权用户非法使用系统资源 防抵赖安全服务。用于证实已发生的交易行为，防止交易双方对自己的行为进行否认。 4 交易安全技术——OSI安全体系 第3节 电子商务安全 第一百零四页，共一百三十八页。 * 安全套接层协议SS