第一篇：防火墻技術(shù)在電子商務(wù)中的應(yīng)用

防火墻技術(shù)在電子商務(wù)中的應(yīng)用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務(wù)的概念及交易問題.....................................................(2)

（一）、什么是電子商務(wù)............................................................(2)(二)、電子商務(wù)的交易過程.................................................(2)

二、電子商務(wù)中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務(wù)中的信息安全問題及威脅.....................................(4)

三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)

四、防火墻的簡介與使用的益處.........................................(6)

五、防火墻常用技術(shù)和性能......................................................（11）

六、結(jié)論........................................................................(14)參考文獻(xiàn)........................................................................(14)

淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用

內(nèi)容摘要：防火墻技術(shù)作為保證電子商務(wù)活動(dòng)中信息安全的第一道有效屏障，受到越來越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過程、交易過程中的信息安全問題及威脅、重點(diǎn)介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機(jī)制的基礎(chǔ)。

關(guān)鍵詞：防火墻

電子商務(wù)

應(yīng)用 正文:

一、電子商務(wù)的概念及交易問題(一)什么是電子商務(wù)

電子商務(wù)源于英文Electronic Commerce，簡寫為EC。是指一個(gè)機(jī)構(gòu)利用信息和技術(shù)手段，改變其和供應(yīng)商、用戶、員工、合作伙伴、管理部門的互動(dòng)關(guān)系，從而使自己變成為機(jī)動(dòng)響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機(jī)構(gòu)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機(jī)、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購物，電子商務(wù)以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動(dòng)（如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費(fèi)品營銷和售后服務(wù)）。它涉及產(chǎn)品（消費(fèi)品和工業(yè)品）和服務(wù)（信息服務(wù)、財(cái)務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。

(二)、電子商務(wù)的交易過程

企業(yè)間電子商務(wù)交易過程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個(gè)階段。

(1)交易前的準(zhǔn)備

買賣雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動(dòng)。買方根據(jù)自己要買的商品，準(zhǔn)備購貨款，制訂購貨計(jì)劃，進(jìn)行貨源的市場調(diào)查和分析，反復(fù)進(jìn)行市場查詢，通過交換信息來比較價(jià)格和條件，了解各個(gè)賣方國家的貿(mào)易政策，反復(fù)修改購貨計(jì)劃和進(jìn)貨計(jì)劃，確定和審批購貨計(jì)劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計(jì)劃，再按計(jì)劃確定購買商品的種類、規(guī)格、數(shù)量、價(jià)格、購貨地點(diǎn)和交易方式等。而賣方則對(duì)自己所銷售的商品，進(jìn)行全面的市場調(diào)查和分析，了解各個(gè)買方國家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進(jìn)行宣傳，召開商品新聞發(fā)布會(huì)，利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴(kuò)大影響，尋找貿(mào)易伙伴和交易機(jī)會(huì)，擴(kuò)大貿(mào)易范圍和商品所占市場的份額。

參加交易的其他各方如中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等，買賣雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。

(2)交易談判和簽訂貿(mào)易合同

買賣雙方在這一階段利用電子商務(wù)系統(tǒng)對(duì)所有交易細(xì)節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法，經(jīng)過認(rèn)真談判和磋商后，將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購買商品的種類、數(shù)量、價(jià)格、交貨地點(diǎn)、交貨期、交易方式和運(yùn)輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進(jìn)行簽約，也可以通過數(shù)字簽名等方式簽約。

(3)辦理交易進(jìn)行前的手續(xù)

買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準(zhǔn)備過程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進(jìn)行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進(jìn)行報(bào)關(guān)、保險(xiǎn)、取證、信用卡等手續(xù)，然后賣方將所購商品交付給運(yùn)輸公司包裝、起運(yùn)、發(fā)貨。買賣雙方可以通過電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物，金融機(jī)構(gòu)和銀行也按照合同，處理雙方收付款、并進(jìn)行結(jié)算，出具相應(yīng)的銀行單據(jù)等，當(dāng)買方收到所購的商品，整個(gè)交易過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時(shí)，需要進(jìn)行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進(jìn)行索賠。

二、電子商務(wù)中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務(wù)安全是一個(gè)系統(tǒng)概念，不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。交易對(duì)安全性的要求有如下幾個(gè)方面：(1)有效性，因?yàn)榻灰讓?duì)于交易雙方都是一件十分嚴(yán)肅的事情，雙方都對(duì)交易的信息認(rèn)可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡(luò)獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認(rèn)性，要求在交易信息的傳輸過程中為參與交易的個(gè)人，企業(yè)和國家提供可靠的標(biāo)識(shí)。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運(yùn)行的可靠性要求保證電子商務(wù)參與者能在交易的過程始終能與交易對(duì)象進(jìn)行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務(wù)的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個(gè)令人頭痛的問題，那么如何加強(qiáng)電子商務(wù)的安全呢？

防火墻可以保證對(duì)主機(jī)和應(yīng)用安全訪問，保證多種客戶機(jī)和服務(wù)器的安全性，保護(hù)關(guān)鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全渠道。

與傳統(tǒng)商務(wù)相比，電子商務(wù)具有許多特點(diǎn)：

其一，電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中，信息的傳遞通過網(wǎng)絡(luò)完成，速度很快，可以節(jié)省寶貴的交易時(shí)間。

其二，電子商務(wù)是在公開環(huán)境下進(jìn)行的交易，其可以在全球范圍內(nèi)進(jìn)行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟(jì)交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場競爭。

其三，在電子商務(wù)中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務(wù)中的信息安全問題及威脅

1、電子商務(wù)的安全問題?？偟膩碚f分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)庫安 全，工作人員和環(huán)境等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來講，對(duì)外部威脅，安全性強(qiáng)調(diào)防御；對(duì)內(nèi)部威脅，安全性強(qiáng)調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫的計(jì)算機(jī)程序，它采用了獨(dú)特的設(shè)計(jì)，可以在受到某個(gè)事件觸發(fā)時(shí)，復(fù)制自身，并感染計(jì)算機(jī)。如果在病毒可以通過某個(gè)外界來源進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)才會(huì)感染病毒。

(2)惡意破壞程序。網(wǎng)站會(huì)提供一些軟件應(yīng)用的開發(fā)而變得更加活潑。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動(dòng)性。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務(wù)（DOS）攻擊。a.探測式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件賬號(hào)、數(shù)據(jù)庫和其他保密信息。c.DOS 攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問。

(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取。犯罪分子可能會(huì)竊聽通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截?cái)?shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無害的，但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間，帶來很多麻煩。

因此，隨著電子商務(wù)日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務(wù)發(fā)展的當(dāng)務(wù)之急。

三、防火墻的技術(shù)與體系結(jié)構(gòu)

（一）、什么是防火墻

防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。

（二）、使用防火墻的益處

(1)保護(hù)脆弱的服務(wù)

通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

(3)控制對(duì)系統(tǒng)的訪問

防火墻可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如，防火墻允許外部訪問特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

(5)增強(qiáng)的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測。并且，防火墻可以記錄和統(tǒng)計(jì)通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。

四、防火墻的簡介與使用的益處

（一）、防火墻的簡介

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。

防火墻是為防止非法訪問或保護(hù)專用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過防火墻，防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。

一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”，因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。

從理論上說，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國際標(biāo)準(zhǔn)化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低，防火墻的檢查就越少。

（1）應(yīng)用層防火墻

應(yīng)用層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī)，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件，所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來源之后流量可以從一邊進(jìn)入，另一邊出去。

在某些情況下，有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能，并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶不是特別透明，并且還可能需要進(jìn)行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告，實(shí)行更保守的安全模型。

（2）網(wǎng)絡(luò)層防火墻

這種類型決定了它的判定一般是基于源地址、目的地址及獨(dú)立IP包中的端口。一個(gè)簡單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因?yàn)樗荒茏龀鰪?fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來源。現(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會(huì)隨時(shí)關(guān)注通過防火墻的連接狀態(tài)的信息。

另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時(shí)，你需要一個(gè)有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對(duì)于用戶來說幾乎是透明的。

未來的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過它們的信息，應(yīng)用層防火墻可能會(huì)變得越來越透明。最終將會(huì)是一種在數(shù)據(jù)通過時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運(yùn)行并監(jiān)控，其實(shí)硬件型也就是芯片里固化了的軟件，但是它不占用計(jì)算機(jī)CPU處理時(shí)間，可以功能作的非常強(qiáng)大處理速度很快，對(duì)于個(gè)人用戶來說軟件型更加方便實(shí)在。

（二）、防火墻的體系結(jié)構(gòu)

防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí)，我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個(gè)網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場合需要一個(gè)系統(tǒng)聲稱提供的功能的時(shí)候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù)，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。

包過濾是歷史最久遠(yuǎn)的防火墻技術(shù)，從實(shí)現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。

簡單包過濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個(gè)簡單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對(duì)TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡單包過濾的產(chǎn)品由于其保護(hù)的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術(shù)，從這點(diǎn)上可以說，國內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國外落后2到3年。

狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

順便提一下免費(fèi)軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析，雖然它們提供了對(duì)TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進(jìn)行過濾時(shí)建立了一個(gè)用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術(shù)的基本特征。

包過濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易，對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上，對(duì)用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動(dòng)原來的拓?fù)浣Y(jié)構(gòu)。

包過濾的另一個(gè)優(yōu)點(diǎn)是性能，狀態(tài)檢測包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢的結(jié)構(gòu)。

但是對(duì)于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù)，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。

應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

對(duì)于使用代理防火墻的用戶來說，在得到安全性的同時(shí)，用戶也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性，這個(gè)缺陷幾乎可以說是天生的，因?yàn)樗挥形挥趹?yīng)用會(huì)話的中間環(huán)節(jié)，才會(huì)對(duì)會(huì)話進(jìn)行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不

認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來說實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專門的功能，所以對(duì)于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下，幾乎無法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。

代理的另一個(gè)無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對(duì)每個(gè)訪問實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問。對(duì)于一個(gè)繁忙的站點(diǎn)來說，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時(shí)為了克服代理種類有限的局限性，很多代理防火墻同時(shí)也提供了狀態(tài)檢測包過濾的能力，當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時(shí)，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長處。

狀態(tài)檢測包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測包過濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對(duì)于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個(gè)優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個(gè)能夠支持幾千個(gè)，甚至數(shù)萬個(gè)并發(fā)訪問，同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來沒有停止過，事實(shí)上，任何一個(gè)

安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對(duì)于防火墻來說，技術(shù)的不斷進(jìn)步才是真實(shí)的保障。

五、防火墻常用技術(shù)和性能

（一）、防火墻的四種基本類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

（1）、包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。

（2）、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。

網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

（4）、監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對(duì)用戶來說,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡單地計(jì)算購置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

（4）可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實(shí)際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

六、結(jié)論

隨著電子商務(wù)的不斷發(fā)展，安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。

七、參考文獻(xiàn)

1、《電子商務(wù)》 翟才喜 楊敬杰主編 東北財(cái)經(jīng)大學(xué)出版社 2002.2

2、《中國電子商務(wù)年鑒》2003 卷

第二篇：淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)1

淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用

1電子商務(wù)概述 1.1電子商務(wù)的基本概念

電子商務(wù)源于英文Electronic Commerce，簡寫為EC。是指利用計(jì)算機(jī)技術(shù)網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)，實(shí)現(xiàn)整個(gè)商務(wù)(買賣)過程中的電子化數(shù)字化和網(wǎng)絡(luò)化。人們不再是面對(duì)面的看著實(shí)實(shí)在在的貨物靠紙介質(zhì)單據(jù)(包括現(xiàn)金)進(jìn)行買賣交易。而是通過網(wǎng)絡(luò)，通過網(wǎng)上琳瑯滿目的商品信息完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進(jìn)行交易(買賣)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機(jī)提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購物，電子商務(wù)以數(shù)據(jù)（包括文本聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動(dòng)（如商品服務(wù)的電子貿(mào)易數(shù)字內(nèi)容的在線傳輸電子轉(zhuǎn)賬商品拍賣協(xié)作在線資源利用消費(fèi)品營銷和售后服務(wù)）。它涉及產(chǎn)品（消費(fèi)品和工業(yè)品）和服務(wù)（信息服務(wù)財(cái)務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。1.2電子商務(wù)發(fā)展簡史

信息技術(shù)（Information Technology，簡稱為IT）是指20世紀(jì)后半葉發(fā)展起來的兩項(xiàng)電子技術(shù)，即集成電路技術(shù)和數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，為電子商務(wù)的發(fā)展奠定了技術(shù)基礎(chǔ)。按照各個(gè)時(shí)期有代表性的不同技術(shù)，我們可以將電子商務(wù)的發(fā)展歷程劃分成四個(gè)階段：

第一階段：EFT時(shí)代

20世紀(jì)70年代，銀行間電子資金轉(zhuǎn)賬(EFT）開始在安全的專用網(wǎng)絡(luò)上推出，它改變了金融業(yè)的業(yè)務(wù)流程。電子資金轉(zhuǎn)賬是指通過企業(yè)間通訊網(wǎng)絡(luò)進(jìn)行的賬戶交易信息的電子傳輸，由于它以電子方式提供匯款信息，從而使電子結(jié)算實(shí)現(xiàn)了最優(yōu)化。這是電子商務(wù)最原始的形式之一，也是最普遍的形式。

第二階段：電子報(bào)文傳送技術(shù)

從20世紀(jì)70年代后期到80年代早期，電子商務(wù)以電子報(bào)文傳送技術(shù)(如電子數(shù)據(jù)交換 EDI)的形式在企業(yè)內(nèi)部得到推廣。電子報(bào)文傳送技術(shù)減少了文字工作并提高了自動(dòng)化水平，從而簡化了業(yè)務(wù)流程。電子數(shù)據(jù)交換(EDI)使企業(yè)能夠用標(biāo)準(zhǔn)化的電子格式與供應(yīng)商之間交換 商業(yè)單證(如訂單）。例如，如果將電子數(shù)據(jù)交換與準(zhǔn)時(shí)化(JIT)生產(chǎn)相結(jié)合，供應(yīng)商就能將零件直接送到生產(chǎn)現(xiàn)場，節(jié)約了企業(yè)的存貨成本倉儲(chǔ)成本和處理成本。

20世紀(jì)80年代晚期到90年代早期，電子報(bào)文傳送技術(shù)成為工作流技術(shù)或協(xié)作計(jì)算系統(tǒng)(也稱為群件)中不可分割的部分。Lotus otes是這種系統(tǒng)的代表。群件的主要功能就是將現(xiàn)有的非電子方法“嫁接”到電子平臺(tái)上去，以提高業(yè)務(wù)流程的效率。

第三階段：聯(lián)機(jī)服務(wù) 在20世紀(jì)80年代中期，聯(lián)機(jī)服務(wù)開始風(fēng)行，它提供了新的社交交互形式(如聊天室)，還提供了知識(shí)共享的方法（如新聞組和FIP)。這就為互聯(lián)網(wǎng)用戶創(chuàng)造了一種虛擬社區(qū)的感覺，逐漸形成了 “地球村”的概念。同時(shí)，信息訪問和交換的成本已降得很低，而且范圍也在空前擴(kuò)大，全世界的人都可以相互溝通。

第四階段：004km.cnmon Gateway Inter——face的簡稱。是World Wide Web主機(jī)和CGI程序間傳輸資訊的定義。

5檢測后門木馬及其網(wǎng)絡(luò)蠕蟲。指采用某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開那個(gè)特殊的端口的程序。3.3.3擬專網(wǎng)功能

指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。VPN的基本原理是通過IP包的封裝及加密認(rèn)證等手段，從而達(dá)到安全的目的。3.4防火墻的未來發(fā)展趨勢

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來的防火墻發(fā)展朝高速多功能化更安全的方向發(fā)展。實(shí)現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能，入侵檢測防病毒防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強(qiáng)內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識(shí)，從而形成全方位的安全防御體系。4防火墻的簡介與體系結(jié)構(gòu) 4.1防火墻的簡介

一個(gè)防火墻（作為阻塞點(diǎn)控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。

防火墻是為防止非法訪問或保護(hù)專用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許拒絕監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可用于硬件軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過防火墻，防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。

一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”，因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。

從理論上說，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國際標(biāo)準(zhǔn)化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低，防火墻的檢查就越少。

1應(yīng)用層防火墻

應(yīng)用層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī)，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件，所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來源之后流量可以從一邊進(jìn)入，另一邊出去。

在某些情況下，有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能，并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶不是特別透明，并且還可能需要進(jìn)行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告，實(shí)行更保守的安全模型。

2網(wǎng)絡(luò)層防火墻

這種類型決定了它的判定一般是基于源地址目的地址及獨(dú)立IP包中的端口。一個(gè)簡單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因?yàn)樗荒茏龀鰪?fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來源?，F(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會(huì)隨時(shí)關(guān)注通過防火墻的連接狀態(tài)的信息。

另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時(shí)，你需要一個(gè)有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對(duì)于用戶來說幾乎是透明的。

未來的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過它們的信息，應(yīng)用層防火墻可能會(huì)變得越來越透明。最終將會(huì)是一種在數(shù)據(jù)通過時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運(yùn)行并監(jiān)控，其實(shí)硬件型也就是芯片里固化了的軟件，但是它不占用計(jì)算機(jī)CPU處理時(shí)間，可以功能作的非常強(qiáng)大處理速度很快，對(duì)于個(gè)人用戶來說軟件型更加方便實(shí)在。4.2防火墻的體系結(jié)構(gòu)

防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí)，我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個(gè)網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場合需要一個(gè)系統(tǒng)聲稱提供的功能的時(shí)候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù)，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。

包過濾是歷史最久遠(yuǎn)的防火墻技術(shù)，從實(shí)現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。

簡單包過濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個(gè)簡單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對(duì)TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡單包過濾的產(chǎn)品由于其保護(hù)的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術(shù)，從這點(diǎn)上可以說，國內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國外落后2到3年。

狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

順便提一下免費(fèi)軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析，雖然它們提供了對(duì)TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進(jìn)行過濾時(shí)建立了一個(gè)用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術(shù)的基本特征。

包過濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易，對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上，對(duì)用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動(dòng)原來的拓?fù)浣Y(jié)構(gòu)。

包過濾的另一個(gè)優(yōu)點(diǎn)是性能，狀態(tài)檢測包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢的結(jié)構(gòu)。

但是對(duì)于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù)，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。

應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。對(duì)于使用代理防火墻的用戶來說，在得到安全性的同時(shí)，用戶也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性，這個(gè)缺陷幾乎可以說是天生的，因?yàn)樗挥形挥趹?yīng)用會(huì)話的中間環(huán)節(jié)，才會(huì)對(duì)會(huì)話進(jìn)行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來說實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專門的功能，所以對(duì)于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下，幾乎無法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。

代理的另一個(gè)無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對(duì)每個(gè)訪問實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問。對(duì)于一個(gè)繁忙的站點(diǎn)來說，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時(shí)為了克服代理種類有限的局限性，很多代理防火墻同時(shí)也提供了狀態(tài)檢測包過濾的能力，當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時(shí)，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長處。

狀態(tài)檢測包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測包過濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對(duì)于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個(gè)優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個(gè)能夠支持幾千個(gè)，甚至數(shù)萬個(gè)并發(fā)訪問，同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來沒有停止過，事實(shí)上，任何一個(gè)安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對(duì)于防火墻來說，技術(shù)的不斷進(jìn)步才是真實(shí)的保障。5防火墻主要技術(shù)和類型 5.1防火墻使用的技術(shù)

防火墻從原理上主要有三種技術(shù)：包過濾技術(shù)代理服務(wù)技術(shù)和狀態(tài)檢測技術(shù)。按照實(shí)現(xiàn)形式，可以將防火墻分為軟件防火墻和硬件防火墻。無論是哪種防火墻，從實(shí)現(xiàn)技術(shù)看，都使用了一種或者是多種技術(shù)。

1防火墻的包過濾

包過濾是一種安全篩選機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。

包過濾防火墻是用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭（header），由此決定整個(gè)包的處理。丟棄（DROP）這個(gè)包或接受（ACCEPT）這個(gè)包（讓這個(gè)包通過），也可能執(zhí)行其它更復(fù)雜的動(dòng)作。

它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

防火墻包過濾技術(shù)

2包過濾性能 包過濾優(yōu)點(diǎn)： ? 處理速度快

? 提供透明的服務(wù)，與應(yīng)用層無關(guān)，用戶不用改變客戶端程序，無需用戶名密碼登錄。? 成本低，路由器通常集成了簡單包過濾的功能，基本不再需要單獨(dú)的實(shí)現(xiàn)包過濾功能的防火墻設(shè)備 3防火墻的應(yīng)用代理技術(shù)

代理服務(wù)是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)程序。防火墻主機(jī)可以是有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一些可以訪問因特網(wǎng)并可被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(如文件傳輸FTP和遠(yuǎn)程登錄Telnet等)，并按照安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。所謂代理就是一個(gè)提供替代連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)。代理也稱之為應(yīng)用級(jí)網(wǎng)關(guān)。代理服務(wù)位于內(nèi)部用戶(在內(nèi)部的網(wǎng)絡(luò)上)和外部服務(wù)(在因特網(wǎng)上)之間。代理在幕后處理所有用戶和因特網(wǎng)服

務(wù)之間的通信以代替相互間的直接交談.代理的實(shí)現(xiàn)過程

代理技術(shù)的優(yōu)點(diǎn)：

? 可以識(shí)別并實(shí)施高層的協(xié)議，如http等，安全級(jí)別高于包過濾防火墻，同時(shí)也能處理數(shù)據(jù)包

? 代理服務(wù)型防火墻可以配置成唯一的可被外邊看見的主機(jī)，以保護(hù)內(nèi)部主機(jī)免受外部的攻擊 ? 可以強(qiáng)制執(zhí)行用戶認(rèn)證

? 代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，可記錄和控制所有進(jìn)出流量，能提供較詳細(xì)的審計(jì)日志 4狀態(tài)檢測技術(shù)

狀態(tài)檢測，又叫狀態(tài)包檢查，它是動(dòng)態(tài)包過濾的一種。傳統(tǒng)的包過濾防火墻只能通 過檢測正包頭的相關(guān)信息來決定數(shù)據(jù)流的通過或拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。

狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)的優(yōu)點(diǎn) ：

? 指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請(qǐng)求連接的IP地址的訪問。

? 通過限制某些協(xié)議的傳出請(qǐng)求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。

? 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。

5.2防火墻的基本類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT代理型和監(jiān)測型。

1包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址目標(biāo)地址TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。

2網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

3代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

4監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的實(shí)時(shí)的監(jiān)測,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般 還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。6常用的防火墻實(shí)例 6.1 360防火墻

360防火墻是一款保護(hù)用戶上網(wǎng)安全的產(chǎn)品，奇虎公司研發(fā)的防火墻產(chǎn)品。在您瀏覽網(wǎng)頁玩網(wǎng)絡(luò)游戲聊天時(shí)，它可以阻截各類網(wǎng)絡(luò)風(fēng)險(xiǎn)。360防火墻擁有云安全引擎，解決了傳統(tǒng)網(wǎng)絡(luò)防火墻頻繁攔截識(shí)別能力弱的問題，輕巧快速保護(hù)上網(wǎng)安全。

6.2 360的主要功能 360網(wǎng)絡(luò)防火墻加入了云防御監(jiān)控，這樣可疑動(dòng)作通過云端校驗(yàn)，安全性肯定加強(qiáng)不少。

2上網(wǎng)信息中包括共享資源保護(hù)，地位端口保護(hù)，端口掃描檢測，ping掃描防護(hù)，主機(jī)名稱防泄漏等，這些應(yīng)該是對(duì)網(wǎng)絡(luò)安全是一個(gè)比較全面的防護(hù)了。

3入侵檢測，該功能開啟我估計(jì)如果沒有設(shè)置規(guī)則的話，應(yīng)該會(huì)有不少彈窗來給用戶判斷的。當(dāng)然如果前面的云監(jiān)控及時(shí)達(dá)到效果的話，可以避免太多彈窗的。ARP防火墻也加入到了網(wǎng)絡(luò)防火墻中。其實(shí)我這里想考慮一個(gè)問題了，如果和360安全衛(wèi)士同時(shí)使用的話，那安全衛(wèi)士中的ARP防火墻和網(wǎng)絡(luò)防火墻中的ARP防火墻如何協(xié)調(diào)的。

5另外還有網(wǎng)絡(luò)流量監(jiān)控等功能。

主界面顯示4個(gè)狀態(tài)，分為網(wǎng)絡(luò)訪問云監(jiān)控上網(wǎng)信息保護(hù)入侵檢測ARP防火墻 1連入監(jiān)控：管理程序訪問網(wǎng)頁下載傳送消息時(shí)發(fā)起的網(wǎng)絡(luò)請(qǐng)求，可通過“管理”選項(xiàng)控制程序的上網(wǎng)訪問。包括，檢測連入網(wǎng)絡(luò)進(jìn)程，協(xié)議，本地端口遠(yuǎn)程端口，狀態(tài)（監(jiān)聽，等待，已關(guān)閉），上傳下載流量

2入侵檢測：解決常見的網(wǎng)絡(luò)攻擊，讓電腦不受黑客侵害。

3程序規(guī)則：通過云安全引擎，智能分析程序上網(wǎng)行為，對(duì)可疑網(wǎng)絡(luò)行為進(jìn)行攔截，提高看網(wǎng)頁玩網(wǎng)絡(luò)游戲聊天的安全性?？赏ㄟ^添加規(guī)則設(shè)置。

4網(wǎng)絡(luò)連接規(guī)則：封堵系統(tǒng)中存在的網(wǎng)絡(luò)漏洞，保護(hù)共享圖片/文檔系統(tǒng)信息安全。包括上網(wǎng)信息保護(hù)和自定義網(wǎng)絡(luò)規(guī)則

上網(wǎng)信息保護(hù)：包括主機(jī)名稱防泄漏保護(hù)共享資源防止Ping掃描允許Ping方式探測其他主機(jī)

6.3 Windows防火墻設(shè)置

①“控制面板”窗口，雙擊“網(wǎng)絡(luò)連接”圖標(biāo)，如圖1-26所示。

②“網(wǎng)絡(luò)連接”窗口中右擊“本地連接”圖標(biāo)，在彈出的快捷菜單中選擇“屬性”命令，如圖1-27所示。

圖1-26 控制面板中的網(wǎng)絡(luò)連接 圖1-27 本地連接屬性 ③彈出的“本地連接屬性”對(duì)話框中選擇“高級(jí)”選項(xiàng)卡，切換至“高級(jí)”選項(xiàng)卡，單擊“設(shè)置”按鈕，如圖1-28所示。

④出“Windows防火墻”對(duì)話框，選擇“啟用Windows防火墻”，如圖1-29所示。

圖1-28 本地連接屬性中的高級(jí)標(biāo)簽選項(xiàng)卡 圖1-29 啟動(dòng)防火墻 ⑤換至圖1-29 中的“例外”選項(xiàng)卡，在“程序和服務(wù)”列表框中勾選允許通過防火墻的程序，可單擊“編輯”按鈕或“刪除” 按鈕對(duì)程序進(jìn)行設(shè)置，如圖1-30所示。

圖1-30 通過防火墻程序列表

當(dāng)有程序需要往外訪問，系統(tǒng)會(huì)提示是否允許它通過防火墻。如果確定這個(gè)程序是安全的程序，就可以允許它通過防火墻，系統(tǒng)會(huì)把該程序記錄在允許列表中。

通過以上設(shè)置，計(jì)算機(jī)就可以在網(wǎng)絡(luò)中處在相對(duì)安全的區(qū)域了。7防火墻的選擇

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大, 并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對(duì)用戶來說,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡單地計(jì)算購置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

（4）可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實(shí)際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。8結(jié)論

安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。相信，隨著電子商務(wù)的快速健康發(fā)展，防火墻技術(shù)必將在電子商務(wù)安全方面著發(fā)揮更加積極的作用和重要價(jià)值。

致 謝

本課題是在我的導(dǎo)師肖武德老師的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴(yán)肅認(rèn)真的科學(xué)態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神，精益求精的工作作風(fēng)，深深地感染和激勵(lì)著我。從課題的選擇到項(xiàng)目的最終完成，老師始終給予我細(xì)心的指導(dǎo)和不懈的支持，在此謹(jǐn)向肖老師致以誠摯的謝意和崇高的敬意。另外，在校圖書館查找資料的時(shí)候，圖書館的老師也給我提供了很多方面的支持與幫助。在此向幫助和指導(dǎo)過我的各位老師表示最中心的感謝！

感謝這篇論文所涉及到的各位學(xué)者。本文引用了數(shù)位學(xué)者的研究文獻(xiàn)，如果沒有各位學(xué)者的研究成果的幫助和啟發(fā)，我將很難完成本篇論文的寫作。

感謝我的同學(xué)和朋友，在我寫論文的過程中給予我了很多相關(guān)素材，還在論文的撰寫和排版燈過程中提供熱情的幫助。

在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長同學(xué)朋友給了我無言的幫助，在這里請(qǐng)接受我誠摯的謝意！

由于我的學(xué)術(shù)水平有限，所寫論文難免有不足之處，懇請(qǐng)各位老師和學(xué)友批評(píng)和指正！【參考文獻(xiàn)】

1《電子商務(wù)》 翟才喜 楊敬 電子工業(yè)出版社 2002.2 2《中國電子商務(wù)年鑒》2003 卷

3《防火墻體系結(jié)構(gòu)及功能分析》艾軍 電腦知識(shí)與技術(shù) 2004.4 4《防火墻原理入門企業(yè)》 鄭林 清華大學(xué)出版社2000.5 5《防火墻技術(shù)分析》王衛(wèi)平陳文惠 朱衛(wèi)未 東北財(cái)經(jīng)大學(xué)出版社2006.7，6《防火墻在網(wǎng)絡(luò)安全中的應(yīng)用》白斌，2007年第35期． 7《防火墻包過濾規(guī)則問題的研究》 高峰，2003.4.8鄭樹申．《淺談網(wǎng)絡(luò)安全的防火墻技術(shù)》

9《網(wǎng)絡(luò)安全與防火墻技術(shù)》王睿 北京大學(xué)出版社 2000.8 10防火墻原理與技術(shù)》 閻慧 機(jī)械工業(yè)出版社 2004.2 11《論電子商務(wù)發(fā)展前景》滕秀榮 科技創(chuàng)新導(dǎo)報(bào)，2009年第31期 《我國電子商務(wù)發(fā)展前景展望》張?jiān)?李少偉，許麗紅 科技創(chuàng)新導(dǎo)報(bào)

2010.9

第三篇：數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用

公選課論文

數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用

袁志祥 0915034120 生化工程系 輕化1班 方明

學(xué)生姓名： 學(xué)

號(hào)： 所在系部： 專業(yè)班級(jí)： 評(píng)閱老師： 日

期：

二○一一年六月

摘 要

以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)作為全新的商務(wù)活動(dòng)越來越走向我們的生活，同時(shí)它作為一種新的經(jīng)濟(jì)增長動(dòng)力，他推動(dòng)我國乃至全世界經(jīng)濟(jì)的迅速發(fā)展，但是以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)，由于網(wǎng)絡(luò)技術(shù)本身的的開放性，共享性等特點(diǎn)使電子商務(wù)成為一把雙刃劍，它在給人們帶來高效.快捷 經(jīng)濟(jì)的交易的同時(shí)也引發(fā)了新的問題，那就是安全問題。如何保證網(wǎng)上交易雙方信息的有效性，保密性，完整性，認(rèn)證性和不可抵賴性已成為制約電子商務(wù)進(jìn)一步發(fā)展的的制約性問題，在這樣的環(huán)境下，為保障電子商務(wù)的安全，以規(guī)范化的程序和科學(xué)化的方法，用于識(shí)別交易雙方身份的數(shù)字簽名技術(shù)得到應(yīng)用和發(fā)展。數(shù)字簽名技術(shù)將信息發(fā)送者與信息傳遞結(jié)合起來，用以保障發(fā)送發(fā)送者所發(fā)送的信息在傳遞過程中的完整性，并可以提供信息發(fā)送者的身份的身份認(rèn)證，以防止信息發(fā)送者的身份的抵賴行為的發(fā)生，數(shù)字簽名是實(shí)現(xiàn)電子商務(wù)的安全核心技術(shù)之一。

關(guān)鍵詞：數(shù)字簽名；安全交易；電子商務(wù)

伴隨著世界人們生活節(jié)奏的加快，各樣的信息也發(fā)生著日新月異的變化，電子商務(wù)成為一種新的交易行為運(yùn)作在互聯(lián)網(wǎng)之上，每天都有數(shù)以千萬計(jì)的網(wǎng)民在網(wǎng)上進(jìn)行著數(shù)以百萬的各種交易，電子商務(wù)作為商務(wù)發(fā)展的新模式發(fā)展前景是十分誘人的，但是由于互聯(lián)網(wǎng)的高度開放性與電子商務(wù)所要求的高度保密性是相互矛盾的，而且互聯(lián)網(wǎng)本身又沒有一個(gè)完整的網(wǎng)絡(luò)安全體制，因此電子商務(wù)安全無疑會(huì)受到嚴(yán)重的威脅，電子商務(wù)交易安全性問題已成為實(shí), 現(xiàn)電子商務(wù)最迫切研究和解決的問題，電子商務(wù)安全交易技術(shù)迫切需要發(fā)展，數(shù)字簽名技術(shù)作為一種認(rèn)證技術(shù)在信息安全性，有效性，完整性，不可否認(rèn)性，身份識(shí)別等方面發(fā)揮著巨大的作用。

Abstract Internet-based e-commerce as more and more new business into our lives, and it as a new economic growth, he pushed China and the world's rapid economic development, but the Internet-based electronic Business, the technology itself as an open network, share and other features make the e-commerce to become a double-edged sword, it gave rise to efficient.fast economic transactions has created new problems, and that is security.How to ensure the validity of the information both online transactions, confidentiality, integrity, authentication and non-repudiation has restricted the further development of the constraints of e-commerce issues, in such circumstances, to protect the security of e-commerce in order to standardize Procedures and scientific methods used to identify the parties to the transaction as digital signature technology has been applied and developed.Digital signature technology to send information by combining information delivery and to protect the transmission of information sent by the sender in the transmission process integrity, and can provide information on the identity of the sender authentication, to prevent the identity of the sender The occurrence of acts of repudiation, digital signature is to achieve one of the core technology of e-commerce security.Key words: digital signature;secure transactions;e-commerce With the accelerated pace of life in the world's people, all sorts of information is also undergoing rapid changes, e-commerce transactions as a new operation on the Internet every day, tens of millions of Internet users conducted online with hundreds of Million in a variety of transactions, e-commerce as a new mode of business development prospects are very attractive, but a high degree of openness of the Internet and e-commerce required a high degree of confidentiality is contradictory, and the Internet itself has not a complete Network security system, so no doubt will be a serious e-commerce security threats, e-commerce transaction security issue has become a reality, is to study and solve the most pressing e-commerce issues, e-commerce transaction technology urgent need to develop security, digital signature technology as An authentication technology in information security, availability, integrity, non-repudiation, identification, and played a huge role

一,數(shù)字簽名技術(shù)概論

數(shù)字簽名是指利用符號(hào)及代碼組成電子密碼進(jìn)行“簽名”來代替手寫的簽名或印章，它采用先進(jìn)化的程序和科學(xué)的方法，用以鑒別發(fā)送者的身份以及對(duì)一項(xiàng)數(shù)據(jù)電子內(nèi)容信息的認(rèn)可，數(shù)字簽名信息發(fā)送者的身份與信息傳遞結(jié)合起來，可以保證信息在傳遞的過程之中內(nèi)容的完整性，并提供信息發(fā)送者的身份信息，用以防止信息發(fā)送者抵賴行為的發(fā)生。

數(shù)字簽名（Digitai Signature）技術(shù)是非對(duì)稱加密技術(shù)的典型代表的應(yīng)用，數(shù)字簽名技術(shù)是建立在公鑰體系加密體制基礎(chǔ)之上，數(shù)字簽名是將要發(fā)送的信息用發(fā)送者的私鑰加密，完成對(duì)所發(fā)信息的簽名，信息接受方用發(fā)送者的的公鑰來解讀所收到的信息，并將解讀的結(jié)果，再利用發(fā)送者發(fā)送的信息進(jìn)行數(shù)據(jù)完整性的驗(yàn)證，以確保信息發(fā)送者身份的合法性和信息的完整性，數(shù)字簽名技術(shù)是在虛擬的網(wǎng)絡(luò)中確認(rèn)對(duì)方身份的重要技術(shù)，完全代替現(xiàn)實(shí)生活中的手寫簽名或印章，在技術(shù)與法律上都得到保障，在公鑰和私鑰管理方面，用來加密的公鑰是公開的公鑰，而用來解密的私鑰則是要保密的私鑰。

二、數(shù)字簽名的作用

將數(shù)字簽名技術(shù)應(yīng)用于電子商務(wù)中，可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問題，其主要用途有三個(gè)方面：

1.驗(yàn)證數(shù)據(jù)的完整性

這個(gè)功能能保證信息自簽發(fā)后到收到為止沒有做任何修改。因?yàn)楫?dāng)兩條信息摘要完全相同時(shí)，可以確信這兩條信息的內(nèi)容完全一樣。因此，可以通過將信息發(fā)送前生成的信息摘要與接收后生成的信息摘要進(jìn)行對(duì)比，來判斷信息在傳輸過程中是否被篡改或改變。由于信息摘要在發(fā)送之前，發(fā)送方使用私鑰進(jìn)行加密，其他人要生成相同加密的信息摘要幾乎不可能，于是，接受方收到信息后，可以使用相同的函數(shù)變換，重新生成—個(gè)新的信息摘要，將接收到的信息摘要解密，然后進(jìn)行對(duì)比，從而驗(yàn)證信息的完整性。

2.驗(yàn)證簽名者的身份

此功能證明信息是由簽名者發(fā)送的。因?yàn)閿?shù)字簽名中，是使用公開密鑰加密算法，信息發(fā)送方是使用自己的私鑰對(duì)發(fā)送的信息進(jìn)行加密的，只有持有私鑰的人才能對(duì)數(shù)據(jù)進(jìn)行簽名，所以只要密鑰沒有被竊取，就可以肯定該數(shù)據(jù)是用戶簽發(fā)的。信息接收方可以使用發(fā)送方的公鑰對(duì)接受到的信息進(jìn)行解密，因而，接收方一旦解密成功，就完全可以確認(rèn)信息是由發(fā)送方發(fā)送的，同時(shí)也證實(shí)了信息發(fā)送方的身份。

3.防止交易中的抵賴行為 當(dāng)交易中出現(xiàn)抵賴行為時(shí)，信息接收方可以將加了數(shù)字簽名的信息提供給認(rèn)證方，由于帶有數(shù)字簽名的信息是由發(fā)送方的私鑰加密生成的，其他任何人不可能產(chǎn)生這種信息，而發(fā)送方的公鑰是公開的，任何人都可以獲得他的公鑰對(duì)信息解密．這樣認(rèn)證方可以使用公鑰對(duì)接收方提供的信息解密，從而可以判斷發(fā)送方是否出現(xiàn)抵賴行為。

三、數(shù)字簽名所面臨的問題

1．接收后的文件可能被接收方重復(fù)使用。如果簽字后的文件是一張支票，接收方很容易多次用該電子支票兌換現(xiàn)金。

2.數(shù)字簽名應(yīng)用很多的RSA算法是基于大數(shù)的因子分解難題。由于計(jì)算機(jī)水平的提高，人們逐漸可以用計(jì)算機(jī)分解更大的數(shù)，因此，RSA算法的密鑰也就越來越長。長密鑰帶來兩個(gè)問題，一是運(yùn)算速度較慢，另一個(gè)是密鑰存儲(chǔ)和管理問題。如果用l6位的lC卡實(shí)現(xiàn)電子錢包，使用1024比特的RSA算法速度就很慢，要秒計(jì)算，二固化RSA算法的IC卡或32位的IC卡價(jià)格則較貴。

3.目前數(shù)字簽名在使用過程中缺少法規(guī)的規(guī)范，在使用當(dāng)中比較容易出現(xiàn)一些法律問題。

四、電子商務(wù)中的交易安全策略

1．利用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是將明文采取數(shù)學(xué)方式轉(zhuǎn)換成為密文，只有特定接收方才能將其解密還原成為明文的過程。數(shù)據(jù)加密及其相關(guān)技術(shù)應(yīng)用可有效解決電子商務(wù)交易中信息的完整性、不可抵賴性和交易身份確定性等問題。

2．利用數(shù)字簽名技術(shù)。數(shù)字簽名是附加在信息上并隨著信息一起傳送的一串代碼，與普通手寫的簽名作用類似，數(shù)字簽名可以保證信息傳輸過程中的信息完整性，以及提供信息發(fā)送者的身份認(rèn)證和不可抵賴性。數(shù)字簽名的實(shí)現(xiàn)是利用哈希函數(shù)（Hash）和RSA公開密鑰算法來完成的。其中Hash簽名是最主要的數(shù)字簽名方法，也稱之為數(shù)字摘要法、數(shù)字指紋法。數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起。它更適于電子商務(wù)活動(dòng)。將一個(gè)商務(wù)合同的個(gè)體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。

3．利用認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)安全的重要因素之一。認(rèn)證分為實(shí)體認(rèn)證和信息認(rèn)證。前者指對(duì)參與通信實(shí)體(指參與通信的個(gè)人、客戶程序服務(wù)程序等)的身份認(rèn)證：后者指對(duì)信息體進(jìn)行認(rèn)證并確定其合法性，發(fā)生在信息接收者收到信息后。認(rèn)證的實(shí)現(xiàn)包括公開密鑰加密技術(shù)、數(shù)字簽名技術(shù)和數(shù)字證書技術(shù)等。

總之，現(xiàn)有的電子商務(wù)的安全技術(shù)并不是無懈可擊的。操作系統(tǒng)的漏洞,管理人員的疏漏,都有可能造成安全漏洞。而加密技術(shù)本身也不是完全不可解的。電子商務(wù)的安全是又個(gè)非常復(fù)雜的問題，它是一個(gè)系統(tǒng)有機(jī)的整體，不僅需要計(jì)算機(jī)網(wǎng)絡(luò)安全的保證，也需要商務(wù)交易安全上的保障，才能確保電子商務(wù)的安全。同時(shí)我國在電子商務(wù)技術(shù)性較為落后，必須加強(qiáng)信息安全產(chǎn)品的研究，加強(qiáng)信息安全人才的培養(yǎng)，共同努力建立科學(xué)的電子商務(wù)安全機(jī)制，才能為我國的電子商務(wù)發(fā)展保駕護(hù)行。所以電子商務(wù)的安全技術(shù)是電子商務(wù)成功與否的決定性因素。

參考文獻(xiàn)：

[1]凌捷，計(jì)算機(jī)資料安全技術(shù)[M].北京：科學(xué)出版社，2004.[2]李曉霞，劉青，基于RSA算法的數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用[J].計(jì)算機(jī)知識(shí)與技術(shù)，2005.[3] 陳風(fēng)，張利萍，RSA算法及其在電子商務(wù)中的應(yīng)用[J].鐵路計(jì)算機(jī)應(yīng)用，2003.[4] 王玉奇，基于RSA的電子商務(wù)數(shù)字簽名技術(shù)[J].經(jīng)濟(jì)師，2005.[5] 李鳳慧，電子商務(wù)中的數(shù)字簽名技術(shù)[J].商場現(xiàn)代化，2006.[6] 林楓，電子商務(wù)安全技術(shù)及應(yīng)用[M].北京：北京航空航天大學(xué)出版社，2001.

第四篇：防火墻技術(shù)在企業(yè)財(cái)務(wù)管理系統(tǒng)中的應(yīng)用

防火墻技術(shù)在企業(yè)財(cái)務(wù)管理系統(tǒng)中的應(yīng)用

2010-06-10 09:02:02 作者：韓曉 來源：萬方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對(duì)局域網(wǎng)中存在的眾多隱患，企業(yè)必須實(shí)施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù) 關(guān)鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務(wù)器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對(duì)局域網(wǎng)中存在的眾多隱患，企業(yè)必須實(shí)施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等，其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文就防火墻技術(shù)在財(cái)務(wù)管理信息系統(tǒng)中的應(yīng)用進(jìn)行較為深入的探討。

1、防火墻技術(shù)

1.1防火墻的基本概念

防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻是用來防止外部網(wǎng)上的各類危險(xiǎn)程序傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)，財(cái)務(wù)上主要用于保護(hù)計(jì)算機(jī)和服務(wù)器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以有所不同，但它通常是1組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合，而從本質(zhì)上看防火墻是1種保護(hù)裝置，用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù)，從技術(shù)上來說，網(wǎng)絡(luò)防火墻是1種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安壘的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問，所以防火墻是一道門檻，控制進(jìn)出2個(gè)方向的通信，防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時(shí)記錄有關(guān)的鏈接來源，服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)；(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡(luò)地址變換)的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來。用來緩解地址空間短缺的問題；(4)可以連接到1個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉(zhuǎn)載請(qǐng)務(wù)必注明出處，違者本網(wǎng)將依法追究責(zé)任。

第五篇：警專防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

摘要

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。正是因?yàn)榘踩{無處不在，為了解決這個(gè)問題，防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境，防火墻是實(shí)施網(wǎng)絡(luò)安全控制的一種必要技術(shù)。

本文從防火墻的工作原理，在網(wǎng)絡(luò)安全中的應(yīng)用、發(fā)展趨勢等方面展開論述，表明了防火墻技術(shù)在網(wǎng)絡(luò)安全中的重要作用。對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，闡述了我國網(wǎng)絡(luò)安全的現(xiàn)狀以及網(wǎng)絡(luò)安全問題產(chǎn)生的原因，對(duì)我國網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)分析，并探討了針對(duì)計(jì)算機(jī)安全隱患的防范策略。

關(guān)鍵詞 信息 網(wǎng)絡(luò)安全 防火墻技術(shù) 威脅

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

目錄

1引言?????????????????????????????????3 2我國網(wǎng)絡(luò)安全的現(xiàn)狀?????????????????????????3 2.1研究背景??????????????????????????3 2.2研究意義??????????????????????????4 2.3計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅???????????????????4 3防火墻的概述????????????????????????????5 3.1防火墻的概念??????????????????????????5 3.2防火墻的原理???????????????????????????6 3.3防火墻的架構(gòu)??????????????????????????6 4 防火墻技術(shù)???????????????????????????????6 4.1包過濾技術(shù)????????????????????????????6 4.2代理服務(wù)技術(shù)???????????????????????????7 4.3電路層網(wǎng)關(guān)技術(shù)??????????????????????????8 4.4狀態(tài)檢測技術(shù)???????????????????????????8 5 防火墻各個(gè)階段的特點(diǎn)???????????????????????9 5.1靜態(tài)包過濾防火墻?????????????????????????9 5.2動(dòng)態(tài)包過濾防火墻???????????????????????10 5.3代理應(yīng)用層網(wǎng)關(guān)防火墻(應(yīng)用層網(wǎng)關(guān)、代理應(yīng)用層網(wǎng)關(guān))???????10 5.4自適應(yīng)代理防火墻????????????????????????10 6防火墻在網(wǎng)絡(luò)安全防范中技術(shù)的缺陷及改進(jìn)???????????????10 6.1防火墻的缺陷??????????????????????????10 6.2防火墻技術(shù)的改進(jìn)????????????????????????11 7防火墻的發(fā)展趨勢????????????????????????????13 全文結(jié)論?????????????????????????????????14 參考文獻(xiàn)?????????????????????????????????15 致謝???????????????????????????????????16

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

1引言

隨著Internet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。

網(wǎng)絡(luò)的飛速發(fā)展和普及為人們提供了發(fā)布信息、檢索信息和相互交流的場所，但同時(shí)也帶來了信息破壞、信息盜竊和信息泄漏的危險(xiǎn)，這就是網(wǎng)絡(luò)的安全威脅。目前對(duì)網(wǎng)絡(luò)安全的危害主要是兩個(gè)方面：病毒入侵和黑客攻擊，這些危害輕則可能使計(jì)算機(jī)系統(tǒng)運(yùn)行不正常，重則可能會(huì)給個(gè)人、企業(yè)，甚至國家?guī)聿豢赏旎氐膿p失。因此建立網(wǎng)絡(luò)安全的防范機(jī)制對(duì)于網(wǎng)絡(luò)的安全有效運(yùn) 行是十分必要的，而防火墻技術(shù)是我們應(yīng)用最廣、最成熟、最重要的網(wǎng)絡(luò)安全設(shè)備。

2我國網(wǎng)絡(luò)安全的現(xiàn)狀

2.1研究背景

據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全早場的損失達(dá)75億美元。據(jù)美國金融時(shí)報(bào)報(bào)道，世界上平均每20分鐘就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，三分之一的防火墻唄突破。美國聯(lián)邦調(diào)查局計(jì)算機(jī)組負(fù)責(zé)人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計(jì)算機(jī)專家毫不夸張的說：給我一臺(tái)普通計(jì)算機(jī)、一條電話線和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。

據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國的大量網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對(duì)許多潛在的風(fēng)險(xiǎn)認(rèn)識(shí)不足，缺乏必要的技術(shù)設(shè)施和相關(guān)的處理經(jīng)驗(yàn)，面對(duì)形勢嚴(yán)峻的現(xiàn)狀很

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

多時(shí)候都顯得力不從心。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。

隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已日益突出，如同其他社會(huì)一樣互聯(lián)網(wǎng)也受到某些無聊之人的困擾。它關(guān)系到互聯(lián)網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系到互聯(lián)網(wǎng)的生存。近年來，無論在發(fā)達(dá)國家還是在發(fā)展中國家，黑客活動(dòng)越來越猖狂，他們無孔不入，對(duì)社會(huì)造成了嚴(yán)重危害，目前在互聯(lián)網(wǎng)上有近80%的用戶曾受到過黑客的困擾。而與此同時(shí)，更讓人不安的是互聯(lián)網(wǎng)上黑客和病毒的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這樣，就使原本十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。

2.2研究意義

現(xiàn)在網(wǎng)絡(luò)的觀念已深入人心，越來越多的人們通過網(wǎng)絡(luò)來了解世界，同時(shí)他們也可以通過網(wǎng)絡(luò)來發(fā)布信息，與朋友進(jìn)行交流和溝通展示自己以及開展電子商務(wù)等等。人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已成為當(dāng)今社會(huì)關(guān)注的重要問題之一。正是因?yàn)榘踩{時(shí)刻存在，為了解決這個(gè)問題，防火墻出現(xiàn)了。

防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道防御系統(tǒng)，是這一類防御措施的總稱。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模式，通過它可以隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的鏈接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問，從而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制的一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但原則上防火墻可以被認(rèn)為是這樣同一種機(jī)制：阻攔不安全傳輸流，允許安全的傳輸流通過。隨著時(shí)代的發(fā)展和科技的進(jìn)步，防火墻功能日益完善和強(qiáng)大，但面對(duì)日益增多的網(wǎng)絡(luò)安全威脅，防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。

2.3計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

對(duì)于網(wǎng)絡(luò)安全性，可以通過甲、乙兩個(gè)用戶在計(jì)算機(jī)網(wǎng)絡(luò)上的通信來考慮計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅，主要有以下幾種情況：

(1)信息泄露 當(dāng)甲通過網(wǎng)絡(luò)與乙進(jìn)行通信時(shí)，如果不采取任何保密措施，那

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

么其他人就與可能偷看 到他們的通信內(nèi)容。

(2)識(shí)別 對(duì)于進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶，系統(tǒng)必須檢驗(yàn)其合法性。如果不是系統(tǒng)的合法用戶，系統(tǒng)將不給予服務(wù)。因此系統(tǒng)要有“身份識(shí)別的功能”。

(3)假冒 甲和乙是系統(tǒng)的合法用戶，網(wǎng)絡(luò)為他們提供應(yīng)有的服務(wù)。丙也想獲得這些服務(wù)，于是 丙系統(tǒng)發(fā)出：“我是乙”系統(tǒng)怎么才能識(shí)別這一服務(wù)請(qǐng)求不是由乙發(fā)出的。而是假冒的呢？

(4)篡改乙給甲發(fā)了如下一份文報(bào)：“請(qǐng)給丁匯100元錢。乙”。文報(bào)在轉(zhuǎn)發(fā)過程中經(jīng)過了丙的手。丙就把“丁”改成了“丙”。

(5)惡意程序的攻擊 除了上述用戶之間通信中的信息安全問題外，網(wǎng)絡(luò)本身也容易遭受一些惡意程序(rogue program)的攻擊。惡意程序種類繁多，對(duì)網(wǎng)絡(luò)安全威脅較大主要有以下幾種：計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲特洛伊木馬邏輯炸彈。這里所說的計(jì)算機(jī)病毒是俠義的也有人把所有的惡意程序指為計(jì)算機(jī)病毒。目前，計(jì)算機(jī)病毒被分為3大類型，即分區(qū)病毒、文件病毒和宏病毒。

人為威脅源有兩種，一種是指計(jì)算機(jī)黑客闖入用戶的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)，我們把他稱為外部危險(xiǎn)；一種來自系統(tǒng)的內(nèi)部，我們把它稱為內(nèi)部危險(xiǎn)。

(1)網(wǎng)絡(luò)內(nèi)部危險(xiǎn)包括一下幾個(gè)方面：設(shè)計(jì)安全過程中，沒有考慮員工和公司之間的關(guān)系。網(wǎng)絡(luò)安全需要花費(fèi)管理人員的精力來維護(hù)和實(shí)施，造成經(jīng)費(fèi)的增加。網(wǎng)絡(luò)安全主要來自企業(yè)內(nèi)部松懈的、甚至完全不存在的安全措施。用戶對(duì)限制訪問的安全策略有抵觸情緒、不遵守安全標(biāo)準(zhǔn)。

(2)外部危險(xiǎn)，網(wǎng)絡(luò)外部危險(xiǎn)包括一下幾個(gè)方面，竊取機(jī)密信息，向外部透露敏感信息，非法訪問網(wǎng)絡(luò)服務(wù)程序和資源，干擾網(wǎng)絡(luò)正常服務(wù)，故意損壞、修改和刪除數(shù)據(jù)，竊取或損壞硬件和軟件。防火墻的概述

3.1防火墻的概念

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

3.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

3.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì) 的 IP 包，它只允許與指定的 IP 地址通信。它的作用是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間有選擇地安排數(shù)據(jù)包的去向。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)，包頭信息中包括 IP源地址，IP目標(biāo)端地址、封裝協(xié)議類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。4.1.1過濾規(guī)則

過濾規(guī)則一般包過濾規(guī)則如下：(1)過濾規(guī)則序號(hào) FRNO(Filter rule Number)，它決定過濾算法執(zhí)行時(shí)過濾規(guī)則排列的 順序。(2)過濾方式(Action)包括允許(Allow)和阻止(Block)。(3)源IP地址SIP(Source IP address)。18(4)源端口SP(Source Port)。(5)目的IP地址 DIP(Destination IP address)。(6)目的端口 DP(Destination Port)。(7)協(xié)議標(biāo)志 PF(Protocol Flags)。(8)最后一項(xiàng)是注釋(Comment)。4.1.2包過濾規(guī)則的制定過程包過濾規(guī)則的制定過程

(1)確定自己的安全需求及包過濾規(guī)則要達(dá)到的安全目標(biāo)，明確什么是應(yīng)該和不應(yīng)該被允許的，然后制定合適的安全策略。

(2)必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)。(3)必須用防火墻支持的語法重寫表達(dá)式。4.1.3包過濾策略

包過濾路由器根據(jù)過濾規(guī)則來過濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包，完成包過濾功能。這里主要從以下幾個(gè)方面來考慮包過濾策略：

(1)包過濾控制點(diǎn)(2)包過濾操作過程(3)包過濾規(guī)則

(4)防止不安全設(shè)計(jì)的措施(5)對(duì)特定協(xié)議包的過濾。

4.2代理服務(wù)技術(shù)

代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序，它位于內(nèi)部網(wǎng)絡(luò)上的用戶和外部網(wǎng)上的服務(wù)之間，內(nèi)部用戶和外部網(wǎng)服務(wù)彼此不能直接通信，只能分別

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

與代理打交道。代理負(fù)責(zé)接收外部網(wǎng)服務(wù)請(qǐng)求，再把它們轉(zhuǎn)發(fā)到具體的服務(wù)中。代理服務(wù)防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接，為安全性提供了額外的保證，使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。例如，一個(gè)公司決定將一個(gè)Telnet服務(wù)器作為主機(jī)，以使得遠(yuǎn)程的管理員能夠?qū)ζ鋱?zhí)行某些特定的操作。它代理一個(gè)連接過程如下：

（1）有一個(gè)用戶通過 23端口 Telnet 到這個(gè)代理服務(wù)器上。屏蔽設(shè)備檢測這個(gè)連接的源 IP地址是否在允許的源地址列表中。如果在的話，就對(duì)該連接進(jìn)行下一步的處理；如果不在的話，則拒絕該次連接。

（2）提示用戶進(jìn)行身份驗(yàn)證。

（3）在通過了身份驗(yàn)證后，系統(tǒng)就會(huì)提示用戶給用戶一個(gè)系統(tǒng)菜單來允許用戶連接到目的主機(jī)。

（4）用戶選擇要連接的系統(tǒng)。

（5）如果有要求，系統(tǒng)會(huì)提示用戶再輸入另外的身份驗(yàn)證信息。

4.3電路層網(wǎng)關(guān)技術(shù)

電路層網(wǎng)關(guān)的運(yùn)行方式與代理服務(wù)器相似，它把數(shù)據(jù)包提交給應(yīng)用層過濾，并只依賴19于TCP的連接。它遵循 SOCKS協(xié)議，即電路層網(wǎng)關(guān)的標(biāo)準(zhǔn)。它是在網(wǎng)絡(luò)的傳輸層實(shí)施訪問策略，是在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個(gè)虛擬電路進(jìn)行通信。電路層網(wǎng)關(guān)的工作過程如下：

（1）假設(shè)有一個(gè)用戶正在試圖和一個(gè)目的URL進(jìn)行連接。

（2）該用戶所使用的客戶應(yīng)用程序是將請(qǐng)求發(fā)到地址已被解析的代理服務(wù)器的內(nèi)部上。

（3）如果需要身份驗(yàn)證的話，網(wǎng)關(guān)就會(huì)提示用戶進(jìn)行身份驗(yàn)證。

（4）如果用戶通過了身份驗(yàn)證的話，代理服務(wù)器就會(huì)執(zhí)行一些另外的任務(wù)，然后代理服務(wù)器為目的 URL發(fā)出一個(gè) DNS請(qǐng)求，接著它再用自己的源 IP 地址和目的 IP地址建立一個(gè)連接。

（5）代理服務(wù)器將 Web服務(wù)器上的應(yīng)答轉(zhuǎn)發(fā)給客戶。

4.4狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)是包過濾技術(shù)的延伸，使用各種狀態(tài)表(state tables)來追蹤

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

活躍的 TCP會(huì)話。由用戶定義的訪問控制列表(ACL)決定允許建立哪些會(huì)話(session)，只有與活躍會(huì)話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。狀態(tài)檢測技術(shù)防火墻的工作過程如下：

（1）防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。

（2）根據(jù)所使用的協(xié)議，決定對(duì)數(shù)據(jù)包的檢查程度。

（3）如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配，那么防火墻就會(huì)檢測數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。

（4）在數(shù)據(jù)包檢測后，防火墻就會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地址，并且防火墻會(huì)在其連接表中為此次對(duì)話創(chuàng)建或者更新一個(gè)連接項(xiàng)，防火墻將使用這個(gè)連接項(xiàng)對(duì)返回的數(shù)據(jù)包進(jìn)行校驗(yàn)。

（5）防火墻通常對(duì) TCP包中被設(shè)置的 FIN位進(jìn)行檢測或者通過使用計(jì)時(shí)器來決定何時(shí)從連接表中刪除某連接項(xiàng)。狀態(tài)檢測技術(shù)防火墻是對(duì)包過濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中，它的速度和靈活性沒有包過濾機(jī)制好，但比代理服務(wù)技術(shù)好。它的應(yīng)用級(jí)安全不如代理服務(wù)技術(shù)強(qiáng)，但又比包過濾的機(jī)制的高。這種結(jié)合是對(duì)包過濾技術(shù)和代理服務(wù)技術(shù)的折中。防火墻各個(gè)階段的特點(diǎn)

防火墻技術(shù)經(jīng)歷了以下幾個(gè)階段：

5.1靜態(tài)包過濾防火墻

靜態(tài)包過濾防火墻采用的是一個(gè)都不放過的原則。它會(huì)檢查所有通過信息包里的 IP地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片(數(shù)據(jù)包)，確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過濾的原理。這種靜態(tài)包過濾防火墻，對(duì)用戶是透

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個(gè)單純的包過濾的防火墻的防御能力是非常弱的，對(duì)于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對(duì)包過濾防火墻發(fā)出一系列地址被替換成一連串順序 IP 地址的信息包，一旦有一個(gè)包通過了防火墻，那么攻擊者停止再發(fā)測試IP地址的信息包，用這個(gè)成功發(fā)送的地址來偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。

5.2動(dòng)態(tài)包過濾防火墻

靜態(tài)包過濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術(shù)”的動(dòng)態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。

5.3代理應(yīng)用層網(wǎng)關(guān)防火墻(應(yīng)用層網(wǎng)關(guān)、代理應(yīng)用層網(wǎng)關(guān))這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包 經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的 作用。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻 擊方式入侵內(nèi)部網(wǎng)。

5.4自適應(yīng)代理防火墻

自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。防火墻在網(wǎng)絡(luò)安全防范中技術(shù)的缺陷及改進(jìn)

6.1防火墻的缺陷

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

防火墻在網(wǎng)絡(luò)安全防護(hù)中起著舉足輕重的作用，但是它不是萬能的，它仍然存在有它的局限性和不足。

（1）防火墻不能防范不經(jīng)過它的攻擊。

（2）防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。防火墻只對(duì)來自外部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測，以保護(hù)內(nèi)部網(wǎng)絡(luò)；而對(duì)于內(nèi)部網(wǎng)絡(luò)中的用戶威脅，例如外來入侵者一旦進(jìn)入了內(nèi)部網(wǎng)絡(luò)，它將成為內(nèi)部人員，在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊，而此時(shí)防火墻是無能為力的。包過濾防火墻工作在網(wǎng)絡(luò)層，通過對(duì)每個(gè)ＩＰ包的源地址、目的地址，傳輸協(xié)議等信息與事先設(shè)置的安全規(guī)則進(jìn)行比較，如果滿足安全規(guī)則定義的ＩＰ包則通過，如果不符合安全規(guī)則定義的ＩＰ包則被排除。

（3）不能有效防范加密信息。防火墻只能識(shí)別與其數(shù)據(jù)庫中已有的特征數(shù)據(jù)匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉(zhuǎn)換成其他形式隱藏起來，這種加密后的代碼，只要成功避開防火墻數(shù)據(jù)庫中的特征匹配，就能成功通過防火墻。

（4）網(wǎng)絡(luò)提供的服務(wù)應(yīng)是便捷、靈活、可用的，但是為了較高的網(wǎng)絡(luò)安全性，防火墻限制和關(guān)閉了一些存在有安全隱患的網(wǎng)絡(luò)服務(wù)；此外，從網(wǎng)絡(luò)安全的角度出發(fā)，必須對(duì)網(wǎng)絡(luò)活動(dòng)加以監(jiān)控和管理，而這些是以開銷一部分的網(wǎng)絡(luò)資源來完成的。因此，高效的網(wǎng)絡(luò)服務(wù)與完全的網(wǎng)絡(luò)安全是矛盾的，如何找到一個(gè)合適的平衡點(diǎn)，防火墻的部署與設(shè)置仍是一個(gè)難題。

（5）防火墻是一種被動(dòng)的防范手段，它只能對(duì)已知的網(wǎng)絡(luò)威脅起作用，對(duì)于新的未知的網(wǎng)絡(luò)攻擊防火墻是很難防范的。

（6）防火墻不能防范受到病毒感染的文件、軟件。

（7）防火墻的檢測功能是有限的。對(duì)于所有網(wǎng)絡(luò)和應(yīng)用程序流量的檢測，需要有空前的處理能力才能保證這些任務(wù)的完成，為了獲得高性能，就必然要求使用高端硬件 就目前而言，要完成這種深度檢測仍是十分困難的。

6.2防火墻技術(shù)的改進(jìn)

防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的唯一出入口，能根據(jù)既已設(shè)定的安全策略來控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。單純的

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

防火墻技術(shù)，就是對(duì)網(wǎng)絡(luò)數(shù) 據(jù)流的控制處理過程，但是這種簡單的處理方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足日益增長的信息安全要求。在論文中，將防火墻的概念、發(fā)展、分類與功能做一詳盡地闡述，并給出了各階段關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)，所做主要工作、技術(shù)難點(diǎn)與創(chuàng)新處如下：

（1）防火墻的體系結(jié)構(gòu)，應(yīng)該是全面面向資源的結(jié)構(gòu)模塊化設(shè)計(jì)，對(duì)不同對(duì)象的具體的組成資源，直接進(jìn)行控制，這樣極大的提高了安全性，并保證了配置的方便性。系統(tǒng)按縱向結(jié)構(gòu)進(jìn)行層次化設(shè)計(jì)，包括表示層、執(zhí)行層、中心數(shù)據(jù)庫、數(shù)據(jù)庫操縱層、數(shù)據(jù)及意外處理控制層和應(yīng)用程序?qū)?；同時(shí)，系統(tǒng)按橫向進(jìn)行了高度的功能模塊化設(shè)計(jì)，這種高智能、高度模塊化的設(shè)計(jì)，使得軟件結(jié)構(gòu)極為清晰合理，極易維護(hù)和升級(jí)，并且提供了高質(zhì)量，極易獲得升級(jí)服務(wù)的軟件系統(tǒng)。

（2）防火墻的數(shù)據(jù)流控制技術(shù)采用最先進(jìn)的狀態(tài)包過濾技術(shù)。根據(jù)狀態(tài)包過濾的思路，在核心中維護(hù)一個(gè)連接鏈表，記錄著相應(yīng)連接的狀態(tài)，對(duì)請(qǐng)求建立連接的數(shù)據(jù)包進(jìn)行更細(xì)粒度的檢查，檢查通過后記錄到狀態(tài)鏈表中，從而對(duì)后續(xù)的或是關(guān)聯(lián)的數(shù)據(jù)包只需檢查其是否屬于已建立的連接，不需全部進(jìn)行規(guī)則匹配，經(jīng)過這樣的狀態(tài)處理機(jī)制后不僅使安全性得到加強(qiáng)，同時(shí)也大大提高了包轉(zhuǎn)發(fā)效率。

（3）搭建高效日志處理平臺(tái)，使之能夠處理海量的日志。大多數(shù)防火墻使用的日志框架對(duì)于處理海量日志和高效分析日志來說是空白的，因此一般都設(shè)置另外一臺(tái)單獨(dú)的日志服務(wù)器，但是優(yōu)化的日志處理平臺(tái)可以處理2G以上的日志文件。

（4）網(wǎng)絡(luò)安全體系，應(yīng)該提供可靠的檢測性和防御性的工具，以使當(dāng)攻擊者試圖攻擊受防火墻設(shè)備保護(hù)的網(wǎng)絡(luò)時(shí)，能查明和阻擋其達(dá)到上述目的的企圖。

（5）對(duì)數(shù)據(jù)包頭分析過濾，采用正則表達(dá)式的模式匹配算法，對(duì)一些高層應(yīng)用進(jìn)行限制。

（6）防火墻高可用性(HighAvailable)的實(shí)現(xiàn)。在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻，使用直連線互通。正常情況下一個(gè)處于工作狀態(tài)，為主機(jī)(Primary)，另一個(gè)處于備份狀態(tài)(Second)為從機(jī)。當(dāng)主機(jī)發(fā)生意外死機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí)，主從防火墻自動(dòng)切換工作狀態(tài)，從機(jī)代替主機(jī)正常工

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

作，從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其它系統(tǒng)的參與，并且主防火墻恢復(fù)使用功能后，從防火墻自動(dòng)將控制權(quán)交回主防火墻，保證網(wǎng)絡(luò)更安全，更高效。

7防火墻的發(fā)展趨勢

隨著計(jì)算機(jī)技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體的應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻開發(fā)商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度來看，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案。它需要很大程度上依賴于軟件的性能，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻性能好上許多。

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

全 文 結(jié) 論

經(jīng)過兩個(gè)月的努力，終于完成了本論文，從當(dāng)初領(lǐng)到論文題目到最后一個(gè)模塊的完成，經(jīng)歷了無數(shù)次的修改總結(jié)，感覺到平時(shí)學(xué)的知識(shí)是多么的淺薄，給自己敲響了警鐘，有了努力工作的方向。

通過這次寫論文，真真切切地了解到網(wǎng)絡(luò)是多么的方便，遇到什么問題上網(wǎng)一查基本都能查到，然后經(jīng)過自己的修改學(xué)習(xí)變成自己的東西，互相學(xué)習(xí)才能共同提高共同進(jìn)步。

本次畢業(yè)論文是工作前一次很好的自我鍛煉和實(shí)踐的機(jī)會(huì)，是培養(yǎng)獨(dú)立思考問題和自學(xué)能力的鍛煉，使我意識(shí)到必須努力學(xué)習(xí)才能在工作中體現(xiàn)價(jià)值適應(yīng)社會(huì)的需要。所以一定要好好學(xué)習(xí)。

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

參 考 文 獻(xiàn)

[1] 朱雁輝《WLNDOWS 防火墻與網(wǎng)絡(luò)技術(shù)》電子工業(yè)出版社 2002年4月； [2] 袁家政《計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)》清華大學(xué)出版社 2002年5月； [3] 胡道元《計(jì)算機(jī)網(wǎng)絡(luò)》清華大學(xué)出版社 1999年1月；

[4] 謝希仁《計(jì)算機(jī)網(wǎng)絡(luò)工程基礎(chǔ)》電子工業(yè)出版社 2002年5月； [5] 刑鈞《網(wǎng)絡(luò)安全與防火墻技術(shù)》電子科技大學(xué)出版社 2004年3月； [6] 石彥杰《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成技術(shù)》高等教育出版社 2006年2月； [7] 馬程《防火墻在網(wǎng)絡(luò)安全中的應(yīng)用》甘肅科技 2007年4月。

山西警官高等?？茖W(xué)校2011屆畢業(yè)設(shè)計(jì)

致 謝

經(jīng)過了兩個(gè)月的努力我完成了題目為：防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用。本次論文能夠順利完成，首先要感謝李麗蓉指導(dǎo)老師，她自始至終都給予我很大的幫助，對(duì)我設(shè)計(jì)的每一個(gè)計(jì)劃都提出了至關(guān)重要的建議，使我少走彎路，節(jié)省了大量時(shí)間，可以說這篇論文匯聚了指導(dǎo)老師大量的心血。

另外，還要感謝出版書籍的老師們，他們把這么多有用的知識(shí)編輯成書，使我能從書本中輕易地找到自己所需要的內(nèi)容來完成本論文。

再一次，我向所有幫助我完成這篇論文的人表示由衷感謝。

山西警官高等專科學(xué)校2011屆畢業(yè)設(shè)計(jì)

指 導(dǎo) 老 師 評(píng) 語