Implementing Security

Slides:

Advertisements

Similar presentations

第四章内容提要：电子商务的安全技术本章从电子商务的安全要求入手，介绍电子商务的几种安全技术，从而说明电子商务安全问题有哪些，其根源何在、带来哪些风险、如何应用安全技术等。

Advertisements

第5章电子商务安全学习目标: 1）了解电子商务对安全的基本需求。 2）理解防火墙的功能与技术。 3）掌握数据加密原理与技术。

電子商務安全防護線上交易安全機制.

資訊安全管理與個人資訊安全防護日期：99年12月01日 13:30~16:30 地點：e化專科教室主講人：黃尚文.

第3章电子商务的技术基础 3.1 电子商务与计算机网络技术 3.2 电子商务与Web技术 3.3 电子数据交换（EDI）技术

第五章網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用

电子商务基础（第二版）.

大綱基本觀念安全的重要性取捨一些安全防護技術和制度的基本原理你只需要知道原理你自己要有因應的措施企業安全規範 1.

第三章網際網路和全球資訊網 : 電子商務基礎建設

資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲

企業如何建置安全的作業系統 Windows XP 網路安全

電子資料保護吳啟文 100年6月7日.

06資訊安全-加解密.

第五章电子商务安全管理.

Security and Encryption

電子戶籍謄本申辦及驗證實務作業與問題討論

大專院校校園e 化 PKI、智慧卡應用與整合.

第十一章網路安全 (Network Security)

计算机网络安全概述.

10.2　网络安全的基本概念　网络安全的重要性计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响，同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前，大量的商业信息与大笔资金正在通过计算机网络在世界各地流通，这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施，使得各级政府与各个部门之间越来越多地利用网络进行信息交互，实现办公自动化。所有这一切都说明：网络的应用正在改变着人们的工作方

電子商務 11-1 電子商務概論 11-2 電子商務交易安全與加密機制 11-3 電子商務交易付費機制

PPP协议点到点协议深圳职业技术学院计算机系网络专业.

网络安全威胁与防御策略. TCP/IP Protocols  Contains Five Layers  Top three layers contains many protocols  Actual transmission at the physical layer.

Security Threats to Electronic Commerce

資訊安全-資料加解密主講：陳建民.

IIS網站的安全性管理羅英嘉 2007年4月.

David liang 数据通信安全教程防火墙技术及应用 David liang

(C) Active Network CO., Ltd

網路安全 B 賴威志 B 項薇.

第五章網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用

Windows Vista Internet Explorer 7.0 Overview

Module 2：電子商務之安全.

CH19資訊安全認識資訊安全與其重要性了解傳統與公開金鑰密碼系統，以及基本的安全性觀念了解訊息鑑別與雜湊函數了解數位簽章法

資電學院計算機概論 F7810 第十七章資訊安全陳邦治編著旗標出版社.

電子商務付費系統講師：王忍忠.

第 15 章網路安全.

中国科学技术大学肖明军《网络信息安全》中国科学技术大学肖明军

Chapter7 全球資訊網與瀏覽器介紹網路應用入門(一) Chapter7 全球資訊網與瀏覽器介紹

创建型设计模式.

9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系范錚強

《电子商务概论》高等教育出版社 2003版市场营销系

預官考試輔導計算機概論提要 91年12月4日.

第四章電子商務付費系統電子商務與網路行銷 (第2版).

主講人:黃鎮榮東方設計學院觀光與休閒事業管理系

校園網路架構介紹與資源利用主講人：趙志宏圖書資訊館網路通訊組.

现代密码学理论与实践第1章引言苗付友 2018年9月.

Microsoft SQL Server 2008 報表服務_設計

Westmont College 网络安全 (访问控制、加密、防火墙)

Breaking and Fixing Authentication over TLS

為何電子商務的安全性令人擔憂？電子商務資訊安全實體商務也擔心安全-但數位化的偽造數量會更多更快

沙勇忠 Sha Yongzhong 兰州大学图书馆 Library of Lanzhou University

9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系范錚強

Mailto: 9 eB 中的金流問題國立中央大學.資訊管理系范錚強 Tel: (03) mailto: Updated

電子商務 Electronic Commerce

虚拟仪器 virtual instrument

傳輸控制協議 /互聯網協議 TCP/IP.

期未報告:公眾無線網路的架構,比較通訊所鍾國麟主要的內容還是S.Y.

密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法

IT 安全第 11节加密控制.

NASA雜談+電腦網路簡介 Prof. Michael Tsai 2015/03/02.

Chapter 10 Mobile IP TCP/IP Protocol Suite

Common Security Problems in Business and Standards

為何電子商務的安全性令人擔憂？第二節電子商務資訊安全實體商務也擔心安全-but數位化的偽造數量會很多網際網路是互聯的（匿名與距離性）

Introduction to Computer Security and Cryptography

Computer Security and Cryptography

Website: 第1章密码学概论 Website: 年10月27日.

《现代密码学》导入内容方贤进

深圳信息职业技术学院《电子商务基础》课程组版权所有

Section 1 Basic concepts of web page

Presentation transcript:

Implementing Security Chapter 11 Implementing Security for Electronic Commerce

Objectives p398 Security measures that can reduce or eliminate intellectual property theft Securing client computers from attack by viruses and by ill-intentioned programs and scripts downloaded in Web pages Authenticate users to servers and authenticate servers Available protection mechanisms to secure information sent between a client and a server

Objectives p398 Message integrity security, preventing another program from altering information as it travels across the Internet Safeguards that are available so commerce servers can authenticate users Protecting intranets with firewalls and corporate servers against being attacked through the Internet The role Secure Socket Layer, Secure HTTP and secure electronic transaction protocols play in protecting e-commerce 什么安全措施可降低或消除侵犯知识产权的行为; 如何保护客户机不受病毒和下载页面带来的有恶意的程序和脚本的攻击; 如何向服务器认证用户，如何认证服务器; 保护客户机和服务器之间安全传输信息的机制; 如何保证消息的完整性，防止消息在互联网上传输时被别的程序改变; 可供电子商务服务器认证用户的保护措施; 防火墙如何保护内部网和公司服务器不受来自互联网的攻击; 安全套接层SSL、安全HTTP和安全电子交易协议在保护电子商务中起什么作用。

Important Words 1 访问控制表ACL (Access Control List) 应用服务商ASP (Application Service Provider) 非对称加密 (Asymmetric Encryption) 认证中心CA (Certification Authority,) 明文 (Clear Text) 密文 (Cipher Text) 冲突 (Collision) 计算机犯罪 (Computer Forensics) 计算机犯罪专家 (Computer Forensics Expert) Cookie封锁软件 (Cookie Blocker) 复制控制 (Copy Control) 密码学 (Cryptography)

Important Words 2 数据加密标准DES (Data Encryption Standard) 解密 (Decrypted) 解密程序 (Decryption Program) 数字证书 (Digital Certificate) 数字ID (Digital ID) 数字签名 (Digital Signature) 数字信封 (Digital Envelope) 数字水印 (Digital watermark) 加密 (Encryption) 加密算法 (Encryption Algorithm) 加密程序 (Encryption Program) 防火墙 (Firewall) 固定文件 (Flat File) 网关服务器 (Gateway Server)

Important Words 3 散列算法 (Hash Algorithm) 散列编码 (Hash Coding) 散列值 (Hash Value) 破坏完整性 (Integrity Violation) 密钥 (Key) 消息摘要 (Message Digest) 不可否认 ( Nonrepudiation) 单向函数 (One-Way Function) 永久Cookie (Persistent Cookie) . 包过滤防火墙 (Packet-Filter Firewall) 私有密钥 (Private Key) 私有密钥加密 (Private-Key Encryption)

Important Words 4 代理服务器 (Proxy Server) 公开密钥 (Public Key) 公开密钥加密 (Public-Key Encryption) 安全信封 (Secure Envelope) 会话Cookie (Session Cookie) 会话密钥 (Session Key) 签名消息或代码 (Signed message or code) 对称加密 (Symmetric Encryption) 三重数据加密标准3DES (Triple Data Encryption Standard) 可信网络 (Trusted network) 不可信网络 (Untrusted network) 网页窃听器 (Web Bug)

§11.1 Protecting Electronic Commerce Assets You cannot hope to produce secure commerce systems unless there is a written security policy What assets are to be protected What is needed to protect those assets Analysis of the likelihood of threats Rules to be enforced to protect those assets 安全策略内容包括明确哪些资产需保护、用什么措施进行保护、分析各种安全威胁的可能性、保护那些资产所要执行的各种规定。

§11.1 Protecting Electronic Commerce Assets Both defense and commercial security guidelines state that you must protect assets from Unauthorized disclosure（泄漏） Modification（修改） Destruction（破坏） Typical security policy concerning confidential company information Do not reveal company confidential information to anyone outside the company 保护电子商务资产简要介绍保护电子商务资产的概念以及电子商务安全的最低要求。国防安全和商业安全指南都声明要保护资产不被：泄漏、修改、破坏。

Minimum Requirements for Secure Electronic Commerce Figure 11-1 p400 保密完整密钥管理不可否认认证 availability 11-1 可用

§11. 2 Protecting Intellectual Property The dilemma for digital property is how to display and make available intellectual property on the Web while protecting those copyrighted works Intellectual Property Protection in Cyberspace( 电脑空间知识产权保护) recommends: Host name blocking (主机名阻塞) Packet filtering (包过滤) Proxy servers (代理服务器) 保护知识产权数字化的知识产权所面临的困境是如何在网站上发表知识产权作品的同时又能保护这些作品。 ITAA美国信息技术协会发表一部涉及保护数字信息版权的内容广泛的文章，其中的电脑空间知识产权保护一节提出了三种方案： WIPO世界知识产权组织数字水印 Digital watermark 为保护知识产权，数字水印是一种新技术，它是隐蔽地嵌人在数字图像或声音文件里的数字码或数字流。可对其内容加密或简单地隐藏在图像或声音文件的字节里。

§11.2.1 Companies Providing Intellectual Property Protection Software ARIS Technologies Digital audio watermarking systems Embedded code in audio file uniquely identifying the intellectual property Digimarc Corporation Watermarking for various file formats Controls software and playback devices SoftLock Services Allows authors and publishers to lock files containing digital information for sale on the Web Posts files to the Web that must be unlocked with a purchased ‘key’ before viewing 提供数字水印保护系统和软件的公司

Anyone can read and interpret cookie data §11.2.2 Protecting Privacy p406 Cookies Small pieces of text stored on your computer and contain sensitive information that is not encrypted Anyone can read and interpret cookie data Do not harm client machines directly, but potentially could still cause damage 保护隐私对浏览器储存Cookie加以限制，选择“储存” “不允许储存” 或“提示选择”的方法来减少有可能对计算机带来的安全威胁。

§11.3 Protecting Client Computers Active content, delivered over the Internet in dynamic Web pages, can be one of the most serious threats to client computers Threats can hide in Web pages Downloaded graphics and plug-ins E-mail attachments 保护客户机

§11.3.1 Monitoring Active Content p407 §11.3.1 Monitoring Active Content Netscape Navigator and Microsoft Internet Explorer browsers are equipped to allow the user to monitor active content before allowing it to download Digital certificates provide assurance to clients and servers that the participant is authenticated 监测活动内容：浏览器的安全特性可设置对活动内容的监测与控制。

Microsoft Internet Explorer Provides client-side protection right inside the browser Reacts to ActiveX and Java-based content Authenticode verifies the identity of downloaded content The user decides to ‘trust’ code from individual companies IE在浏览器内部提供了对客户机的保护

Internet Explorer Zones and Security Levels Figure 11-9 对浏览器储存Cookie加以限制，选择“储存”、“不允许储存” 或“提示选择”的方法来减少有可能对计算机带来的安全威胁。

Internet Explorer Security Zone Default Settings Figure 11-10 p412

Also known as a digital ID An attachment to an e-mail message Digital Certificates p407 Also known as a digital ID An attachment to an e-mail message Embedded in a Web page Serves as proof that the holder is the person or company identified by the certificate Encoded so that others cannot read or duplicate it 数字证书：也叫数字凭证、数字标识。是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。它还有向网页或电子邮件附件原发送者发送加密信息的功能。数字证书含有证书持有者的有关信息，以标识他们的身份。证书包括以下的内容： •证书拥有者的姓名； •证书拥有者的公钥； •公钥的有效期； •颁发数字证书单位的数字签名； •数字证书的序列号。

Structure of a VeriSign Certificate p408 Structure of a VeriSign Certificate Figure 11-5 证书拥有者的姓名； •证书拥有者的公钥； •公钥的有效期； •数字证书的序列号。 •颁发数字证书单位的数字签名； (2) 数字证书：也叫数字凭证、数字标识。是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。它还有向网页或电子邮件附件原发送者发送加密信息的功能。数字证书含有证书持有者的有关信息，以标识他们的身份。证书包括以下的内容： •证书拥有者的姓名； •证书拥有者的公钥； •公钥的有效期；颁发数字证书单位的数字签名； •数字证书的序列号。认证中心CA： Certificate Authority 是一个机构，作为可信的第三方的认证中心可为用户和组织提供数字证书，验证证书申请者身份并发放证书。还具有管理、搜索和验证证书的职能。

VeriSign -- A Certification Authority Figure 11-7 p409 Oldest and best-known Certification Authority (CA) Offers several classes of certificates Class 1 (lowest level) Bind e-mail address and associated public keys Class 4 (highest level) Apply to servers and their organizations Offers assurance of an individual’s identity and relationship to a specified organization

§11.4 Protecting Electronic Commerce Channels Protecting assets while they are in transit between client computers and remote servers Providing channel security includes Channel secrecy Guaranteeing message integrity Ensuring channel availability 通讯信道的安全保护渠道的保密性消息的完整性渠道的即需性

§11.4.1 Providing Transaction Privacy Encryption（加密） The coding of information by using a mathematically based program and secret key to produce unintelligible characters Key and Encryption Algorithm 解决保密性问题。 1)加密和解密 •加密是指将数据原始信息(明文)进行编码，使它成为一种不可理解的形式，这种不可理解的形式的内容叫做密文。 •解密是加密的逆过程，将密文还原成原来可以理解的形式(明文) 。 •加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。 •算法是加密和解密一步一步的过程， •在这个过程中需要一串数字，这个数字就是密钥加密消息的保密性取决于加密所用密钥的长度。密钥位数越长，信息的保密程度越高。按密钥和相关加密程序类型可把加密分为两类加密体制：对称加密和非对称加密。

Encryption p418 40-bit keys are considered minimal,128-bit keys provide much more secure encryption Encryption can be subdivided into three functions Hash Coding Calculates a number from any length string Asymmetric (Public-key) Encryption Encodes by using two mathematically related keys Symmetric (Private-key) Encryption Encodes by using one key, both sender and receiver must know 按密钥和相关加密程序类型可把加密分为两类加密体制：对称加密和非对称加密。

Hash Coding, Private-key, and Public-key Encryption Figure 11-15 (1)散列编码也叫HASH函数、杂凑算法。是将任意长度的数字串M映射成一个较短的定长数据数字串H的函数。H对于M是唯一的即使M的任何改变都会产生不同H，因此又称为M的指纹。 H ASH编码的单向性可以解决完整性问题。所谓单向性是指不能被解密。 (2) 对称加密体制又称私有密钥加密体制，或单钥体制，对信息进行加密和解密用同一个密钥。私有密钥加密在很多情况下都很有效，但也有比较大的局限性:所有各方都必须相互了解，并且完全信任，而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点，就必须当面或在公共传送系统中无人偷听偷看的情况下交换密钥。在密钥的交换过程中，任何人一旦截获了它，就可用它来读取所有加密消息。私有密钥密钥的著名标准是DES。密钥长度64位。公开密钥加密可以解决密钥的发布问题，但它比私有密钥加密慢得多。私有密钥因速度快并且效率高而广泛用于大多数商业通讯中。 (3) 非对称加密体制它也叫公开密钥加密体制，或双钥体制，对信息进行加密和解密用不同的密钥。用两个数学相关的密钥对信息进行编码。在此系统中，其中一个密钥叫公开密钥，可通过数字证书公开在网上，随意发给期望同该数字证书持有者进行安全通讯的人。另一个叫私有密钥，只有该数字证书持有者才持有。此人要仔细保存私有密钥。公开密钥的著名标准是RSA。密钥长度至少512位，要提高安全性需1024、2048位。公钥体制可以解决保密性和不可否认性。如果发信人用收信人的公钥对信息加密，只有收信人能用自己的私钥解密。可以解决保密性问题。如果用发信人的私钥对信息加密，任何收信人都能用发信人的自公钥解密。可以解决不可否认性问题。可实现数字签名 (3) 公开密钥体制与私有密钥体制的比较公钥体制与私钥体制相比，有若干优点。首先，在多人之间进行保密信息传输所需的密钥组合数量很小。在N个人彼此之间传输保密信息，只需要N对公钥，远远小于私有密钥加密系统的要求。第二，密钥的发布不成问题。第三，公钥体制可实现数字签名。公钥体制也有若干缺点，密钥很长，加密/解密比私有密钥加密系统的速度慢得多。公开密钥系统并不是要取代私有密钥系统，恰恰相反，它们是相互补充的。可用公开密钥在互联网上传输私有密钥，从而实现更有效的安全网络传输，这个技术叫做数字信封。

§11.4.2 Ensuring Transaction Integrity Figure 11-19 p429 消息摘要对信息的散列编码叫做消息摘要。相同的信息其消息摘要相同，不同的信息其消息摘要不同，消息摘要对于判别信息是否在传输时被改变非常方便。如果信息被改变，原消息摘要值就会与由接收者所收信息计算出的散列值不匹配。消息摘要可以解决完整性问题。

2. Significant Encryption Algorithms and Standards Figure 11-16 对称加密 2. 加密算法和标准 (1)散列编码散列编码的常用标准有SHA、MD4、MD5、 (2) 对称加密体制私有密钥密钥的著名标准是DES。密钥长度64位。 (3) 非对称加密体制公开密钥的著名标准是RSA。密钥长度至少512位，要提高安全性需1024、2048位。公钥加密

3. Secure Sockets Layer (SSL) Protocol SSL是Netscape公司设计和开发的，被用于Netscape浏览器和IE浏览器 Secures connections between two computers Secures many different types of communications between computers 安全套接层协议 (SSL)。 SSL是在互联网上进行安全信息传输的协议。它支持浏览器和服务器间的安全连接，并处于Internet多层协议集的传输层。其目的在于提高应用层协议 (如HTTP、Telnet、 FTP等) 的安全性。SSL对计算机之间的各种通讯都提供安全保护。 SSL的功能包括：数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。工作原理是首先对服务器进行认证，然后对两台计算机之间所有的传输进行加密。 SSL用公开密钥加密和私有密钥加密来实现信息的保密：在建立连接过程中采用公开密钥、在会话过程中使用专用密钥。 SSL有两种安全级别，40位和128位。 SSL是Netscape公司设计和开发的，被用于Netscape浏览器和IE浏览器，

Provides either 40-bit or 128-bit encryption SSL Protocol p423 Provides either 40-bit or 128-bit encryption Session keys are used to create the cipher text from plain text during the session The longer the key, the more resistant to attack Provides a security handshake in which the client and server computers exchange the level of security to be used, certificates, among other things SSL对计算机之间的各种通讯都提供安全保护。 SSL有两种安全级别，40位和128位。 SSL是Netscape公司设计和开发的，被用于Netscape浏览器和IE浏览器，

Establishing an SSL Session Figure 11-17 p425 工作原理是首先对服务器进行认证，然后对两台计算机之间所有的传输进行加密。 SSL用公开密钥加密和私有密钥加密来实现信息的保密：在建立连接过程中采用公开密钥、在会话过程中使用专用密钥。

4. Secure HTTP (S-HTTP) Protocol Extension to HTTP that provides numerous security features Client and server authentication(认证) Spontaneous encryption (加密) Request/response nonrepudiation (请求/响应的不可否认) Provides symmetric and public-key encryption, and message digests (summaries of messages as integers) (对称加密、非对称加密和消息摘要）安全超文本传输协议（S-HTTP）处于Internet多层协议集的应用层。 S-HTTP支持超文本传输协议HTTP，为Web文档提供安全和鉴别，保证数据的安全。它提供了多种安全功能，包括：客户机与服务器认证、加密、请求/响应的不可否认等。安全技术：对称加密、非对称加密和消息摘要 S-HTTP则是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。头标志定义了安全技术的类型，包括使用私有密码加密、服务器认证、客户机认证和消息的完整性。头标志的交换也确定了各方所支持的加密算法，不论客户机或服务器 (或双方)是否支持这种算法，也不论是必需、可选还是拒绝此安全技术(如保密性)。一旦客户机和服务器同意彼此之间安全措施的实现，那么在此会话中的所有信息都将封装在安全信封里。安全信封是通过将一个消息封装起来以提供保密性、完整性和客户机与服务器认证。换句话说，安全信封是一个完整的包。在网络或互联网上传输的所有信息都可用它进行加密以防止他人阅读。信息被改变后会被立即察觉，因为完整性机制提供了能标示消息是否被改变的探测码。客户机和服务器认证是通过认证中心所签发的数字证书来实现的，安全信封组合了所有这些安全功能。S-HTTP就是这样对安全进行保护的。 S-HTTP是由CommerceNet协会提出的。如果主页的URL为https://开始，说明该页遵循安全超文本传输协议。

§11.4.3 Guaranteeing Transaction Delivery p430 Neither encryption nor digital signatures protect packets from theft or slowdown Transmission Control Protocol (TCP) is responsible for end-to-end control of packets TCP requests that the client computer resend data when packets appear to be missing 保证交易传输加密或数字签名都无法保护信息包不被盗取或延迟 TCP负责信息包端到端可靠传输控制 TCP要求客户机重发丢失的数据

§11.5 Protecting the Commerce Server (1) Access control and authentication (2) Operating System Controls (3) Firewalls 保护服务器 (1)访问控制和认证。 (2)操作系统控制。 (3)防火墙。

§11.5.1 Access control and authentication p430 §11.5.1 Access control and authentication Controlling who and what has access to the server Requests that the client send a certificate as part of authentication (要求客户机发出证书) Server checks the timestamp on the certificate to ensure that it hasn’t expired (服务器检验证书未过期) Can use a callback system in which the client computer address and name are checked against a list (服务器可使用回叫系统核对用户名和地址) 访问控制和认证。控制访问商务服务器的人和访问内容。

Usernames and passwords Usernames and passwords are the most common method of providing protection for the server Usernames are stored in clear text, while passwords are encrypted The password entered by the user is encrypted and compared to the one on file 用户名和口令的方法一直用于提供所属权和安全认证，对服务器提供一定程度的保护。最常见也是最安全的存储方法是以明文形式保存用户名，而用加密方式来保存口令。为了方便用户再访问网站时不用重新输人用户名/口令就能直接登录，有的网站将用户名/口令以Cookie形式存在客户机上，由于Cookie是以明文形式存在客户机上，因此用户应该注意限制Cookie的权限，防止储存在Cookie中的用户名和口令被窃取。

Logging On With A Username And Password Figure 11-20 p434

§11.5.2 Operating System Controls Most operating systems employ username and password authentication 3·操作系统控制。大多数操作系统都有用户名/□令的用户认证系统。操作系统为其所运行的主机上驻留的WWW服务器提供了安全子结构。访问控制表和用户名/口令的保护机制就属于这种安全子结构。

A common defense is a firewall §11.5.3 Firewalls p434 A common defense is a firewall All traffic from inside to outside and outside to inside must pass through it Only authorized traffic is allowed The firewall itself must be immune to penetration 防火墙。防火墙是在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立的保护层，防火墙具有以下特征:首先，由内到外和由外到内的所有访问都必须通过它。其次，只有本地安全策略所定义的合法访问才被允许通过它。而且防火墙本身无法被穿透。防火墙是在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立的保护层，由一个软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造保护屏障。防火墙具有以下特征: 由内到外和由外到内的所有访问都必须通过它。其次只有本地安全策略所定义的合法访问才被允许通过它。而且防火墙本身无法被穿透。防火墙在协议中处于应用层，也可在网络层和传输层上操作

Categories of Firewalls p435 Should be stripped of any unnecessary software Categories of firewalls include Packet filters(包过滤) Examine all packets flowing through the firewall Gateway servers (网关服务器) Filter traffic based on the requested application Proxy servers (代理服务器) Communicate on behalf of the private network Serve as a huge cache for Web pages ·防火墙。防火墙是在需要保护的网络同可能带来安全威胁的互联网或其他网络之间建立的保护层，防火墙具有以下特征:首先，由内到外和由外到内的所有访问都必须通过它。其次，只有本地安全策略所定义的合法访问才被允许通过它。而且防火墙本身无法被穿透。防火墙内的网络通常叫可信网络，而防火墙外的网络叫不可信网络。防火墙相当于一个过滤设备，它允许特定的信息流入或流出被保护的网络。在理想的情况下，防火墙保护应阻止未经授权的用户访问防火墙内的网络，从而保护敏感信息。同时又不能妨碍合法用户，在防火墙之外的员工应能访问防火墙所保护的网络和数据文件。防火墙在协议中处于应用层，也可在网络层和传输层上操作。防火墙的种类包括包过滤、网关服务器和代理服务器。 1)包过滤防火墙作用于IP层。要检查在可信网络和互联网之间传输的所有数据，包括信息包的源地址、目的地址及进人可信网络的信息包的端□，并根据预先设定的规则拒绝或允许这些包进人。 2)网关服务器是根据所请求的应用对访问进行过滤的防火墙。应用网关对网络内部和网络外部的访问进行仲裁。网关服务器提供了一个中心点，在此处可对所有请求进行分类、登录和事后分析。 3)代理服务器是代表某个专用网络同互联网进行通讯的防火墙，当我们将浏览器配置成使用代理功能时，防火墙就将浏览器的请求转给互联网；当互联网返回响应时，代理服务器再把它转给我们的浏览器。代理服务器也用于页面的缓存。代理服务器在从互联网上下载特定页面前先从缓存器取出这些页面。