新世紀高職高專電子商務類課程規劃教材電子商務安全技術與應用主編梁永生e2020/12/191電子商務安全技術與應用學習情境1客戶端安全設置新世紀高職高專電子商務類課程規劃教材學習情境2網絡通信安全構建學習情境3信息傳輸安全構建學習情境4服務器安全設置學習情境5電子支付安全實現2020/12/192學習情境描述

子學習情境1

防火墻技術目錄新世紀高職高專電子商務類課程規劃教材學習情境2網絡通信安全構建子學習情境2

入侵檢測技術子學習情境3

VPN技術2020/12/193防火墻技術學習情境2子學習情境1子學習情境任務描述電子商務中的網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論等眾多學科的綜合技術體系。本部分重點闡述網絡通信安全原理和實踐技術，主要內容包括:網絡設備安全、防火墻、網絡病毒等內容。通過本子學習情境的學習，了解網絡設備的安全技術，掌握防火墻技術，熟悉網絡病毒的防范技術，在基本的電子商務交易過程中，具備實施網絡設備的安全技術、防火墻技術和網絡病毒的防范技術的能力。2020/12/194防火墻技術學習情境2子學習情境12.1.1網絡通信協議

TCP/IP是用于計算機通信的一組協議，我們通常稱它為TCP/IP協議族。它是20世紀70年代中期美國國防部為其ARPANET廣域網開發的網絡體系結構和協議標準，以它為基礎組建的Internet是目前國際上規模最大的計算機網絡，正因為Internet的廣泛使用，使得TCP/IP成了事實上的標準。2020/12/195防火墻技術學習情境2子學習情境12.1.1網絡通信協議圖2-1OSI模型結構2020/12/196防火墻技術學習情境2子學習情境12.1.2網絡設備安全

在網絡設備和網絡應用市場蓬勃發展的帶動下，近年來網絡安全市場迎來了高速發展期。一方面，隨著網絡的延伸，網絡規模迅速擴大，安全問題變得日益復雜，建設可管、可控、可信的網絡是進一步推進網絡應用發展的前提;另一方面，隨著網絡所承載的業務日益復雜，保證應用層安全是網絡安全發展的新方向。2020/12/197防火墻技術學習情境2子學習情境12.1.2網絡設備安全

1.交換機安全（1）病毒過濾技術

（2）基于ACL的報文過濾技術

（3）CPU過載保護技術（4）廣播風暴控制功能

（5）VLAN技術

（6）基于802.1x的接入控制技術

（7）交換機與入侵檢測系統（IDS）的聯動

2020/12/198防火墻技術學習情境2子學習情境12.1.2網絡設備安全

2.路由器安全所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為和動作的機器，其英文名稱為Router。路由器的基本功能如下：（1）網絡互聯，路由器支持各種局域網和廣域網接口，主要用于互聯局域網和廣域網，實現不同網絡之間的互相通信。（2）數據處理，提供包括分組過濾、分組轉發、優先級、復用、加密、壓縮和防火墻等功能。（3）網絡管理，路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。2020/12/199防火墻技術學習情境2子學習情境12.1.3防火墻技術

電子商務系統是基于Internet的，它方便了企業內部之間以及企業與外部的信息交流，提高了工作效率。然而，一旦企業內部網連入Internet，就意味著Internet上的每個用戶都有可能訪問企業網。如果沒有一個安全性保護措施，黑客們可能會在毫無覺察的情況下進入企業網，非法訪問企業的資源。而防火墻就是保護企業內部網中信息安全的一項重要措施。2020/12/1910防火墻技術學習情境2子學習情境12.1.3防火墻技術

1.防火墻的概念防火墻是在內外網之間構筑的一道屏障，它是設置在內外網之間的隔離設備，用以保護內網中的信息、資源等不受來自外網中非法用戶的侵犯，它控制內外網之間的所有數據流量，控制和防止內網中的有價值數據流人外網，也控制和防止來自外網的無用垃圾和有害數據流人入內網。簡單地說，防火墻是一個全部進出內網的信息流量都必須經過的限制點，并由用戶來控制通訊。良好的防火墻可以防止攻擊者人侵并保護內部機密信息免于流出。2020/12/1911防火墻技術學習情境2子學習情境12.1.3防火墻技術

2.防火墻的構成防火墻主要包括安全操作系統、過濾器、網關、域名服務和E-mail處理5部分，如圖2-2所示。圖2-2防火墻結構2020/12/1912防火墻技術學習情境2子學習情境12.1.3防火墻技術

3.防火墻的作用（1）可以限制用戶進入內網，過濾掉不安全服務和非法用戶（2）防止入侵者接近用戶防御設施（3）限定用戶訪問特殊站點（4）為監視Internet安全提供方便2020/12/1913防火墻技術學習情境2子學習情境12.1.3防火墻技術

4.防火墻的種類防火墻可以劃分為兩類：標準防火墻和擴展防火墻。從實現原理上來分，防火墻可分為四類：網絡級防火墻應用級網關電路級網關規則檢查防火墻2020/12/1914防火墻技術學習情境2子學習情境12.1.3防火墻技術

5.防火墻技術傳統意義上的防火墻技術分為三大類，即“包過濾（PacketFiltering）”、“應用代理”（ApplicationProxy）和“狀態監視”（StateInspection），無論一個防火墻的實現過程多么復雜，歸根結底都是在這三種技術的基礎上進行功能擴展的。2020/12/1915防火墻技術學習情境2子學習情境1（1）包過濾技術包過濾是最早使用的一種防火墻技術，它的第一代模型是“靜態包過濾”（StaticPacketFiltering），使用包過濾技術的防火墻通常工作在OSI模型的網絡層（NetworkLayer）上，后來發展更新的“動態包過濾”（DynamicPacketFiltering）使防火墻的工作范圍增加到傳輸層（TransportLayer）。圖2-3包過濾防火墻系統2020/12/1916防火墻技術學習情境2子學習情境1（2）應用代理技術由于包過濾技術無法提供完善的數據保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除其危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護技術，在這樣的需求背景下，采用“應用代理”（Applicationproxy）技術的防火墻誕生了。代理服務器作為一個為用戶保密或者突破訪問限制的數據轉發通道，在網絡上應用廣泛。圖2-3包過濾防火墻系統2020/12/1917防火墻技術學習情境2子學習情境1（3）狀態監視技術狀態監視技術是繼“包過濾”技術和“應用代理”技術后發展起來的防火墻技術，它是CheckPoint技術公司在基于“包過濾”原理的“動態包過濾”技術發展而來的，與之類似的有其他廠商聯合發展的“深度包檢測”（DeepPacketInspection）技術。這種防火墻技術通過一種被稱為“狀態監視”的模塊，在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行檢測，并根據各種過濾規則做出安全決策。2020/12/1918入侵檢測技術學習情境2子學習情境2子學習情境任務描述防火墻只能對黑客的攻擊實施被動防御，一旦黑客攻入系統內部，則沒有切實的防護策略，入侵檢測是繼防火墻之后的又一道防線。通過本子學習情境的學習，要求學生掌握入侵檢測系統的相關技術，具備構建基于電子商務網站的入侵檢測系統的能力。2020/12/1919入侵檢測技術學習情境2子學習情境22.2.1入侵檢測系統及其功能

1.入侵檢測系統入侵檢測就是對計算機網絡和計算機系統的關鍵結點的信息收集分析，檢測其中是否有違反安全策略的事件發生或攻擊跡象，并通知網絡管理員。入侵檢測（IntrusionDetection）技術是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。2020/12/1920入侵檢測技術學習情境2子學習情境22.2.1入侵檢測系統及其功能

1.入侵檢測系統入侵檢測系統（IntrusionDetectionSystem）定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的軟件、硬件系統。圖2-5入侵檢測系統模型2020/12/1921入侵檢測技術學習情境2子學習情境22.2.1入侵檢測系統及其功能

2.入侵檢測系統的功能（1）監視用戶和系統的運行狀態，查找非法用戶和合法用戶的越權操作。（2）檢測系統配置的正確性和安全漏洞，并提示管理員修補漏洞。（3）對用戶的非正常活動進行統計分析，發現入侵行為的規律。（4）系統程序和數據的一致性與正確性檢查。（5）識別攻擊的活動模式，并向網管人員報警。（6）操作系統審計跟蹤管理，識別違反政策的用戶活動。2020/12/1922入侵檢測技術學習情境2子學習情境22.2.2入侵檢測系統的分類NIDSSIVLFMHoneypots2020/12/1923入侵檢測技術學習情境2子學習情境22.2.3入侵檢測系統的優點（1）可以檢測和分析系統事件以及用戶的行為；（2）可以測試系統設置的安全狀態；（3）以系統的安全狀態為基礎，跟蹤任何對系統安全的修改行為；（4）通過模式識別等技術從通信行為中檢測出已知的攻擊行為；（5）可以對網絡通信行為進行統計，并進行檢測分析；（6）管理操作系統認證和日志機制并對產生的數據進行分析處理；（7）在檢測到攻擊的時候，通過適當的方式進行適當的報警處理；（8）通過分析引擎的配置對網絡的安全事件進行有效的處理。2020/12/1924入侵檢測技術學習情境2子學習情境22.2.4入侵檢測技術的發展方向1.分布式入侵檢測2.智能化入侵檢測3.全面的安全防御方案2020/12/1925VPN技術學習情境2子學習情境3子學習情境任務描述虛擬專用網(VPN)是企業內部網在Internet上的延伸，通過一個專用通道來創建一個安全的專用連接，從而可將遠程用戶、企業分支機構、公司的業務合作伙伴等與公司的內部網連接起來，構成一個擴展的企業內部網。通過本子學習情境的學習，了解基于VPN技術的安全電子商務交易環境，具備基于特定軟件構建虛擬專用網的能力。2020/12/1926VPN技術學習情境2子學習情境32.3.1VPN簡介虛擬專用網絡（VPN）技術是一種在公用互聯網絡上構造企業專用網絡的技術。通過VPN技術，可以實現企業不同網絡的組件和資源之間的相互連接，它能夠利用Internet或其他公共互聯網絡的基礎設施為用戶創建隧道，并提供與專用網絡一樣的安全和功能保障的。虛擬專用網絡允許遠程通信方、銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設計，以安全的方式與位于企業內部網內的服務器建立連接。

“虛擬”的概念是相對傳統私人專用網絡的構建方式而言的，對于廣域網連接，傳統的組網方式是通過遠程撥號和專線連接來實現的，而VPN是利用網絡服務提供商所提供的公共網絡來實現遠程的廣域網連接的。2020/12/1927VPN技術學習情境2子學習情境32.3.1VPN簡介圖2-6虛擬專用網結構2020/12/1928VPN技術學習情境2子學習情境32.3.1VPN簡介VPN建立結構如圖2-7所示：用戶PSTN用戶TCP/IPVPNServer圖2-7VPN建立結構2020/12/1929VPN技術學習情境2子學習情境32.3.2VPN的核心技術——隧道技術

1.隧道技術基礎現代計算機網絡都是基于包交換（亦稱分組交換）的，不同類型的網絡支持不同的網絡通信協議,傳送不同格式的包。隧道技術（又稱封裝）是將一個網絡傳出的數據包加一個新的包頭（可能還要加一個新的包尾），這樣原先的數據包就成了新的數據包的負載，就可能在新的網絡中繼續通行了。在VPN中隧道技術用于運載私用網絡中的數據包，使其通過并不直接支持私用網絡協議的公共互聯網絡。2020/12/1930VPN技術學習情境2子學習情境32.3.2VPN的核心技術——隧道技術

1.隧道技術基礎

VPN中的隧道技術是一種通過使用互聯網絡的基礎設施在私用網絡之間或私用網絡與特定主機之間傳遞數據的方式。這里所說的互聯網絡可以是任何類型的公共互聯網絡，也可以是一個連接了多個子網的規模較大的企業內部網絡。當然，通過不同互聯網絡的數據隧道會有不同的數據包格式和不同的處理方式。2020/12/1931VPN技術學習情境2子學習情境32.3.2VPN的核心技術——隧道技術

2.隧道技術的實現（1）用戶驗證隧道技術首先要求對用戶進行驗證。不同的隧道協議及不同的VPN實現有不同驗證方法。第2層隧道協議繼承了PPP協議的用戶驗證方式。第三層隧道協議IPSec協議則由ISAKMP（Interne安全連接和密鑰管理協議）協商提供隧道端點之間進行的相互驗證。2020/12/1932VPN技術學習情境2子學習情境32.3.2VPN的核心技術——隧道技術

2.隧道技術的實現（2）數據壓縮與加密隧道技術對要傳送的數據壓縮與加密第2層隧道協議支持基于PPP的數據壓縮和加密方式。IPSec通過ISAKMP/Oakley協商確定數據壓縮和加密方法。保障隧道客戶端和服務器之間數據流的安全。2020/12/1933VPN技術學習情境2子學習情境32.3.2VPN的核心技術——隧道技術

2.隧道技術的實現（3）密鑰管理第2層協議驗證用戶時生成的密鑰，并定期對其更新。IPSec在ISAKMP交換過程中公開協商公用密鑰