电子商务安全与电子支付电子商务安全与电子支付王红玲王红玲45163501@qq.com45163501@qq.com2第4章防火墙3学习目标掌握防火墙的工作原理掌握典型防火墙的配置44.1防火墙技术4.1.1防火墙技术及访问控制技术所谓防火墙,就是在内部网(如Intranet)和外部网(如Internet)之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器,用来在两个或多个网络间加强访问控制、实施相应的访问控制策略,力求把那些非法用户隔离在特定的网络之外,从而保护某个特定的网络不受其他网络的攻击,但又不影响该特定网络正常的工作。56现状1995年防火墙产品刚面市,销售量不到1万套1996年增长到10万套营业额由1995年的1.6亿美元上升到20亿美元2007年企业防火墙市场规模53亿元,2009年72亿,预计2014年170亿7防火墙是不是万能的?思考8防火墙不能对付的安全威胁不能防范来自内部恶意的知情者的攻击不能防范不通过它的连接不能防范病毒不能防范全部的威胁9•根据防火墙在网络上的物理位置和在OSI(OpenSystemInterconnectReferenceModel,开放式系统互联参考模型)七层协议中的逻辑位置以及所具备的功能,可作如下的分类:10(1)电路级网关它工作在传输层,它在两个主机首次建立TCP连接时创立一个电子屏障。它监视两主机建立连接时的握手信息,如SYN、ACK等标志和序列号等是否合乎逻辑,判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据,而不进行过滤。11电路层网关在网络的传输层上实施访问策略,是在内、外网络主机之间建立一个虚拟电路,进行通信,相当于在防火墙上直接开了个口子进行传输,不像应用层防火墙那样能严密地控制应用层的信息。12电路级网关还提供一个重要的安全功能:代理服务器。代理服务器是个防火墙,在其上运行一个叫做地址转换NAT的进程,来将所有你公司内部的IP地址映射到一个安全的网关IP地址,这个地址是由防火墙使用的。最终,在设有电路级网关的网络中,所有输出的数据包好像是直接由网关产生的,这样就避免了直接在“受信任网络”与“不受信任网络”间建立连接。13(2)包过滤路由器这是一个检查所通过数据包合法性的路由器,它对外部用户传入局域网的数据包加以限定。通常根据网络协议、按照特定规则,用IP地址和端口号来进行限制处理。该路由器允许那些符合协议和规则的IP地址的某些端口号通过路由器,而对其他IP地址的端口号加以限制。由于包过滤是在七层协议的下三层实现的,数据包的类型也可以进行拦截、检验和登录,所以它比其他类型的防火墙更易于实现。14(3)应用网关。此类防火墙的物理位置与前述的包过滤路由器一样,但它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。(4)屏蔽主机防火墙。此类防火墙的应用网关只需要单个网络端口,并以物理方式连接在包过滤路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层,所有的通信业务都要通过它的代理服务。信息服务器可被看做是所有网络对外开展信息发布工作的数据中心,它被“挂”在主网之外,又处于包过滤路由器和应用网关的安全保护之内,因而具备了较强的隐蔽性和安全防护能力。15•除了上述的基于技术层面的分类,根据对防火墙技术的综合分析,还可以将其分为包过滤型防火墙(PacketFilter)和代理服务器型防火墙(ProxyService)两大类型,以及最近几年来将上述两种类型的防火墙加以结合而形成的新产物——复合型防火墙(Hybrid)。16包过滤型防火墙(PacketFilter)包过滤防火墙是最简单的防火墙,一般在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。其工作原理如图2-1所示。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤数据包。那些不符合规定的IP地址的数据包会被防火墙过滤掉,以保证网络系统的安全。17图41‑包过滤防火墙的工作原理应用层……网络层……物理层内部网外部网18•包过滤型...
