第一篇：防火墻技術在企業(yè)財務管理系統(tǒng)中的應用

防火墻技術在企業(yè)財務管理系統(tǒng)中的應用

2010-06-10 09:02:02 作者：韓曉 來源：萬方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數(shù)據(jù) 關鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數(shù)據(jù)加密技術、認證技術等，其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統(tǒng)中的應用進行較為深入的探討。

1、防火墻技術

1.1防火墻的基本概念

防火墻是保護內(nèi)部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護網(wǎng)內(nèi)，財務上主要用于保護計算機和服務器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是1組硬件設備(路由器、主機)和軟件的多種組合，而從本質(zhì)上看防火墻是1種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽，從技術上來說，網(wǎng)絡防火墻是1種訪問控制技術，在某個機構的網(wǎng)絡和不安壘的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，所以防火墻是一道門檻，控制進出2個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的鏈接來源，服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶進入內(nèi)部網(wǎng)絡；(2)可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡地址變換)的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來。用來緩解地址空間短缺的問題；(4)可以連接到1個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉(zhuǎn)載請務必注明出處，違者本網(wǎng)將依法追究責任。

第二篇：防火墻技術在電子商務中的應用

防火墻技術在電子商務中的應用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務的概念及交易問題.....................................................(2)

（一）、什么是電子商務............................................................(2)(二)、電子商務的交易過程.................................................(2)

二、電子商務中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務中的信息安全問題及威脅.....................................(4)

三、防火墻的技術與體系結構.............................................(6)

四、防火墻的簡介與使用的益處.........................................(6)

五、防火墻常用技術和性能......................................................（11）

六、結論........................................................................(14)參考文獻........................................................................(14)

淺談防火墻技術在電子商務中的應用

內(nèi)容摘要：防火墻技術作為保證電子商務活動中信息安全的第一道有效屏障，受到越來越多的關注。本文介紹了電子商務的概念、電子商務的交易過程、交易過程中的信息安全問題及威脅、重點介紹了電子商務交易系統(tǒng)的防火墻技術，討論了建立網(wǎng)上安全信任機制的基礎。

關鍵詞：防火墻

電子商務

應用 正文:

一、電子商務的概念及交易問題(一)什么是電子商務

電子商務源于英文Electronic Commerce，簡寫為EC。是指一個機構利用信息和技術手段，改變其和供應商、用戶、員工、合作伙伴、管理部門的互動關系，從而使自己變成為機動響應、快速響應、有效響應的響應性機構。電子商務的核心是商務；本質(zhì)上是創(chuàng)造更多商機、提供更好商業(yè)服務的一種電子交易智能化手段。眼下，電子商務的含義已不僅僅是單純的電子購物，電子商務以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎，包含了許多不同的活動（如商品服務的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費品營銷和售后服務）。它涉及產(chǎn)品（消費品和工業(yè)品）和服務（信息服務、財務與法律服務）；它包含了使用Internet和Web技術進行的所有的商務活動。

(二)、電子商務的交易過程

企業(yè)間電子商務交易過程大致可以分為交易前準備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個階段。

(1)交易前的準備

買賣雙方和參與交易的雙方在這一階段所作的簽約前的準備活動。買方根據(jù)自己要買的商品，準備購貨款，制訂購貨計劃，進行貨源的市場調(diào)查和分析，反復進行市場查詢，通過交換信息來比較價格和條件，了解各個賣方國家的貿(mào)易政策，反復修改購貨計劃和進貨計劃，確定和審批購貨計劃。利用Internet和各種電子商務網(wǎng)絡尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃，再按計劃確定購買商品的種類、規(guī)格、數(shù)量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品，進行全面的市場調(diào)查和分析，了解各個買方國家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進行宣傳，召開商品新聞發(fā)布會，利用Internet和各種電子商務網(wǎng)絡發(fā)布商品廣告等手段擴大影響，尋找貿(mào)易伙伴和交易機會，擴大貿(mào)易范圍和商品所占市場的份額。

參加交易的其他各方如中介、銀行金融機構、信用卡、商檢系統(tǒng)、海關系統(tǒng)、保險、稅務系統(tǒng)、運輸公司等，買賣雙方都少不了要為電子商務交易做好準備。

(2)交易談判和簽訂貿(mào)易合同

買賣雙方在這一階段利用電子商務系統(tǒng)對所有交易細節(jié)在網(wǎng)上談判，將雙方磋商的結果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設備和通信方法，經(jīng)過認真談判和磋商后，將雙方在交易中的權利、所承擔的義務、所購買商品的種類、數(shù)量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進行簽約，也可以通過數(shù)字簽名等方式簽約。

(3)辦理交易進行前的手續(xù)

買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準備過程。交易中要涉及到有關各方，即可能要涉及到中介、銀行金融機構、信用卡、商檢系統(tǒng)、海關系統(tǒng)、保險、稅務系統(tǒng)、運輸公司等與交易有關的各方。買賣雙方要利用EDI與有關各方進行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進行報關、保險、取證、信用卡等手續(xù)，然后賣方將所購商品交付給運輸公司包裝、起運、發(fā)貨。買賣雙方可以通過電子商務服務器跟蹤發(fā)出的貨物，金融機構和銀行也按照合同，處理雙方收付款、并進行結算，出具相應的銀行單據(jù)等，當買方收到所購的商品，整個交易過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時，需要進行違約處理的工作，受損方按貿(mào)易合同有關條款向違約方進行索賠。

二、電子商務中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務安全是一個系統(tǒng)概念，不僅與計算機系統(tǒng)結構有關，還與電子商務應用的環(huán)境、人員素質(zhì)和社會因素有關。其中交易的安全又是電子商務發(fā)展的核心和關鍵問題。交易對安全性的要求有如下幾個方面：(1)有效性，因為交易對于交易雙方都是一件十分嚴肅的事情，雙方都對交易的信息認可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認性，要求在交易信息的傳輸過程中為參與交易的個人，企業(yè)和國家提供可靠的標識。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運行的可靠性要求保證電子商務參與者能在交易的過程始終能與交易對象進行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務安全仍然是一個令人頭痛的問題，那么如何加強電子商務的安全呢？

防火墻可以保證對主機和應用安全訪問，保證多種客戶機和服務器的安全性，保護關鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠程訪問的雇員、客戶、供應商提供安全渠道。

與傳統(tǒng)商務相比，電子商務具有許多特點：

其一，電子商務是一種快速、便捷、高效的交易方式。在電子商務中，信息的傳遞通過網(wǎng)絡完成，速度很快，可以節(jié)省寶貴的交易時間。

其二，電子商務是在公開環(huán)境下進行的交易，其可以在全球范圍內(nèi)進行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場競爭。

其三，在電子商務中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務中的信息安全問題及威脅

1、電子商務的安全問題?？偟膩碚f分為二部分：一是網(wǎng)絡安全，二是商務安全。計算機網(wǎng)絡安全的內(nèi)容包括：計算機網(wǎng)絡設備安全，計算機網(wǎng)絡系統(tǒng)安全，數(shù)據(jù)庫安 全，工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。商務安全則緊緊圍繞 傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對所有的網(wǎng)絡系統(tǒng)構成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關上都可以做此類工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。

2、電子商務面臨的安全威脅。根據(jù)攻擊能力的組織結構程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結構的內(nèi)部和外部威脅與有組織結構的內(nèi)部和外部威脅。一般來講，對外部威脅，安全性強調(diào)防御；對內(nèi)部威脅，安全性強調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序，它采用了獨特的設計，可以在受到某個事件觸發(fā)時，復制自身，并感染計算機。如果在病毒可以通過某個外界來源進入網(wǎng)絡時，網(wǎng)絡才會感染病毒。

(2)惡意破壞程序。網(wǎng)站會提供一些軟件應用的開發(fā)而變得更加活潑。這些應用可以實現(xiàn)動畫和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動性。惡意破壞程序是指會導致不同程度破壞的軟件應用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（DOS）攻擊。a.探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網(wǎng)絡數(shù)據(jù)，用于以后進一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認證服務、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡領域的漏洞，以訪問電子郵件賬號、數(shù)據(jù)庫和其他保密信息。c.DOS 攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問。

(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡進行數(shù)據(jù)傳輸都可能會被未經(jīng)授權的一方截取。犯罪分子可能會竊聽通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請的廣告信息的行為。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。

因此，隨著電子商務日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務發(fā)展的當務之急。

三、防火墻的技術與體系結構

（一）、什么是防火墻

防火墻是一個或一組在兩個網(wǎng)絡之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護內(nèi)部網(wǎng)絡資源不被可疑人侵擾，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務來往的網(wǎng)絡通信安全機制,也就是提供可控的過濾網(wǎng)絡通信，只允許授權的通訊。

（二）、使用防火墻的益處

(1)保護脆弱的服務

通過過濾不安全的服務，防火墻可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如，防火墻可以禁止NIS、NFS服務通過，防火墻同時可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。

(3)控制對系統(tǒng)的訪問

防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置防火墻時，網(wǎng)絡安全取決于每臺主機的用戶。

(5)增強的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。并且，防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)。

四、防火墻的簡介與使用的益處

（一）、防火墻的簡介

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊。

防火墻是為防止非法訪問或保護專用網(wǎng)絡而設計的一種系統(tǒng)。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡。所有的數(shù)據(jù)在進入或離開內(nèi)部網(wǎng)絡時都要經(jīng)過防火墻，防火墻會檢查每個數(shù)據(jù)包，并且阻止那些不符合指定安全標準的數(shù)據(jù)包。

一般來說，配置防火墻是為了防止外部無權限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網(wǎng)絡。更復雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能；它們經(jīng)常為管理員提供關于已處理過的流量類型和數(shù)值的摘要。這是個非常重要的“點”，因為阻止點在網(wǎng)絡中的作用相當于警衛(wèi)保衛(wèi)財產(chǎn)。

從理論上說，有兩種類型的防火墻：應用層防火墻和網(wǎng)絡層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個安全區(qū)到另一個安全區(qū)所采用的機制。國際標準化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡分成七層，每一層都為上一層服務。更重要的是要認識到轉(zhuǎn)發(fā)機制所在的層次越低，防火墻的檢查就越少。

（1）應用層防火墻

應用層防火墻通常是代理服務器運行的主機，它不允許網(wǎng)絡之間直接的流量，并在流量通過時做詳細的記錄和檢查。由于代理應用程序只是防火墻上運行的軟件，所以可在這做大量的記錄和訪問控制。應用層防火墻可用于網(wǎng)絡地址轉(zhuǎn)換，是因為在應用程序有效地偽裝初始連接的來源之后流量可以從一邊進入，另一邊出去。

在某些情況下，有一個應用程序的方式可能會影響防火墻的性能，并可能會使防火墻降低透明度。早期的應用層防火墻對終端用戶不是特別透明，并且還可能需要進行一些培訓。然而，許多現(xiàn)代應用層防火墻是完全透明的。與網(wǎng)絡層防火墻相比，應用層防火墻趨于提供更細化的審計報告，實行更保守的安全模型。

（2）網(wǎng)絡層防火墻

這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統(tǒng)意義上的網(wǎng)絡層防火墻，因為它不能做出復雜的判斷，如數(shù)據(jù)包的發(fā)送目標和來源?，F(xiàn)代的網(wǎng)絡層防火墻變得更復雜得多，并且會隨時關注通過防火墻的連接狀態(tài)的信息。

另一個重要的不同于許多網(wǎng)絡層防火墻的是它們可使流量直接通過，因此在使用時，你需要一個有效分配的IP地址塊，或者是專用網(wǎng)絡地址塊。網(wǎng)絡層防火墻的發(fā)展很迅速，對于用戶來說幾乎是透明的。

未來的防火墻將處于應用層防火墻和網(wǎng)絡層防火墻之間。網(wǎng)絡層防火墻可能會逐漸意識到經(jīng)過它們的信息，應用層防火墻可能會變得越來越透明。最終將會是一種在數(shù)據(jù)通過時進行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運行并監(jiān)控，其實硬件型也就是芯片里固化了的軟件，但是它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實在。

（二）、防火墻的體系結構

防火墻對于企業(yè)網(wǎng)絡的防御系統(tǒng)來說，是一個不可缺少的基礎設施。在選擇防火墻防火墻時，我們首先考慮的就是需要一個什么結構的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個網(wǎng)絡安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結構卻是一個起決定性作用的前提。因為防火墻的結構決定了這些工具的組合能力，決定了當你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上。

防火墻的基本結構可以分為包過濾和應用代理兩種。包過濾技術關注的是網(wǎng)絡層和傳輸層的保護，而應用代理則更關心應用層的保護。

包過濾是歷史最久遠的防火墻技術，從實現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。

簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。由于這類技術不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的，比如當你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應答包的形式進行的攻擊仍然可以從外部通過防火墻對內(nèi)部的系統(tǒng)進行攻擊。簡單包過濾的產(chǎn)品由于其保護的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術，從這點上可以說，國內(nèi)產(chǎn)品的平均技術水準至少比國外落后2到3年。

狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復雜的大型網(wǎng)絡上。

順便提一下免費軟件中的包過濾技術，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術能力的網(wǎng)絡管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現(xiàn)的原理上分析，雖然它們提供了對TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進行過濾時建立了一個用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術的基本特征。

包過濾結構的最大的優(yōu)點是部署容易，對應用透明。一個產(chǎn)品如果保護功能十分強大，但是不能加到你的網(wǎng)絡中去，那么這個產(chǎn)品所提供的保護就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡節(jié)點上，對用戶的應用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動原來的拓撲結構。

包過濾的另一個優(yōu)點是性能，狀態(tài)檢測包過濾是各種防火墻結構中在吞吐能力上最具優(yōu)勢的結構。

但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡控制的依據(jù)仍然是IP地址和服務端口等基本的傳輸層以下的信息。對于應用層則缺少足夠的保護，而大量的網(wǎng)絡攻擊是利用應用系統(tǒng)的漏洞實現(xiàn)的。

應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術，最初的代表是TIS工具包，現(xiàn)在這個工具包也可以在網(wǎng)絡上免費得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應用層的代理轉(zhuǎn)發(fā)，訪問者任何時候都不能直接與服務器建立直接的TCP連接，應用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應用協(xié)議的代理防火墻提供了豐富的應用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理則是規(guī)范了特定的應用協(xié)議上的行為。

對于使用代理防火墻的用戶來說，在得到安全性的同時，用戶也需要付出其它的代價。代理技術的一個主要的弱點是缺乏對應用的透明性，這個缺陷幾乎可以說是天生的，因為它只有位于應用會話的中間環(huán)節(jié)，才會對會話進行控制，而幾乎所有的應用協(xié)議在設計時都不

認為中間應該有一個防火墻存在。這使得對于許多應用協(xié)議來說實現(xiàn)代理是相當困難的。代理防火墻通常是一組代理的集合，需要為每一個支持的應用協(xié)議實現(xiàn)專門的功能，所以對于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個正在使用的應用協(xié)議，要么放棄防火墻，要么放棄應用。特別是在一個復雜的分布計算的網(wǎng)絡環(huán)境下，幾乎無法成功的部署一個代理結構的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進行安全區(qū)域分割是尤其明顯。

代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務接口之上，其對每個訪問實例的處理代價和資源消耗接近于Web服務器的兩倍。這使得應用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個并發(fā)訪問。對于一個繁忙的站點來說，這是很難接受的性能。

代理防火墻的技術發(fā)展遠沒有包過濾技術活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時為了克服代理種類有限的局限性，很多代理防火墻同時也提供了狀態(tài)檢測包過濾的能力，當用戶遇到防火墻不能支持的應用協(xié)議時，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結合兩者的長處。

狀態(tài)檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術，但兩種技術正在形成一種融合的趨勢，演變的結果也許會導致一種新的結構名稱的出現(xiàn)。我們在NetEye防火墻中以狀態(tài)檢測包過濾為基礎實現(xiàn)了一種我們暫時稱之為“流過濾”的結構，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對于任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)是以“流”的方式從一個會話流向另一個會話，由于防火墻的應用層策略位于流的中間，因此可以在任何時候代替服務器或客戶端參與應用層的會話，從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實現(xiàn)的TCP協(xié)議棧相對于以自身服務為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個能夠支持幾千個，甚至數(shù)萬個并發(fā)訪問，同時又有相當于代理技術的應用層防護能力的系統(tǒng)，“流過濾”結構幾乎是唯一的選擇。

防火墻技術發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡安全中最為成熟的技術，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術的進步卻從來沒有停止過，事實上，任何一個

安全產(chǎn)品或技術都不能提供永遠的安全，因為網(wǎng)絡在變化，應用在變化，入侵的手段在變化。對于防火墻來說，技術的不斷進步才是真實的保障。

五、防火墻常用技術和性能

（一）、防火墻的四種基本類型

根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

（1）、包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。

包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

（2）、網(wǎng)絡地址轉(zhuǎn)化—NAT 網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。

網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。

（4）、監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網(wǎng)關能夠有效地避免內(nèi)部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡防火墻技術的作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡安全技術，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務器（也稱應用網(wǎng)關）也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡與外部Internet的接口處,以阻擋來自外部網(wǎng)絡的入侵;其次,如果公司內(nèi)部網(wǎng)絡規(guī)模較大,并且設置有虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡還是與外部公網(wǎng)的連接處,都應該安裝防火墻。選擇防火墻的標準有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障,其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網(wǎng)絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內(nèi)。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本,關鍵部門則應另當別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部,網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產(chǎn)品。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應商必須為其用戶提供良好的培訓和售后服務。

（4）可擴充性。在網(wǎng)絡系統(tǒng)建設的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加,網(wǎng)絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應用中檢測安全產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產(chǎn)品。

六、結論

隨著電子商務的不斷發(fā)展，安全是保證電子商務健康有序發(fā)展的關鍵因素，防火墻技術必將在網(wǎng)絡安全方面著發(fā)揮更加重要的作用和價值。

七、參考文獻

1、《電子商務》 翟才喜 楊敬杰主編 東北財經(jīng)大學出版社 2002.2

2、《中國電子商務年鑒》2003 卷

第三篇：ERP系統(tǒng)在企業(yè)財務管理中的應用(1,2)

?

? ERP系統(tǒng)在企業(yè)財務管理中的應用（1）在財務管理日趨細化、的要求日漸提升的今

天，傳統(tǒng)的財務管理系統(tǒng)已經(jīng)難以適應當今的激烈競爭的社會。從內(nèi)部來說，隨著社會消費水平的增長?？蛻魧τ谏唐返倪x擇從滿足基本需求到追求個性化需求，為了適應這個需求趨勢，企業(yè)同樣要改變其生產(chǎn)模式，必須探求新的方法以解決新經(jīng)濟環(huán)境中提出的新問題。ERP所提供的新的工作平臺是應對這些挑戰(zhàn)的必備條件之一，它能全盤掌握企業(yè)信息，并能清晰地提供決策所需資料的數(shù)據(jù)處理系統(tǒng)。ERP在企業(yè)財務管理中的應用，將幫助企業(yè)的財務領導在理念、技術、方法的運用等多方面進行革新。但是任何事物都有其兩面性，ERP系統(tǒng)的運用自然有其優(yōu)勢，但是在運用過程中也應該注意相關問題。

一、ERP環(huán)境下財務管理系統(tǒng)與傳統(tǒng)財務管理系統(tǒng)的差異以及存在的優(yōu)勢

ERP系統(tǒng)實現(xiàn)了企業(yè)物流、資金流以及信息流的綜合集成管理，具有集成度高、信息處理及時等優(yōu)點。同傳統(tǒng)的財務管理系統(tǒng)存在著諸多差異。

首先，會計科目不同。在ERP系統(tǒng)中，會計科目由集團總部進行統(tǒng)一設置，分公司以及子公司無權進行修改，可以保證數(shù)據(jù)的準確性，財務數(shù)據(jù)是按業(yè)務發(fā)生的性質(zhì)進行統(tǒng)一組織的，有利于系統(tǒng)編制合并報表。對于往來類和成本費用類科目，可采用輔助核算模式，突破了傳統(tǒng)財務管理系統(tǒng)設置多級明細科目的思路，更有利于進行數(shù)據(jù)集成控制。

其次，數(shù)據(jù)范圍和采集方式不同。由于實施了財務業(yè)務一體化，會計信息質(zhì)量得到改善，信息集成不僅減少了數(shù)據(jù)的重復錄入，更重要的是信息集成有效改善了會計信息質(zhì)量，使會計信息的相關性提高了。另外采集和處理的信息相當廣泛，它不僅采集和處理財務信息，而且還采集和處理非財務信息，供各相關部門享用，數(shù)據(jù)的一致性可以消除數(shù)據(jù)的重復和冗余。

再次，會計憑證生成方式以及會計信息輸出方式不同。不同ERP系統(tǒng)中，業(yè)務部門完成諸如采購入庫和銷售等工作的同時，財務系統(tǒng)中會自動根據(jù)預先設置，生成相應的會計憑證，會計人員則可直接進行審核，如發(fā)現(xiàn)錯誤則通知業(yè)務人員進行修正。這樣可保證發(fā)生業(yè)務的同時，財務情況也能同時反應。在會計信息輸出過程中，它將大部分業(yè)務數(shù)據(jù)都是以原始的、未經(jīng)處理的方式存放，大部分處理是記錄業(yè)務的個體特征和屬性，分類、匯總、余額計算都放在查詢輸入過程，可方便進行組合查詢，準確生成所需財務報告數(shù)據(jù)，比傳統(tǒng)的財務管理系統(tǒng)處理數(shù)據(jù)更為簡單方便。

總之，ERP財務系統(tǒng)節(jié)約了會計憑證的生成時間，能及時查詢和匯總子公司或分公司業(yè)務和財務信息;縮短了財務會計報表的生成時間，內(nèi)部報表和分析報告形式更加多樣化了；提高了會計信息的可靠性，一定程度上減少了舞弊行為。同時，財務業(yè)務一體化，也為財務管理與控制的開展奠定了基礎，能夠?qū)①Y金控制點設置到業(yè)務流程的各個環(huán)節(jié)，真正實現(xiàn)節(jié)約資金、提高資金利用效率。

?

?

二、ERP環(huán)境下財務管理的應用應該注意的問題

ERP環(huán)境下的財務管理系統(tǒng)實現(xiàn)了企業(yè)物流、資金流以及信息流的綜合集成管理，具有集成度高、信息處理及時等優(yōu)點，但是ERP財務管理系統(tǒng)也有其自身的特點，因此財務人員在應用時也應該注意，保證ERP系統(tǒng)在企業(yè)中的良好運用：

1、要注意初始數(shù)據(jù)的正確性

ERP財務系統(tǒng)屬于數(shù)據(jù)集成系統(tǒng)，具有正面的積極作用，信息處理及時、集成度高，減少了重復錄入的工作量。但是從另一方面來說，采用ERP系統(tǒng)下數(shù)據(jù)錄入途徑唯一，大部分財務數(shù)據(jù)直接來自于銷售、采購、生產(chǎn)等業(yè)務子系統(tǒng)，財務人員無法控制原始數(shù)據(jù)的正確性，一旦原始數(shù)據(jù)出現(xiàn)錯誤，就將影響所有信息使用者。

(1)對于采購系統(tǒng)，ERP采購管理作為整個ERP的一部分，對外它聯(lián)系各級供應商，對內(nèi)它連接設計部門、生產(chǎn)部門和財務部門等，直接涉及物流、資金流以及信息流的傳遞，對公司整個管理起到了非常重要的作用。采購部門的原始數(shù)據(jù)是否合理，直接影響著整個系統(tǒng)的運行，影響到成本的核算以及銷售系統(tǒng)中應收應付工作，一個基本點出現(xiàn)錯誤，就會牽一發(fā)而動全身，直接影響著總賬系統(tǒng)，報表系統(tǒng)，因此，采購系統(tǒng)的業(yè)務數(shù)據(jù)的準確性直接關系到以后財務數(shù)據(jù)的錄入工作，需要密切注意，畢竟采購是整個系統(tǒng)的初始關鍵環(huán)節(jié)。

(2)對于成本控制系統(tǒng)，企業(yè)計算成本目前一般采用作業(yè)成本法進行計算，作業(yè)成本法的產(chǎn)生最初是為了提高制造費用向產(chǎn)品分配的精確性，因而作業(yè)成本核算的難點主要是制造費用分配到作業(yè)形成作業(yè)成本以及作業(yè)成本向目標產(chǎn)品的分配。ERP系統(tǒng)中的作業(yè)成本計算并不那么簡單，用信息系統(tǒng)來實現(xiàn)它是比較復雜的成本歸集和分配的過程。在ERP作業(yè)成本控制系統(tǒng)中，計算作業(yè)成本要輸入某特定期間的資源成本、成本動因數(shù)量、產(chǎn)出量和其他數(shù)據(jù)。資源成本的數(shù)據(jù)可以從ERP系統(tǒng)中的財務系統(tǒng)中取得，對于無法從財務系統(tǒng)中取得的數(shù)據(jù)可以手工輸入，這樣系統(tǒng)具有更大的靈活性。

成本動因是資源成本向作業(yè)，作業(yè)成本向成本目標分配的依據(jù)，所以成本動因數(shù)據(jù)的準確性直接關系到作業(yè)成本計算結果的準確性，因此，在ERP成本控制系統(tǒng)中，影響著整個企業(yè)的成本控制過程，初始數(shù)據(jù)是否合理直接影響著整個系統(tǒng)的財務數(shù)據(jù)是否正確，成本計算是否合理，也就影響著銷售系統(tǒng)的運行，進而影響到總賬系統(tǒng)、財務報表系統(tǒng)，因此，財務人員在輸入或者調(diào)取數(shù)據(jù)時，一定要注意數(shù)據(jù)的準確性，盡量避免失誤，保證整個ERP財務系統(tǒng)有效運行。

(3)對于銷售系統(tǒng)，應付賬款是企業(yè)處理從發(fā)票審核、批準，支付到檢查和對賬的業(yè)務，應付賬款系統(tǒng)同ERP其他系統(tǒng)有著密切的聯(lián)系，采購系統(tǒng)錄入的采購發(fā)票可以傳入應付賬款管理子系統(tǒng)，通過應付賬款子系統(tǒng)進行應付賬款的核算，應收賬款系統(tǒng)錄入的銷售發(fā)票和其他應收單據(jù)同樣可以直接與應付賬款管理

子系統(tǒng)進行應付沖應收的核算，應付賬管理子系統(tǒng)生成的往來賬款憑證可以傳遞到總賬系統(tǒng)?，F(xiàn)金管理系統(tǒng)與應付賬款管理子系統(tǒng)中的應付票據(jù)可以進行相互傳遞。從應付賬款系統(tǒng)可以看出應付賬款系統(tǒng)與各個系統(tǒng)等有著密切的聯(lián)系。同理，對于應收賬款，銷售系統(tǒng)錄入的銷售發(fā)票可以傳入應收賬款管理子系統(tǒng)；采購系統(tǒng)錄入的采購發(fā)票可以直接與應收管理子系統(tǒng)進行應收沖應付的核算，應付系統(tǒng)錄入的采購發(fā)票和其他應付單據(jù)同樣可以直接與應收管理子系統(tǒng)進行應收沖應付的核算；應收管理子系統(tǒng)生成的往來款憑證可以傳遞到總賬系統(tǒng)；現(xiàn)金管理系統(tǒng)與應收管理子系統(tǒng)中的應收票據(jù)可以進行相互傳遞。銷售系統(tǒng)中應收應付賬款控制著企業(yè)的成本以及收入，是整個企業(yè)財務系統(tǒng)的核心環(huán)節(jié)，應收賬款系統(tǒng)同應付賬款密切相聯(lián)系，同時它們同采購系統(tǒng)、總賬系統(tǒng)、現(xiàn)金管理系統(tǒng)密切聯(lián)系，構成一個完整的財務供應鏈體系，因此，如果初始環(huán)節(jié)的數(shù)據(jù)出現(xiàn)錯誤，就會使整個資金鏈條斷裂，在運用過程中必須注意這樣的問題。

為了保證財務初始數(shù)據(jù)的正確性，企業(yè)可以采用多種方式加以控制，可以加強內(nèi)部各個部門的及時溝通，要關注數(shù)據(jù)的準確性問題，減少出差錯的概率，要注意時刻保留紙質(zhì)原始憑證，在對賬過程中，要及時同原始憑證進行核對，要保證兩套賬本保持一致，最大限度的保證數(shù)據(jù)的準確性。

2、要注意整個企業(yè)內(nèi)部財務控制的有效性

在傳統(tǒng)的財務管理方式下，大多存在的是手工方式的財務控制行為，而目前的ERP財務系統(tǒng)改變了原有的財務運作模式，企業(yè)固有的財務控制流程必然隨著ERP的引進而發(fā)生變化，如果在實施ERP系統(tǒng)的過程中沒有充分考慮企業(yè)所需要的財務控制環(huán)節(jié)以及方法，就會不可避免的存在內(nèi)部財務控制缺失的風險。在原有的財務管理模式下，出納只有權限查看與銀行存款以及現(xiàn)金相關的賬簿，畢竟都是原始記賬憑證，只要有人進行管理，嚴格內(nèi)部控制，就會使企業(yè)整個內(nèi)部控制系統(tǒng)保持有效。在ERP系統(tǒng)下，賬簿查詢僅僅是一個查詢功能，在計算機操作環(huán)境下運行，輸入不同的科目作為查詢條件就可以查詢到各個相關科目的賬簿信息，如果在引進的過程中忽略或者系統(tǒng)不支持科目的數(shù)據(jù)權限控制，那么出納就可以通過整個系統(tǒng)查詢到其他會計科目的信息，在這種情況下，財務內(nèi)部控制就會失效。因此，在運用的過程中，必須密切關注這一內(nèi)容，分析手工狀態(tài)下的內(nèi)部控制如何運行，然后財務部門要全面整理系統(tǒng)啟用以前的內(nèi)部財務控制制度，保證內(nèi)部財務控制整體有效運行。

3、要注意財務人員分工以及權限的設置問題

ERP壞境下的財務管理系統(tǒng)要求對現(xiàn)有會計業(yè)務流程進行重組，是一種管理創(chuàng)新，同時它也對會計工作提出了新的要求。首先，財務人員必須具有一定的電腦知識和操作能力才能勝任此項工作。其次，在ERP環(huán)境下，財務人員的角色發(fā)生變化，在計算機操作系統(tǒng)下，會計人員直接處理的業(yè)務逐漸減少，但是需要接觸到整個系統(tǒng)中的各個環(huán)節(jié)，要學會處理好整個系統(tǒng)，保證會計信息的準確性，另外，財務人員還需要利用整個系統(tǒng)進行財務分析。在這種情況下，企業(yè)就要注意一系列問題，ERP系統(tǒng)改變了財務人員的工作與權限，這就有可能阻礙ERP的實施進程，對此，財務人員應該積極學習計算機操作系統(tǒng)，而不能對此有所抵觸。其次，企業(yè)加強財務人員的培訓，掌握ERP系統(tǒng)的基本操作、運用技巧以及ERP

理念的財務人員也很可能會流失，這部分掌握ERP系統(tǒng)的復合型人才的流失，短期內(nèi)不會對企業(yè)產(chǎn)生重大的影響，但是對于培訓費用來說對企業(yè)可是一筆很大的損失。

因此，企業(yè)必須密切注意這一點，在做好相關培訓的同時，也要充分發(fā)揮他們的價值，要讓財務人員的工作重心逐步轉(zhuǎn)移，企業(yè)管理者要對分工的變化以及權限的配置問題同財務人員及時溝通，避免出現(xiàn)人才流失的情況。企業(yè)管理人員要及時記錄在ERP實施過程中所積累的經(jīng)驗知識，要及時存檔管理，在人才出現(xiàn)大量流動時不令企業(yè)陷入被動的局面。

三、結論

通過ERP系統(tǒng)在財務管理中的應用為整個企業(yè)的財務管理帶來了便利，ERP財務系統(tǒng)使企業(yè)的組織結構扁平，信息溝通更加合理，實施后的效果不僅體現(xiàn)在工作效率的提高，更多的是體現(xiàn)員工的意識理念上跟上了現(xiàn)代企業(yè)的管理模式，為企業(yè)升級發(fā)展奠定了堅實的基礎。但是任何事物都有其兩面性，在ERP財務系統(tǒng)為企業(yè)帶來便利的同時，我們也要密切注意應用過程中存在的問題，保證ERP財務系統(tǒng)發(fā)揮它的最大效用。

第四篇：ERP財務系統(tǒng)在企業(yè)財務管理中的應用

ERP財務系統(tǒng)在企業(yè)財務管理中的應用

會計信息系統(tǒng)在現(xiàn)代企業(yè)經(jīng)營、決策中發(fā)揮著重要作用，也越來越成為企業(yè)決策者的關注點，為了能夠全盤掌握企業(yè)經(jīng)營狀況與資源有效利用，整合業(yè)務流程，獲得及時資訊，企業(yè)資源規(guī)劃系統(tǒng)（ERP）應運而生。ERP是將企業(yè)所有資源進行整合集成管理，實現(xiàn)企業(yè)內(nèi)外部的數(shù)據(jù)共享，從而使信息資源更好的為企業(yè)所用的管理系統(tǒng)。

ERP是以財務會計管理為核心，優(yōu)化企業(yè)管理中的各項業(yè)務流程，使企業(yè)資源達到優(yōu)化和整合。在整個ERP管理鏈中，財務會計作為鏈條的末端起著反映業(yè)務事項貨幣價值的作用。企業(yè)業(yè)務流程管理的目的是有效監(jiān)控企業(yè)戰(zhàn)略目標的執(zhí)行，確保企業(yè)戰(zhàn)略目標的實現(xiàn)，它應具有工作流程自動化和企業(yè)多部門之間業(yè)務無縫集成的特點。

ERP系統(tǒng)對企業(yè)財務管理的影響：

1、ERP擴大了財務管理的內(nèi)涵：傳統(tǒng)意義上的財務管理主要指對資金、設備等有形資產(chǎn)的管理，而缺乏對人力資源等無形資產(chǎn)的計量。在現(xiàn)代企業(yè)中，人力資源管理越來越被管理者所重視，企業(yè)資產(chǎn)中以知識為基礎的人力資源等無形資產(chǎn)所占比重大大提高，但傳統(tǒng)的財務核算型軟件無法將人力資源管理融入到企業(yè)管理中去，使得企業(yè)管理者在進行財務決策時也很難將這部分無形資產(chǎn)結合起來，ERP系統(tǒng)除了財務管理系統(tǒng)外，有效地將人力

資源管理融入到企業(yè)管理中，豐富了財務管理的內(nèi)容。

第五篇：防火墻技術的應用

防火墻技術的應用

作 者：郭 麗 指導老師：李爭艷

摘 要：為了保護計算機、服務器和網(wǎng)絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網(wǎng)絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析，闡述了防火墻的幾種技術及其應用模式。最后，詳細介紹了防火墻的應用設計。

關鍵詞：防火墻；防火墻技術；防火墻應用模式；防火墻應用設計 防火墻概述

防火墻是設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)絡與不可信任的外部公共網(wǎng)絡）或者不同網(wǎng)絡安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡管理人員制定的網(wǎng)絡安全策略控制出入網(wǎng)絡的各種數(shù)據(jù)信息流，從而對所受保護的網(wǎng)絡提供信息安全服務。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監(jiān)控了所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)絡之間的任何活動，用于確定網(wǎng)絡哪些內(nèi)部服務允許外部訪問，以及內(nèi)部網(wǎng)絡主機訪問哪些外部服務等，從而保證了所要保護的內(nèi)部計算機網(wǎng)絡的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術的防火墻實現(xiàn)的功能的側(cè)重點不同，從某種意義來說，防火墻實際上代表了一個網(wǎng)絡的訪問控制原則。防火墻技術是計算機網(wǎng)絡安全領域中最為關鍵和有效的技術之一，它設置在相對安全的內(nèi)部網(wǎng)和相對不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡安全策略，以有效地阻止來自外界的網(wǎng)絡攻擊，保護內(nèi)部網(wǎng)絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點：內(nèi)部和外部的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應該堅固安全可靠。

第1頁(共14頁)2 防火墻技術

防火墻技術分為包過濾，代理，NAT，狀態(tài)監(jiān)測等幾種技術。2.1 包過濾技術

包過濾工作在網(wǎng)絡層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡安全的工具。如果恰當使用，對具有安全意識的網(wǎng)絡管理者來說，包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解，以及對用于過濾器的特定協(xié)議的特點的充分了解。首先檢查包過濾作為一種網(wǎng)絡安全度量的效用，簡要地比較了IP包過濾和其它的網(wǎng)絡安全方法如應用級網(wǎng)關，描述了包過濾在每一個包中檢查什么，及涉及包過濾時的通用應用協(xié)議的特性。然后鑒別和檢查了許多當前包過濾實現(xiàn)中出現(xiàn)的一些共同問題，說明這些問題怎樣不費力地破壞網(wǎng)絡管理者的意圖并導致一種虛假的安全感，并對這些問題提出解決方案。

這里把包過濾看作一種實現(xiàn)網(wǎng)絡安全策略的機制。需要考慮的事項是來自站點或網(wǎng)絡管理者的觀點(他們是那些在維持他們的站點或網(wǎng)絡足夠的安全時，對提供好的可能的服務給他們的用戶感興趣的人)，站點或網(wǎng)絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網(wǎng)絡服務或產(chǎn)品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣，而不是設法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價值的數(shù)據(jù)或服務，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實現(xiàn)各種不同的網(wǎng)絡安全策略。這些策略的第一個目的通常在于防止未經(jīng)授權的網(wǎng)絡訪問，而沒有阻礙授權的訪問。未經(jīng)授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執(zhí)行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的，從而提高策略被正確和徹底的實現(xiàn)的可能性?；蚨嗷蛏俚模^濾是完成所有這些目的的一種機制，但這只能通過對于它的優(yōu)勢和缺點的透徹地了解及它的實際能力的小心運用來達到。

為了網(wǎng)絡安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡訪問保護

第2頁(共14頁)每一臺機器和使用應用網(wǎng)關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網(wǎng)絡訪問，然后嘗試去保護具有網(wǎng)絡訪問權的每一臺機器一般是不切實際的，沒有幾個站點有辦法去保護并監(jiān)控每一臺需要偶然的網(wǎng)絡訪問的機器。應用網(wǎng)關，諸如被AT&T, DEC和其他幾個機構使用的那些，通常也是不切實際的。因為它們?yōu)榱说竭_外部主機，要求內(nèi)部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序?qū)τ谝粋€特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的，內(nèi)部主機的用戶簡直是不幸的，而且不能到達過去的應用網(wǎng)關。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實現(xiàn)(有時候是過濾說明)，路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護網(wǎng)絡作為一個整體的觀點談到連接或包，有時用于從過濾器路由器(在內(nèi)部網(wǎng)絡邊緣，內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間)的觀點談到包，或用于涉及包經(jīng)過的路由器接口。一個包在它到外部網(wǎng)絡的路上，對于過濾路由器來說，可能看來是入站的，但從內(nèi)部網(wǎng)絡作為一個整體來說，該包是出站的。一個出站連接是由內(nèi)部機器上的客戶機發(fā)起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內(nèi)部客戶機的)。同樣地，一個入站連接是一個由外部機器上的客戶機發(fā)起到內(nèi)部機器上的服務器的連接。對于一個包來說，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應用過濾規(guī)則拒絕的話。2.2代理技術

具有因特網(wǎng)訪問功能的主機代替其它主機完成與因特網(wǎng)的通信，這就是代理服務。代理只對單個(或很小一部分)主機提供因特網(wǎng)訪問服務，盡管它看起來像是對所有的主機提供服務。

代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器

第3頁(共14頁)交談，而不是直接與外部的因特網(wǎng)上的真實的服務器交談。這個代理服務器接收來自客戶的要求，應決定哪個請求可以傳送，那個可以不考慮。如果一個請求是許可的，代理服務器就會代表客戶與真正的服務器交談，繼而將客戶請求傳達給真實服務器，并將真實服務器的應答返回給客戶。代理服務對用戶是透明的，用戶與代理服務器交談就像與真實服務器交談一樣；而對真實服務器米說，它是于一個運行于代理服務器主機上的用戶交談，而并不知道用戶的真實所在。代理技術有如下特點：

（1）代理服務允許用戶直接地訪問因特網(wǎng)服務

使用雙宿主主機方式，用戶需要在訪問任何因特網(wǎng)服務之前連入這個主機，通常這樣做很不方便，會使一些用戶變得很沮喪，以至于是他們在防火墻周圍尋找通道。使用代理服務，用戶會認為他們是在直接與因特網(wǎng)服務器進行交流。

當然，后臺仍會有更多程序在運行，但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網(wǎng)時，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機，或者通過一個堡壘主機和屏蔽路由器系統(tǒng)。（2）代理服務可以優(yōu)化日志服務

因為代理服務器可以優(yōu)先選擇協(xié)議，所以它們允許日志服務以一種特殊有效的方式運行。例如，一個FTP代理服務器可以只記錄已發(fā)出的命令和服務器返回的應答，來代替記錄所有傳送的數(shù)據(jù)，這樣會產(chǎn)生一個小的多也有用的多的日志。

（3）代理服務滯后于非代理服務

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務，但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現(xiàn)以后，通常要經(jīng)過一個明顯的延遲，它的代理服務器才會出現(xiàn)，滯后時間的長短主要依賴于為代理而設計的服務器。這時的一個站點在提供一項新的服務時，難以立刻提供相應的代理服務。如果某個內(nèi)部子系統(tǒng)需要一種新的服務，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務可能要求不同的服務器

第4頁(共14頁)可能需要為每項服務設置不同的代理服務器。因為代理服務器需要理解這個服務所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個角色，對真實服務器來說它是用戶，對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務器通常實用性比較差，它們之所以可以比較容易地配置，是因為它們限制了各種使用條件，這些條件可能是正確的，也可能根本不適合你的站點。（5）代理服務對用戶的限制比較多

代理服務器通常要求對用戶和使用過程進行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制，代理服務就不能像非代理服務運行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術

網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

NAT的工作過程如圖1所示：

在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。

圖1 NAT工作過程

在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。2.4狀態(tài)監(jiān)測技術

這是繼“包過濾”技術和“應用代理”技術后發(fā)展的防火墻技術，它是CheckPoint技術公司在基于“包過濾”原理的“動態(tài)包過濾”技術發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（Deep Packet Inspection）技術。這種防火墻技術通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡安全正常工作的前提下采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各個層次實行監(jiān)測，并根據(jù)各種過濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測”技術在保留了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎上，進一步發(fā)展了“會話過濾”功能，在每個連接建立時，防火墻會為這個連接構造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行，這種檢測的高明之處是能對每個數(shù)據(jù)包的內(nèi)容進行監(jiān)視，一旦建立了一個會話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會話狀態(tài)作為依據(jù)，例如一個連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數(shù)據(jù)包就被攔截，而且會話狀態(tài)的保留是有時間限制的，在超時的范圍內(nèi)如果沒有再進行數(shù)據(jù)傳輸，這個會話狀態(tài)就會被丟棄。狀態(tài)監(jiān)視可以對包內(nèi)容進行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

由于狀態(tài)監(jiān)視技術相當于結合了包過濾技術和應用代理技術，因此是最先進的，但是由于實現(xiàn)技術復雜，在實際應用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測，而且在一般的計算機硬件系統(tǒng)上很難設計出基于此技術的完善防御措施（市面上大部分軟件防火墻使用的其實只是包過濾技術加上一點其他新特性而已）。

3防火墻的應用模式

由于網(wǎng)絡拓撲結構和安全需求等方面的差異，在使用防火墻構建網(wǎng)絡安全防護系統(tǒng)時，其應用模式可能是千差萬別的?？偟膩碚f，比較典型的防火墻應用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應用模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個防火墻模塊），該路由器設置在內(nèi)部網(wǎng)與internet之間，根據(jù)預先設置的安全規(guī)則對進人內(nèi)部網(wǎng)的信息流進行安全過濾。在這種應用模式中，防火墻功能也可以用單獨的防火墻設備或主機來實現(xiàn)，設置在內(nèi)部網(wǎng)與路由器之間。參見圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優(yōu)點是數(shù)據(jù)轉(zhuǎn)發(fā)速度快，岡絡性能損失較小，易于實現(xiàn)，費用較低、它的缺點是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進而入侵內(nèi)部網(wǎng)。3.2雙宿主機網(wǎng)關（Dual Homed Gateway）

這種應用模式采用單一的代理服務型防火墻來實現(xiàn)。通常，防火墻是由一個運行代理服務軟件的主機實現(xiàn)的。這種主機稱為堡壘主機（Bastion Host），而具有兩個網(wǎng)絡接口的堡壘。主機稱為雙宿主機（Dual Home）。這種應用模式由雙宿主機充當內(nèi)部網(wǎng)與internet之間的網(wǎng)關，并在其上運行代理服務器軟件，受保護的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內(nèi)部網(wǎng)的實際服務器和其他資源。受保護網(wǎng)絡的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3：

內(nèi)部網(wǎng)

堡壘

主機

INTERNET

圖3 雙宿主機網(wǎng)關

這種應用模式的安全性略好一些。但仍然比較脆弱，因為堡壘主機是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護。3.3屏蔽主機網(wǎng)關（Screened Host Gateway）

這種應用模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構成內(nèi)部網(wǎng)的第一道安全屏障；另一個是堡壘主機．構成內(nèi)部網(wǎng)的第二道安全屏障。參見圖4：

內(nèi)部網(wǎng)

堡壘 主機 屏蔽 路由器

INTERNET

圖4 屏蔽主機網(wǎng)關

屏蔽路由器基于下列規(guī)則過濾分組流：堡壘主機是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機建立連接，并且只能通過與堡壘主機建立連接來訪問內(nèi)部網(wǎng)提供的服務。由于這種應用模式設有兩道安全屏障，并且是由兩種不同的防火墻構成的，可以優(yōu)勢互補和相互協(xié)調(diào)。因此，具有較高的第8頁(共14頁)安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關（Screened Subnet Gateway）

這種應用模式是在內(nèi)部網(wǎng)與internet之間設置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個屏蔽路由器，堡壘主機連接在屏蔽子網(wǎng)上。堡壘主機是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機

堡壘主機

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關

在這種應用模式中，內(nèi)部服務器設有三道安全屏障：兩個屏蔽路由器和堡壘主機，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個屏蔽路由器和堡壘主機，這顯然是相當困難的。因此，具有更高的安全性，比較適合保護大型的網(wǎng)絡，但成本也比較高。防火墻的應用設計

根據(jù)行業(yè)特征和應用性質(zhì)可將網(wǎng)絡系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務網(wǎng)、金融網(wǎng)、政務網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡系統(tǒng)的安全需求是不相同的，必須采用與其應用性質(zhì)相適應的安全措施來構建完整的網(wǎng)絡安全體系。以滿足各種網(wǎng)絡系統(tǒng)的安全需求，完整的網(wǎng)絡安全體系應當包括防護、檢測、響應和管理等各個環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個動態(tài)的安全防護系統(tǒng)。其中，防火墻是整個網(wǎng)絡安全體系的基礎和關鍵環(huán)節(jié)，也是一種常用的安全防護技術，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應具有較好的安全防護能力之外，防火墻的應用方案設計也是十分重要的。

第9頁(共14頁)防火墻的應用方案設計一般包括安全需求分析、網(wǎng)絡安全系統(tǒng)設計和安全策略設計3部分。4.1安全需求分析

根據(jù)網(wǎng)絡應用性質(zhì)，可以將網(wǎng)絡應用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡應用環(huán)境所面臨的安全風險和需求是不同的，其安全解決方案也有所不同。

（1）開放的網(wǎng)絡應用環(huán)境：在開放的網(wǎng)絡應用環(huán)境中，網(wǎng)絡服務和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務器等。這種開放的應用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗證問題，它所面臨的安全風險是拒絕服務（Dos）篡改網(wǎng)頁內(nèi)容以及被非法利用等。這些安全風險需要采用多種安全措施來防范，包括使用接納控制技術阻止入侵者非法獲取系統(tǒng)控制權、使用防火墻技術過濾“有害”的信息，使用“補丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測技術來檢測和發(fā)現(xiàn)網(wǎng)絡攻擊行為等。這種應用環(huán)境的安全要求相對較低，防火墻的作用是次要的，必要時可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡應用環(huán)境：在專用的網(wǎng)絡應用環(huán)境中，網(wǎng)絡服務和信息內(nèi)容是半開放的。只允許授權用戶通過Internet來訪問。這些授權用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應用環(huán)境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡安全問題，主要是用防火墻等技術來防范；后者屬于信息安全問題，主要采用VPN等枝術來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。

在這種網(wǎng)絡應用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設置防火墻，并通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源（如Web服務器和其他服務器）的訪問。根據(jù)網(wǎng)絡服務的安全要求，選擇適當?shù)姆阑饓媚Ｊ絹斫⒕W(wǎng)絡安全防護系統(tǒng)。除了防火墻外，還應當使用VPN技術、基于數(shù)字證書的訪問控制技術等來解決信息交換安全問題。

（3）內(nèi)部的網(wǎng)絡應用環(huán)境：在內(nèi)部的網(wǎng)絡應用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡服務器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡服務器，這是一種封閉的網(wǎng)絡環(huán)境。它所面臨的安全風險是內(nèi)部用戶的非授權訪問，竊取和泄露機密信息等。其防范措施主要側(cè)重

第10頁(共14頁)于解決內(nèi)部用戶對內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計和安全管理等防范措施。

由于不同的網(wǎng)絡應用環(huán)境所面臨的安全風險是各不相同的，不能一概而論。因此必須針對不同網(wǎng)絡應用環(huán)境所面臨的安全風險采取適當?shù)陌踩胧﹣碓鰪娤到y(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡性能損失和系統(tǒng)費用等方面尋找一個最佳平衡點，減少盲目性。4.2網(wǎng)絡安全系統(tǒng)設計

在上述的4種防火墻應用模式中，每一種應用模式所提供的安全防護能力和系統(tǒng)費用都是不相同的。在網(wǎng)絡安全系統(tǒng)設計中，應當根據(jù)網(wǎng)絡應用系統(tǒng)的安全需求來構造網(wǎng)絡安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機網(wǎng)關應用模式來構造網(wǎng)絡安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費用，簡化網(wǎng)絡管理。在屏蔽路由器或雙穴主機網(wǎng)關應用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機網(wǎng)關或屏蔽子網(wǎng)網(wǎng)關應用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關應用模式構建的網(wǎng)絡安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關模式采用了兩個屏蔽路由器，一個位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡體系結構上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能到達屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關應用模式的網(wǎng)絡安全系統(tǒng)結構。

第11頁(共14頁)

圖6 網(wǎng)絡安全系統(tǒng)結構

內(nèi)部屏蔽路由器還應當提供網(wǎng)絡地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結構的同時，還解決了公用IP地址短缺問題。

對于各種對外開放的網(wǎng)絡服務器，如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設置一個堡壘主機，提供代理服務器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡安全體系結構中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。

合理地配置防火墻可以防御多種網(wǎng)絡攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對應于不同的網(wǎng)段，通過將網(wǎng)卡與對應網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報文，只允許某些類型（如回應請求類型）的ICMP報文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機進行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡信息。

（5）在防火墻中使用認證功能，可以對主機地址、網(wǎng)卡地址和主機名進行認證，還可以對用戶身份進行認證，例如采用口令認證、RADIUS認證以及硬件參與認證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時，可以采用VPN技術來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。在這種情況下，應當在屏蔽子網(wǎng)設置一個VPN網(wǎng)關，兩個內(nèi)部網(wǎng)之間通過VPN網(wǎng)關建立一個安全的傳輸隧道，實現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時，雙方的身份是經(jīng)過認證的，都是可信的用戶。

第12頁(共14頁)4.3安全策略設計

在圖6所示的網(wǎng)絡安全系統(tǒng)結構中，設有3個防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務器（由堡壘主機提供）。根據(jù)網(wǎng)絡應用的安全需求，必須分別為它們設計安全策略和規(guī)則。

（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務器（如 Web服務器、FTP服務器等），允許外部用戶連接安全代理服務器。每次連接都要產(chǎn)生日志記錄，供以后安全審計使用。

（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機。每次連接都要產(chǎn)生日志記錄。通過地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個合法外都IP地址訪問外部網(wǎng)絡（如Internet）。

（3）代理服務器：代理服務器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡的web站點，并提供代理功能，對所代理的連接進行安全檢查，禁止內(nèi)部用戶訪問非法站點，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務器時，要求驗證用戶的身份，允許合法用戶以規(guī)定的權限上載和下載服務器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設置、日志查看和安全審計等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡體系結構設計和各個防火墻的安全策略設計后，便可以著手配置各個防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡應用和網(wǎng)絡體系結構發(fā)生變化時，應當及時修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進行安全審計，及時發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡安全管理提供決策依據(jù)。結束語

第13頁(共14頁)本論文主要研究防火墻技術的應用，從防火墻的簡單概述展開，描述了防火墻的四種技術，防火墻的應用模式。最后，闡述了防火墻的應用設計。旨在展望網(wǎng)絡安全，即防火墻技術的未來狀況。

參 考 文 獻

[1] 蔡皖東.網(wǎng)絡與信息安全[M].西安：西北工業(yè)大學出版社，2004.[2] 魏利華.防火墻技術研究[J].淮陰工業(yè)學院學報：計算機科學技術版，2003，38（4）：21-33.[3] 蔣建春，馮登國.網(wǎng)絡入侵檢測技術原理與技術[M].北京：國防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡技術[M].西安：西安電子科技大學出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學院學報：計算機科學技術版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡信息安全的真相[J].深圳大學學報：計算機科學技術版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計算機網(wǎng)絡技術[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測技術[M].機械工業(yè)出版社，2004.[11]鄧亞平.計算機網(wǎng)絡安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(共14頁)