第一篇：防火墻和入侵檢測(cè)系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

防火墻和入侵檢測(cè)系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

摘要：文中通過(guò)分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu)和對(duì)網(wǎng)絡(luò)安全的要求，在歸納了防火墻和入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的防御功能的基礎(chǔ)上，提出了將防火墻和入侵檢測(cè)系統(tǒng)運(yùn)用到電力企業(yè)信息網(wǎng)絡(luò)的具體方案，并對(duì)相關(guān)技術(shù)和網(wǎng)絡(luò)安全體系的建設(shè)進(jìn)行了討論。

0 引言

當(dāng)前，電力系統(tǒng)已基本形成了自己的生產(chǎn)過(guò)程自動(dòng)化和管理現(xiàn)代化信息網(wǎng)絡(luò)，并在實(shí)際生產(chǎn)和管理中發(fā)揮著巨大的作用。隨著全球信息化的迅猛發(fā)展，電力系統(tǒng)必將加強(qiáng)與外部世界的信息交流，以提高生產(chǎn)和管理效率，開(kāi)拓更廣闊的發(fā)展空間。然而，網(wǎng)絡(luò)開(kāi)放也增加了網(wǎng)絡(luò)受攻擊的可能性。與外部網(wǎng)絡(luò)的連接必然面臨外來(lái)攻擊的威脅。對(duì)于關(guān)系到國(guó)計(jì)民生的電力系統(tǒng)而言，網(wǎng)絡(luò)安全必須作為一個(gè)重大戰(zhàn)略問(wèn)題來(lái)解決。目前，防火墻技術(shù)作為防范網(wǎng)絡(luò)攻擊最基本的手段已經(jīng)相當(dāng)成熟，是抵御攻擊的第一道防線，入侵檢測(cè)系統(tǒng)(intrusion detective system，縮寫(xiě)為IDS)作為新型的網(wǎng)絡(luò)安全技術(shù)，有效地補(bǔ)充了防火墻的某些性能上的缺陷，兩者從不同的角度以不同的方式確保網(wǎng)絡(luò)系統(tǒng)的安全。

本文首先分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu)，并結(jié)合其特點(diǎn)和對(duì)網(wǎng)絡(luò)安全的特殊要求，就如何有效地將防火墻和入侵檢測(cè)技術(shù)運(yùn)用到電力企業(yè)信息網(wǎng)絡(luò)中進(jìn)行探討。1 電力系統(tǒng)的信息網(wǎng)絡(luò)

電力系統(tǒng)的信息網(wǎng)絡(luò)[1]分為兩大模塊：監(jiān)控信息系統(tǒng)(supervisory information system，縮寫(xiě)為 SIS)和管理信息系統(tǒng)(management information system，縮寫(xiě)為MIS)。

SIS對(duì)生產(chǎn)現(xiàn)場(chǎng)進(jìn)行實(shí)時(shí)監(jiān)控，從分布在生產(chǎn)現(xiàn)場(chǎng)的許多點(diǎn)采集數(shù)據(jù)，再由系統(tǒng)中的計(jì)算單元進(jìn)行性能計(jì)算、故障診斷等，將結(jié)果存放到實(shí)時(shí)數(shù)據(jù)服務(wù)器，為生產(chǎn)現(xiàn)場(chǎng)實(shí)時(shí)提供科學(xué)、準(zhǔn)確的數(shù)據(jù)，以控制整個(gè)生產(chǎn)過(guò)程。SIS包括CRT監(jiān)控系統(tǒng)、DCS(數(shù)據(jù)通信系統(tǒng))、FCS(現(xiàn)場(chǎng)總線控制系統(tǒng))等子系統(tǒng)。

MIS的功能是實(shí)現(xiàn)企業(yè)自動(dòng)化管理，包括若干子系統(tǒng)，分別實(shí)現(xiàn)生產(chǎn)經(jīng)營(yíng)管理、財(cái)務(wù)和人事管理、設(shè)備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統(tǒng)，為管理人員提供智能支持，是企業(yè)管理規(guī)范化、科學(xué)化的基礎(chǔ)。

目前電力系統(tǒng)的信息網(wǎng)絡(luò)一般將SIS和MIS分做同一網(wǎng)絡(luò)中的兩個(gè)子網(wǎng)，并分別配置服務(wù)器，兩子網(wǎng)之間用網(wǎng)關(guān)連接，如圖1所示。

DPU(分散過(guò)程控制單元)從生產(chǎn)現(xiàn)場(chǎng)采集數(shù)并發(fā)送到高速數(shù)據(jù)網(wǎng)供DCS各工作站分析處理，同時(shí)為了保證SIS的網(wǎng)絡(luò)安全，SIS以太網(wǎng)通過(guò)網(wǎng)關(guān)與MIS服務(wù)器連接，作為MIS到SIS的入口并管理MIS對(duì)SIS的訪問(wèn)。

SIS和MIS功能各異，對(duì)安全的要求也有所不同。SIS由于與現(xiàn)場(chǎng)生產(chǎn)息息相關(guān)，一旦遭到入侵，勢(shì)必影響生產(chǎn)甚至造成惡性事故，所以其安全性要求更高?，F(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)也充分體現(xiàn)了這一特點(diǎn)，對(duì) SIS實(shí)施更高級(jí)別的保護(hù)。

當(dāng)局域網(wǎng)與外部網(wǎng)絡(luò)連接后，MIS要向外界提供服務(wù)，網(wǎng)絡(luò)面臨的威脅將空前廣泛、尖銳，這時(shí)原有的安全系統(tǒng)顯然過(guò)于單薄，必須在原有基礎(chǔ)上制定更嚴(yán)密、可靠的防御體系。

在安全的操作系統(tǒng)基礎(chǔ)上，防火墻結(jié)合IDS是一種較為理想的解決方案。2 防火墻

防火墻[2]是防范網(wǎng)絡(luò)攻擊最常用的手段，是構(gòu)造安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)工程。它通常被安置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)上，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離，強(qiáng)制所有內(nèi)部與外部之間的相互通信都通過(guò)這一節(jié)點(diǎn)，并按照設(shè)定的安全策略分析，限制這些通信，以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

2．1 防火墻的體系結(jié)構(gòu)[3] 構(gòu)造防火墻時(shí)通常根據(jù)所要提供的服務(wù)、技術(shù)人員的技術(shù)、工程的性?xún)r(jià)比等因素采用多種技術(shù)的組合，以達(dá)到最佳效果。

目前常見(jiàn)的防火墻體系結(jié)構(gòu)有以下幾種：

a．雙重宿主主機(jī)體系結(jié)構(gòu)。在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間配置至少有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，接口分別與內(nèi)部、外部網(wǎng)絡(luò)相連，而主機(jī)則充當(dāng)網(wǎng)絡(luò)之間的路由器。這樣，內(nèi)部、外部網(wǎng)絡(luò)的計(jì)算機(jī)之間的IP通信完全被阻隔，只能通過(guò)雙重宿主主機(jī)彼此聯(lián)系。

b．屏蔽主機(jī)體系結(jié)構(gòu)。這種結(jié)構(gòu)的防火墻由路由器和堡壘主機(jī)構(gòu)成，路由器設(shè)置在內(nèi)部、外部網(wǎng)絡(luò)之間，實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾。堡壘主機(jī)設(shè)置在內(nèi)部網(wǎng)絡(luò)中，外部網(wǎng)絡(luò)的計(jì)算機(jī)必須連接到堡壘主機(jī)才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

c．屏蔽子網(wǎng)體系結(jié)構(gòu)。利用兩個(gè)路由器(內(nèi)部路由器和外部路由器)將內(nèi)部網(wǎng)絡(luò)保護(hù)到更深一層，而在兩個(gè)路由器之間形成一個(gè)虛擬網(wǎng)絡(luò)，稱(chēng)之為周邊網(wǎng)絡(luò)，堡壘主機(jī)連接在周邊網(wǎng)絡(luò)上，通過(guò)外部路由器與外部網(wǎng)絡(luò)相連。這樣，如果入侵者突破了外層的防火墻，甚至侵入堡壘主機(jī)，內(nèi)部網(wǎng)絡(luò)依然安全。

2．2 電力企業(yè)信息網(wǎng)防火墻的結(jié)構(gòu)設(shè)計(jì)

電力系統(tǒng)對(duì)安全性的高度要求，企業(yè)信息網(wǎng)絡(luò)的安全問(wèn)題應(yīng)該予以格外關(guān)注。必須組建科學(xué)、嚴(yán)密的防火墻體系，為企業(yè)內(nèi)部網(wǎng)絡(luò)尤其是內(nèi)部網(wǎng)絡(luò)中的SIS子網(wǎng)提供高度的網(wǎng)絡(luò)安全。

電力企業(yè)內(nèi)部網(wǎng)絡(luò)由兩個(gè)安全級(jí)別不同的子網(wǎng) MIS和SIS構(gòu)成，其中SIS對(duì)安全要求更高，因此它僅向MIS提供服務(wù)而不直接與外部網(wǎng)絡(luò)相連，由 MIS向外界提供服務(wù)?；谶@個(gè)特點(diǎn)，防火墻宜采用屏蔽子網(wǎng)的體系結(jié)構(gòu)，如圖2所示。

MIS作為體系中的周邊網(wǎng)，SIS作為內(nèi)部網(wǎng)。設(shè)置兩臺(tái)屏蔽路由器，其中外部路由器設(shè)在MIS與外部網(wǎng)絡(luò)之間，內(nèi)部路由器設(shè)在SIS與MIS之間，對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行過(guò)濾。另外，堡壘主機(jī)連接在

MIS中，對(duì)外作為訪問(wèn)的入口，對(duì)內(nèi)則作為代理服務(wù)器，使內(nèi)部用戶(hù)間接地訪問(wèn)外部服務(wù)器。

應(yīng)該強(qiáng)調(diào)的是，MIS的堡壘主機(jī)極有可能受到襲擊，因?yàn)樗袑?duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)都要經(jīng)過(guò)它，因此，在條件允許的情況下，可以在MIS中配置兩臺(tái)堡壘主機(jī)，當(dāng)一臺(tái)堡壘主機(jī)被攻擊而導(dǎo)致系統(tǒng)崩潰時(shí)，可以由另一臺(tái)主機(jī)提供服務(wù)，以保證服務(wù)的連續(xù)性。同時(shí)，在MIS中配置一臺(tái)處理機(jī)，與內(nèi)部路由器組成安全網(wǎng)關(guān)，可以作為整個(gè)防火墻體系的一部分，控制MIS向SIS的訪問(wèn)以及對(duì)數(shù)據(jù)傳輸進(jìn)行限制，提供協(xié)議、鏈路和應(yīng)用級(jí)保護(hù)。網(wǎng)關(guān)還應(yīng)考慮安全操作系統(tǒng)問(wèn)題，Win2000[4]是一個(gè)可行的選擇。盡管可能還存在一些潛在的漏洞，Win2000依然是目前業(yè)界最安全的操作系統(tǒng)之一。由于SIS僅對(duì)MIS的固定用戶(hù)提供服務(wù)，同時(shí)考慮到SIS的安全要求，對(duì)網(wǎng)關(guān)的管理可以采取Client／Server方式，這樣雖然在實(shí)現(xiàn)上較Browser／Server方式復(fù)雜一些，但卻具有更強(qiáng)的數(shù)據(jù)操縱和事務(wù)處理能力，以及對(duì)數(shù)據(jù)的安全性和完整性的約束能力。2．3 防火墻的缺陷

盡管防火墻在很大程度上實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)的安全，但它的以下幾個(gè)致命的缺陷使得單一采用防火墻技術(shù)仍然是不可靠的。

a．無(wú)法防范病毒。雖然防火墻對(duì)流動(dòng)的數(shù)據(jù)包進(jìn)行嚴(yán)格的過(guò)濾，但針對(duì)的是數(shù)據(jù)包的源地址、目的地址和端口號(hào)，對(duì)數(shù)據(jù)的內(nèi)容并不掃描，因此對(duì)病毒的侵入無(wú)能為力。

b．無(wú)法防范內(nèi)部攻擊。從防火墻的設(shè)計(jì)思想來(lái)看，防范內(nèi)部攻擊從來(lái)就不是它的任務(wù)，它在這方面是一片空白。

c．性能上的限制。防火墻只是按照固定的工作模式來(lái)防范已知的威脅，從這一點(diǎn)來(lái)說(shuō)，防火墻雖然“勤懇”，但是過(guò)于“死板”。

所以，安裝了防火墻的系統(tǒng)還需要其他防御手段來(lái)加以充實(shí)。3 IDS IDS(入侵檢測(cè)系統(tǒng))是一種主動(dòng)防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，在功能上彌補(bǔ)了防火墻的缺陷，使整個(gè)安全防御體系更趨完善、可靠。

3．1 入侵檢測(cè)原理與實(shí)踐

IDS以檢測(cè)及控制[5]為基本思想，為網(wǎng)絡(luò)提供實(shí)時(shí)的入侵檢測(cè)，并采取相應(yīng)的保護(hù)措施。它的設(shè)計(jì)原理一般是根據(jù)用戶(hù)歷史行為建立歷史庫(kù)，或者根據(jù)已知的入侵方法建立入侵模式，運(yùn)行時(shí)從網(wǎng)絡(luò)系統(tǒng)的諸多關(guān)鍵點(diǎn)收集信息，并根據(jù)用戶(hù)行為歷史庫(kù)和入侵模式加以模式匹配、統(tǒng)計(jì)分析和完整性?huà)呙?，以檢測(cè)入侵跡象，尋找系統(tǒng)漏洞。

IDS一般分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS兩種?；谥鳈C(jī)的IDS其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器；基于網(wǎng)絡(luò)的IDS輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流，用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。目前的入侵檢測(cè)產(chǎn)品通常都包括這兩個(gè)部件。

在實(shí)踐中，IDS一般分為監(jiān)測(cè)器和控制臺(tái)兩大部分。為了便于集中管理，一般采用分布式結(jié)構(gòu)，用戶(hù)在控制臺(tái)管理整個(gè)檢測(cè)系統(tǒng)、設(shè)置監(jiān)測(cè)器的屬性、添加新的檢測(cè)方案、處理警報(bào)等。監(jiān)測(cè)器部署在網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)，如內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)、需重點(diǎn)保護(hù)的工作站等，根據(jù)入侵模式檢測(cè)異常行為，當(dāng)發(fā)現(xiàn)入侵時(shí)保存現(xiàn)場(chǎng)，并生成警報(bào)上傳控制臺(tái)。3．2 在電力企業(yè)信息網(wǎng)中運(yùn)用IDS 電力企業(yè)的安全涉及國(guó)家安全和社會(huì)穩(wěn)定，建議盡可能使用國(guó)產(chǎn)檢測(cè)系統(tǒng)，如北京中科網(wǎng)威“天眼”入侵檢測(cè)系統(tǒng)[6]清華紫光Unis入侵檢測(cè)系統(tǒng)等，這些產(chǎn)品在技術(shù)上已相當(dāng)成熟，且在不斷升級(jí)。

安裝IDS的關(guān)鍵步驟是部署檢測(cè)器與控制臺(tái)。針對(duì)電力企業(yè)網(wǎng)絡(luò)的特點(diǎn)，首先，可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測(cè)器(如圖3所示)，以監(jiān)測(cè)異常的入侵企圖。在防火墻與MIS之間部署監(jiān)測(cè)器，以監(jiān)視和分析MIS與外部網(wǎng)絡(luò)的通信流。然后，分別在MIS和SIS中部署一臺(tái)監(jiān)測(cè)器，監(jiān)視各子網(wǎng)的內(nèi)部情況；控制臺(tái)設(shè)置在MIS中。最后，根據(jù)實(shí)際情況為個(gè)別需重點(diǎn)保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測(cè)軟件，保護(hù)重要設(shè)備。

安裝IDS后，更具挑戰(zhàn)性的工作就是有效地運(yùn)行IDS。防火墻在測(cè)試和設(shè)置后便開(kāi)始工作了，而 IDS則不同。IDS提供實(shí)時(shí)檢測(cè)需要管理員“實(shí)時(shí)”地配合，管理員要做好處理各種警報(bào)的準(zhǔn)備工作；在系統(tǒng)發(fā)出警報(bào)時(shí)要判斷是否誤報(bào)，正確處理警報(bào)，決定是否關(guān)閉系統(tǒng)或是繼續(xù)監(jiān)視入侵者以收集證據(jù)等，都需要管理員就地解決。只有管理員及時(shí)采取恰當(dāng)?shù)奶幚矸椒?，才能真正發(fā)揮IDS的功效。4 安全體系的運(yùn)作與后期擴(kuò)充

雖然防火墻的防護(hù)是被動(dòng)的，而IDS是實(shí)時(shí)的，但安全體系(包括各單一主機(jī)自身的安全體系)是作為一個(gè)整體協(xié)同運(yùn)作的。目前的主機(jī)和網(wǎng)絡(luò)設(shè)備都具有完備的安全審計(jì)功能，IDS可以充分利用系統(tǒng)的網(wǎng)絡(luò)日志文件作為必要的數(shù)據(jù)來(lái)源，而當(dāng) IDS發(fā)現(xiàn)可疑行為時(shí)又需要其他主機(jī)或防火墻采取相應(yīng)的保護(hù)措施，例如通知防火墻對(duì)可疑IP地址發(fā)來(lái)的數(shù)據(jù)包進(jìn)行過(guò)濾等。

當(dāng)然，從技術(shù)方面來(lái)說(shuō)，網(wǎng)絡(luò)安全所涉及的范圍是相當(dāng)廣泛的，包括安全的操作系統(tǒng)、防火墻、安全審計(jì)、入侵檢測(cè)、身份認(rèn)證、信息加密、安全掃描、災(zāi)難恢復(fù)等。防火墻結(jié)合IDS只是形成了安全體系基本內(nèi)容，還需要在系統(tǒng)運(yùn)行中運(yùn)用多種技術(shù)不斷充實(shí)安全體系的功能，例如在系統(tǒng)中配置掃描器，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和查找漏洞，升級(jí)防火墻或者向IDS中添加新的攻擊方式等。同時(shí)，任何防御體系都不可能保證系統(tǒng)的絕對(duì)安全，必須不斷提高系統(tǒng)管理人員的技術(shù)水平，密切關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)態(tài)，及時(shí)升級(jí)網(wǎng)絡(luò)防御系統(tǒng)，提高系統(tǒng)的防御能力。5 結(jié)語(yǔ)

當(dāng)前，電力企業(yè)正以原有設(shè)施為基礎(chǔ)，構(gòu)建企業(yè)與電力公司、企業(yè)與企業(yè)間的信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全是一個(gè)不可忽視的問(wèn)題。防火墻與入侵檢測(cè)技術(shù)相結(jié)合，為網(wǎng)絡(luò)安全體系提供了一個(gè)良好的基礎(chǔ)，對(duì)保障系統(tǒng)安全發(fā)揮不可忽視的作用。當(dāng)然，完備的安全體系還需要其他多種安全技術(shù)從功能上進(jìn)一步完善，同時(shí)，安全問(wèn)題不僅是一個(gè)技術(shù)問(wèn)題，也是一個(gè)系統(tǒng)工程，需從組織管理、法律規(guī)范等多方面予以支持。H-2002-5

〖關(guān)閉本頁(yè)〗

第二篇：防火墻技術(shù)在企業(yè)財(cái)務(wù)管理系統(tǒng)中的應(yīng)用

防火墻技術(shù)在企業(yè)財(cái)務(wù)管理系統(tǒng)中的應(yīng)用

2010-06-10 09:02:02 作者：韓曉 來(lái)源：萬(wàn)方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對(duì)局域網(wǎng)中存在的眾多隱患，企業(yè)必須實(shí)施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù) 關(guān)鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務(wù)器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對(duì)局域網(wǎng)中存在的眾多隱患，企業(yè)必須實(shí)施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等，其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文就防火墻技術(shù)在財(cái)務(wù)管理信息系統(tǒng)中的應(yīng)用進(jìn)行較為深入的探討。

1、防火墻技術(shù)

1.1防火墻的基本概念

防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻是用來(lái)防止外部網(wǎng)上的各類(lèi)危險(xiǎn)程序傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)，財(cái)務(wù)上主要用于保護(hù)計(jì)算機(jī)和服務(wù)器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個(gè)防火墻的物理實(shí)現(xiàn)方式可以有所不同，但它通常是1組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合，而從本質(zhì)上看防火墻是1種保護(hù)裝置，用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶(hù)的聲譽(yù)，從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)防火墻是1種訪問(wèn)控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安壘的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問(wèn)，所以防火墻是一道門(mén)檻，控制進(jìn)出2個(gè)方向的通信，防火墻主要用來(lái)保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過(guò)防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過(guò)，同時(shí)記錄有關(guān)的鏈接來(lái)源，服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測(cè)和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)；(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡(luò)地址變換)的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)。用來(lái)緩解地址空間短缺的問(wèn)題；(4)可以連接到1個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開(kāi)，并在此部署004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉(zhuǎn)載請(qǐng)務(wù)必注明出處，違者本網(wǎng)將依法追究責(zé)任。

第三篇：防火墻與入侵檢測(cè)技術(shù)的聯(lián)動(dòng)

山西xxxxxxxx學(xué)院

畢 業(yè) 論 文（設(shè)計(jì)）

防火墻與入侵檢測(cè)技術(shù)的聯(lián)動(dòng)

———————————————————

論文指導(dǎo)教師姓名：

（職稱(chēng)）

所在系及專(zhuān)業(yè)名稱(chēng)： 計(jì)算機(jī)系計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

班級(jí)：

論文提交日期： 2011年

月

日 論文答辯日期：

****年**月**日

答辯委員會(huì)主席：_____________

評(píng) 閱 人：_____________ 年 月 日

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

論文題目：防火墻與入侵檢測(cè)技術(shù)的聯(lián)動(dòng) 專(zhuān) 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

畢 業(yè) 生： 簽名： 指導(dǎo)教師： 簽名：

摘 要

網(wǎng)絡(luò)的迅猛發(fā)展在給人們帶來(lái)巨大的便利的同時(shí)，也給人們帶來(lái)了眾多的煩惱。防火墻與入侵檢測(cè)的聯(lián)動(dòng)，使安全防御體系由靜態(tài)防御升級(jí)為動(dòng)態(tài)防御,提高了網(wǎng)絡(luò)的整體防御能力，體現(xiàn)了網(wǎng)絡(luò)安全的整體性和動(dòng)態(tài)性，具有重要的研究意義和實(shí)用價(jià)值。

本文在深入研究和分析現(xiàn)有聯(lián)動(dòng)模型的基礎(chǔ)上，結(jié)合它們的優(yōu)點(diǎn)，并考慮聯(lián)動(dòng)系統(tǒng)的可實(shí)現(xiàn)性、易用性和可擴(kuò)展性，設(shè)計(jì)并實(shí)現(xiàn)了NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測(cè)聯(lián)動(dòng)模型。

本文首先介紹了課題研究的背景，并對(duì)目前代表性的聯(lián)動(dòng)技術(shù)進(jìn)行了研究。接著根據(jù)聯(lián)動(dòng)系統(tǒng)的功能組成，分別分析了防火墻技術(shù)、入侵檢測(cè)技術(shù)和聯(lián)動(dòng)技術(shù)，為 NSS 防火墻與入侵檢測(cè)聯(lián)動(dòng)模型的設(shè)計(jì)與實(shí)現(xiàn)打下了堅(jiān)實(shí)的理論基礎(chǔ)。

其次，本文從功能角度詳細(xì)描述了 NSS 聯(lián)動(dòng)模型各模塊的詳細(xì)設(shè)計(jì)包括各主要模塊的設(shè)計(jì)思想、體系結(jié)構(gòu)和具體軟件配置等。

關(guān)鍵詞：防火墻，入侵檢測(cè)，聯(lián)動(dòng)，分析，動(dòng)態(tài)規(guī)則，SSL

目錄 緒論..............................................................................................................................................4

1.1 研究背景.......................................................................................................................4

1.1.1 網(wǎng)絡(luò)安全現(xiàn)狀...................................................................................................4 1.1.2 本文研究?jī)?nèi)容及結(jié)構(gòu)安排...............................................................................5 防火墻與入侵檢測(cè)聯(lián)動(dòng)技術(shù)分析.........................................................................................6

2.1

防火墻技術(shù)分析............................................................................................................6

2.1.1 防火墻簡(jiǎn)介.....................................................................................................6 2.1.2 防火墻關(guān)鍵技術(shù).............................................................................................6 2.1.3 防火墻發(fā)展趨勢(shì).............................................................................................7 2.2 入侵檢測(cè)技術(shù)分析.......................................................................................................7

2.2.1 入侵檢測(cè)系統(tǒng).................................................................................................7 2.2.2 入侵檢測(cè)分析手段.........................................................................................8 2.2.3 入侵檢測(cè)系統(tǒng)分類(lèi).........................................................................................8 NSS聯(lián)動(dòng)技術(shù)的設(shè)計(jì)與實(shí)施分析............................................................................................10 3.1 聯(lián)動(dòng)產(chǎn)生的背景.......................................................................................................10 3.2 聯(lián)動(dòng)模型的設(shè)計(jì)目標(biāo)和設(shè)計(jì)思想...........................................................................10 3.2.1 NSS 聯(lián)動(dòng)模型的設(shè)計(jì)目標(biāo)...........................................................................10 3.2.2 NSS 聯(lián)動(dòng)模型的設(shè)計(jì)思想.............................................................................11 3.3 NSS 聯(lián)動(dòng)模型的基本設(shè)計(jì).........................................................................................11 3.4 NSS 聯(lián)動(dòng)模型各模塊的具體設(shè)計(jì).............................................................................12 3.4.1 入侵檢測(cè)系統(tǒng)模塊.........................................................................................12 3.4.2 防火墻模塊...................................................................................................13 3.4.3 聯(lián)動(dòng)模塊.........................................................................................................14 3.4.4 管理控制模塊.................................................................................................15 4 總結(jié)與展望.............................................................................................................................16

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文 緒論

1.1 研究背景

1.1.1 網(wǎng)絡(luò)安全現(xiàn)狀

通信技術(shù)和計(jì)算機(jī)技術(shù)的迅猛發(fā)展，給 IT 及相關(guān)行業(yè)注入了新的生機(jī)和活力,給社會(huì)生產(chǎn)、生活方式帶來(lái)了革命性的影響。眾多的企業(yè)、組織、政府部門(mén)與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到 Internet 上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。網(wǎng)絡(luò)已經(jīng)成為社會(huì)和經(jīng)濟(jì)發(fā)展強(qiáng)大動(dòng)力，其地位越來(lái)越重要，已經(jīng)成為國(guó)家的經(jīng)濟(jì)基礎(chǔ)和命脈。但是伴隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全的問(wèn)題也越來(lái)越嚴(yán)重，網(wǎng)絡(luò)入侵及安全事件更是頻繁發(fā)生。

網(wǎng)絡(luò)面臨的主要威脅主要來(lái)自下面幾方面: 1.黑客的攻擊

黑客對(duì)于大家來(lái)說(shuō)，不再是一個(gè)高深莫測(cè)的人物，黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展，目前，世界上有 20 多萬(wàn)個(gè)黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而系統(tǒng)、站點(diǎn)遭受攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，是網(wǎng)絡(luò)安全的主要威脅。

2.管理的欠缺

網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶(hù)免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶(hù)的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團(tuán)體ITAA 的調(diào)查顯示，美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前，美國(guó)75%－85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中 25%的企業(yè)損失在25萬(wàn)美元以上。

3.網(wǎng)絡(luò)的缺陷

因特網(wǎng)的共享性和開(kāi)放性使網(wǎng)上信息安全存在先天不足，因?yàn)槠滟?lài)以生存的

TCP/IP 協(xié)議族，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì) 因局部故障而影響信息的傳輸，基本沒(méi)有考慮安全問(wèn)題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。

4.軟件的漏洞或“后門(mén)” 隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免的存

在，比如我們常用的操作系統(tǒng)，無(wú)論是 Windows 還是 UNIX 幾乎都存在或多或少的安全漏洞，眾多的各類(lèi)服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過(guò)存在安全隱患。大家熟悉病毒大都是利用微軟系統(tǒng)的漏洞給企業(yè)造成巨大損失,可以說(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞,這也是網(wǎng)絡(luò)安全的主要威脅之一。

5.網(wǎng)絡(luò)內(nèi)部攻擊

防火墻安全策略的設(shè)置的一個(gè)基本假設(shè)是，網(wǎng)絡(luò)的一邊即外部的人是不可信的，另一邊即內(nèi)部是可信的，但在實(shí)際網(wǎng)絡(luò)中，據(jù)統(tǒng)計(jì)70%的攻擊和越權(quán)訪問(wèn)來(lái)自與內(nèi)部，內(nèi)部人員的不當(dāng)操作和惡意行為已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅之一。

1.1.2 本文研究?jī)?nèi)容及結(jié)構(gòu)安排

第一章：緒論。

首先介紹了本文的研究背景和內(nèi)容現(xiàn)狀，概述了網(wǎng)絡(luò)安全的現(xiàn)狀。最后介紹了本文的研究?jī)?nèi)容和結(jié)構(gòu)安排。

第二章：聯(lián)動(dòng)技術(shù)及理論分析。

本章首先對(duì)防火墻和入侵檢測(cè)進(jìn)行了基本的闡述，然后分析研究了當(dāng)前防火墻與入侵檢測(cè)技術(shù)及發(fā)展趨勢(shì)其理論模型，為 NSS（Netfilter-Snort-Stunnel）聯(lián)動(dòng)模型設(shè)計(jì)和實(shí)施打下了堅(jiān)實(shí)的理論基礎(chǔ)。

第三章：NSS 聯(lián)動(dòng)模型的設(shè)計(jì)與實(shí)施分析。

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

本章在第二章對(duì)防火墻與入侵檢測(cè)聯(lián)動(dòng)方式的研究分析基礎(chǔ)上，結(jié)合現(xiàn)有聯(lián)動(dòng)模型的優(yōu)點(diǎn)，著重對(duì)防火墻與入侵檢測(cè)之間的整合方式進(jìn)行了探討，設(shè)計(jì)了NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型，并給出了模型的體系結(jié)構(gòu)圖。第四章：聯(lián)動(dòng)系統(tǒng)與陷阱系統(tǒng)有機(jī)整合 本章結(jié)合實(shí)際，對(duì)防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型在實(shí)際網(wǎng)絡(luò)中的應(yīng)用進(jìn)行了研究，著重研究了聯(lián)動(dòng)系統(tǒng)與陷阱系統(tǒng)有機(jī)整合以實(shí)現(xiàn)更加全面的縱深防御體。第五章：總結(jié)和展望。對(duì)全文的主要工作進(jìn)行了總結(jié)，并對(duì)未來(lái)的工作進(jìn)行了展望。防火墻與入侵檢測(cè)聯(lián)動(dòng)技術(shù)分析 2.1

防火墻技術(shù)分析

2.1.1 防火墻簡(jiǎn)介

在計(jì)算機(jī)科學(xué)中，防火墻是指位于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間并對(duì)經(jīng)過(guò)其間的網(wǎng)絡(luò)流量進(jìn)行檢查的網(wǎng)絡(luò)安全設(shè)備，其核心思想是通過(guò)監(jiān)測(cè)和控制網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，在信任程度不同的網(wǎng)絡(luò)之間（如Internet 或有著一定風(fēng)險(xiǎn)的局域網(wǎng)之間）構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境，其中被保護(hù)的網(wǎng)絡(luò)稱(chēng)為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱(chēng)為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶(hù)的訪問(wèn)和過(guò)濾不良信息的目的。典型防火墻系統(tǒng)應(yīng)具有以下幾個(gè)方面的特征：

1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。2.只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。3.防火墻能經(jīng)受得起對(duì)其本身的攻擊。

2.1.2 防火墻關(guān)鍵技術(shù)

1.數(shù)據(jù)包過(guò)濾(Packet Filtering)

數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置 的過(guò)濾邏輯，被稱(chēng)為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。

2.狀態(tài)檢測(cè)(State Detecting)狀態(tài)檢測(cè)防火墻在不斷開(kāi)C/S的模式的前提下，提供一個(gè)完全的應(yīng)用層感知。在狀態(tài)檢測(cè)防火墻里，信息包在網(wǎng)絡(luò)層就被截取了，然后，防火墻從接收到的數(shù)據(jù)包中提取與安全策略相關(guān)的狀態(tài)信息，并將這些信息保存在一個(gè)動(dòng)態(tài)狀態(tài)表中，用于驗(yàn)證后續(xù)的連接請(qǐng)求。

3.代理服務(wù)(Proxy)代理服務(wù)(Proxy)是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器(ProxyServer)作用在應(yīng)用層上，它用來(lái)提供應(yīng)用層服務(wù)的控制，利用代理服務(wù)器起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。

2.1.3 防火墻發(fā)展趨勢(shì)

防火墻從技術(shù)發(fā)展上來(lái)看，提高性能和采用模塊化設(shè)計(jì)是主要方向。防火墻處理能力的提高主要集中在兩個(gè)方面，硬件結(jié)構(gòu)的優(yōu)化和軟件算法的更新。硬件結(jié)構(gòu)的優(yōu)化是走向軟硬件一體化，充分發(fā)揮硬件最高效能，又提高系統(tǒng)自身的安全性。功能設(shè)計(jì)的模塊化提高了防火墻的適應(yīng)能力，處理能力提高是追求防火墻性能的線速處理能力，達(dá)到對(duì)整個(gè)會(huì)話(huà)過(guò)曾中所有傳輸內(nèi)容進(jìn)行檢查。審計(jì)報(bào)告也向智能化方向發(fā)展，在報(bào)告的基礎(chǔ)上對(duì)整個(gè)網(wǎng)絡(luò)安全狀況進(jìn)行全盤(pán)的把握，并進(jìn)行總結(jié)改進(jìn)，依據(jù)充分的日志記錄，為用戶(hù)提供詳細(xì)又靈活的使用情況分析報(bào)告，為網(wǎng)絡(luò)管理人員提供一個(gè)全局的視角。網(wǎng)絡(luò)安全不能單一的依靠防火墻，而應(yīng)與其他安全技術(shù)相融合。所以與入侵檢測(cè)、防病毒技術(shù)、反垃圾郵件技術(shù)、信息加密技術(shù)的協(xié)同聯(lián)動(dòng)，形成一個(gè)立體全面的網(wǎng)絡(luò)安全防御體系，也是未來(lái)防火墻的一個(gè)發(fā)展趨勢(shì)。

2.2 入侵檢測(cè)技術(shù)分析

2.2.1 入侵檢測(cè)系統(tǒng)

實(shí)施入侵檢測(cè)的系統(tǒng)稱(chēng)為入侵檢測(cè)系統(tǒng)(IDS)。衡量入侵檢測(cè)系統(tǒng)的兩個(gè)基

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

本指標(biāo)為檢測(cè)率和誤報(bào)率，兩者分別從正、反兩方面表明檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確性和有效性。實(shí)用的入侵檢測(cè)系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的檢測(cè)率而降低誤報(bào)率，但在實(shí)際的檢測(cè)系統(tǒng)中這兩個(gè)指標(biāo)存在一定的矛盾，實(shí)現(xiàn)上需要綜合考慮。除檢測(cè)率和誤報(bào)率外，在實(shí)際設(shè)計(jì)和實(shí)現(xiàn)具體的入侵檢測(cè)系統(tǒng)時(shí)還應(yīng)考慮操作方便性、抗攻擊 能力、系統(tǒng)開(kāi)銷(xiāo)大小、可擴(kuò)展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實(shí)時(shí)性等。從系統(tǒng)組成上看，入侵檢測(cè)系統(tǒng)一般由三個(gè)部分組成：數(shù)據(jù)采集、入侵檢測(cè)、入侵響應(yīng)。

2.2.2 入侵檢測(cè)分析手段

目前，IDS 分析及檢測(cè)入侵階段一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析：特征匹配、統(tǒng)計(jì)分析、完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則常用于事后分析。

1.特征匹配

特征匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

2.完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖淮鄹?，包括文件和目錄的?nèi)容及屬性。它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。

3.統(tǒng)計(jì)分析

統(tǒng)計(jì)分析首先給信息對(duì)象（如用戶(hù)、連接、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)

統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、讀寫(xiě)次數(shù)、操作失敗 次數(shù)和延時(shí)等）。

2.2.3 入侵檢測(cè)系統(tǒng)分類(lèi)

從入侵檢測(cè)系統(tǒng)所采用的分析技術(shù)來(lái)看，它可以分為采用異常檢測(cè)的入侵檢測(cè)系統(tǒng)和采用誤用檢測(cè)的入侵檢測(cè)系統(tǒng)。1.誤用檢測(cè)(Misuse Detection)誤用檢測(cè)是指根據(jù)已知入侵所獨(dú)有的模式或特征，監(jiān)視特定目標(biāo)的特定行為，通過(guò)對(duì)檢測(cè)數(shù)據(jù)的模式匹配來(lái)進(jìn)行的檢測(cè)。誤用檢測(cè)的關(guān)鍵是如何發(fā)現(xiàn)并表

達(dá)入侵獨(dú)有的模式或特征，把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。誤用檢測(cè)的優(yōu)點(diǎn)是可明確地指出入侵的類(lèi)型，誤報(bào)少，準(zhǔn)確性高。而局限性是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。誤用檢測(cè)模型如圖 2.1 所示。

2.異常檢測(cè)(Anomaly Detection)異常檢測(cè)假設(shè)入侵者活動(dòng)異常于正常的活動(dòng)。為實(shí)現(xiàn)該類(lèi)檢測(cè)，IDS 建立正?；顒?dòng)的“規(guī)范集(Normal profile)”，當(dāng)主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。異常檢測(cè)的優(yōu)點(diǎn)之一為具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

常用的入侵檢測(cè)統(tǒng)計(jì)模型為：操作模型、方差、計(jì)算參數(shù)的方差、多元模型、馬爾柯夫過(guò)程模型和時(shí)間序列分析。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶(hù)的 使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī) 會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。異常檢測(cè)的模型如圖 2.2 所示。

2.2.4 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)

入侵檢測(cè)在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測(cè)方法，如數(shù)據(jù)融合技術(shù)、主動(dòng)的自主代理方法、智能技術(shù)以及免疫學(xué)原理的應(yīng)用。其主要的發(fā)展方向可概括為:

1.大規(guī)模分布式入侵檢測(cè) 2.寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè) 3.入侵檢測(cè)的數(shù)據(jù)融合技術(shù) 4.與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合 NSS聯(lián)動(dòng)技術(shù)的設(shè)計(jì)與實(shí)施分析

3.1 聯(lián)動(dòng)產(chǎn)生的背景

真正的網(wǎng)絡(luò)安全應(yīng)該是一個(gè)綜合的、動(dòng)靜結(jié)合的、關(guān)聯(lián)互動(dòng)的安全體系。不但應(yīng)有多種相關(guān)技術(shù)的有機(jī)集成，也應(yīng)該有多種安全產(chǎn)品之間的動(dòng)態(tài)聯(lián)動(dòng)，若僅僅是相關(guān)安全產(chǎn)品的簡(jiǎn)單疊加是遠(yuǎn)遠(yuǎn)不夠的。正因如此，聯(lián)動(dòng)思想應(yīng)運(yùn)而生，并逐漸成為網(wǎng)絡(luò)安全研究的熱點(diǎn)。

3.2 聯(lián)動(dòng)模型的設(shè)計(jì)目標(biāo)和設(shè)計(jì)思想

3.2.1 NSS 聯(lián)動(dòng)模型的設(shè)計(jì)目標(biāo)

一個(gè)有效的聯(lián)動(dòng)模型需要考慮和解決以下問(wèn)題： 1.聯(lián)動(dòng)的有效性

針對(duì)具體入侵行為，聯(lián)動(dòng)系統(tǒng)所采取的響應(yīng)措施應(yīng)該能夠有效阻止入侵的延續(xù)和最大限度降低系統(tǒng)損失，這也是聯(lián)動(dòng)的目的。

2.聯(lián)動(dòng)的實(shí)時(shí)性

聯(lián)動(dòng)的目標(biāo)是及時(shí)地采取措施以盡量降低入侵對(duì)系統(tǒng)造成的危害，需要盡可能地縮短入侵發(fā)現(xiàn)和響應(yīng)實(shí)施之間的時(shí)間窗口，即縮短響應(yīng)時(shí)間。這一方面要求 響應(yīng)決策和響應(yīng)執(zhí)行的計(jì)算復(fù)雜度不能太高，另一方面要求系統(tǒng)有預(yù)測(cè)攻擊者意圖的能力。

3.聯(lián)動(dòng)系統(tǒng)自身的安全性

聯(lián)動(dòng)系統(tǒng)的作用在于保護(hù)網(wǎng)絡(luò)及主機(jī)免遭非法入侵，顯然其自身的安全性是最基本的要求。安全性的要求使入侵響應(yīng)策略不能是簡(jiǎn)單的靜態(tài)策略，而是能夠具有時(shí)效性和自刪除性。

3.2.2 NSS 聯(lián)動(dòng)模型的設(shè)計(jì)思想

在 NSS 聯(lián)動(dòng)模型中，防火墻作為網(wǎng)絡(luò)的第一道安全屏障，根據(jù)預(yù)先設(shè)定好的安全策略來(lái)控制網(wǎng)絡(luò)流量，并阻擋一部分外來(lái)的入侵。另外，入侵檢測(cè)系統(tǒng)時(shí)刻檢測(cè)網(wǎng)絡(luò)動(dòng)態(tài)信息，一旦發(fā)現(xiàn)異常情況或者攻擊行為，便通過(guò)加密通道向聯(lián)動(dòng)模塊發(fā)送告警信息，聯(lián)動(dòng)模塊提取其中的重要信息（入侵事件類(lèi)型、源地址、源端口、目的地址、目的端口）等，對(duì)其進(jìn)行綜合分析，擬定合適的響應(yīng)策略發(fā)送給防火墻模塊，防火墻模塊根據(jù)接收到的控制信息添加阻斷規(guī)則以實(shí)現(xiàn)動(dòng)態(tài)響應(yīng)。NSS 聯(lián)動(dòng)模型中通過(guò)聯(lián)動(dòng)模塊來(lái)進(jìn)行防火墻模塊與入侵檢測(cè)模塊之間的信息交互。聯(lián)動(dòng)模塊作為整個(gè)系統(tǒng)的核心的部分，需要對(duì)入侵告警信息進(jìn)行綜合、分析、處理，并制定、調(diào)整相關(guān)的響應(yīng)策略。經(jīng)過(guò)聯(lián)動(dòng)模塊的綜合分析，不僅能減少誤報(bào)率，防止對(duì)防火墻模塊造成 Dos 攻擊。而且可以減少安全組件間的通信流量，有效提高系統(tǒng)的性能。

3.3 NSS 聯(lián)動(dòng)模型的基本設(shè)計(jì)

本章根據(jù)通用的安全聯(lián)動(dòng)系統(tǒng)的決策流程，采用間接聯(lián)動(dòng)、開(kāi)放接口的方式設(shè)計(jì)了一種基于 Linux平臺(tái)的 NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)模型。并對(duì)聯(lián)動(dòng)模型的主要的功能模塊的設(shè)計(jì)進(jìn)行了詳細(xì)的分析 描述。NSS 聯(lián)動(dòng)模型主要由四部分組成，分別為防火墻模塊，入侵檢測(cè)模塊，聯(lián)動(dòng)模塊以及管理控制模塊。

圖 3.1 為 NSS 聯(lián)動(dòng)模型的基本架構(gòu)圖。

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

3.4 NSS 聯(lián)動(dòng)模型各模塊的具體設(shè)計(jì)

3.4.1 入侵檢測(cè)系統(tǒng)模塊

入侵檢測(cè)系統(tǒng)模塊主要完成入侵檢測(cè)、入侵告警及日志記錄等功能。入侵檢測(cè)系統(tǒng)模塊結(jié)構(gòu)如圖 3.2 所示，包括數(shù)據(jù)采集模塊、規(guī)則匹配模塊、入侵告警模塊和日志記錄模塊。

1.數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊截獲網(wǎng)絡(luò)數(shù)據(jù)包從而獲得網(wǎng)絡(luò)事件，并對(duì)事件進(jìn)行預(yù)處理，以便規(guī)則匹配模塊進(jìn)行進(jìn)一步處理；

2.規(guī)則匹配模塊

規(guī)則匹配模塊采用誤用檢測(cè)的方法把從數(shù)據(jù)采集模塊中所獲得的事件記錄與規(guī)則庫(kù)中的規(guī)則一一匹配。

3.入侵告警模塊

此模塊負(fù)責(zé)按照規(guī)則匹配的結(jié)果生成入侵告警信息。該告警信息應(yīng)包括入侵發(fā)生時(shí)間、入侵種類(lèi)、協(xié)議類(lèi)型、入侵源 IP 地址與端口、入侵目的 IP 地址與端口等，為聯(lián)動(dòng)做準(zhǔn)備。

4.日志記錄模塊

日志記錄模塊負(fù)責(zé)將入侵告警信息存入日志記錄庫(kù)，為進(jìn)一步的分析入侵事件或日后取證提供必要的依據(jù)。

3.4.2 防火墻模塊

防火墻模塊主要負(fù)責(zé)執(zhí)行數(shù)據(jù)包處理的功能，并且根據(jù)聯(lián)動(dòng)模塊發(fā)送的策略

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

響應(yīng)控制信息生成相應(yīng)的防火墻動(dòng)態(tài)阻斷規(guī)則，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)阻斷。根據(jù)上述功能需求，我們?cè)O(shè)計(jì)了圖 3.4 所示防火墻模塊。該模塊包括控制信息解析子模塊、動(dòng)態(tài)規(guī)則處理子模塊及數(shù)據(jù)包處理模塊。

1．控制信息解析模塊 2．動(dòng)態(tài)規(guī)則處理模塊 3．?dāng)?shù)據(jù)包處理模塊 最后，為實(shí)現(xiàn)系統(tǒng)的完整性，還需開(kāi)發(fā)防火墻系統(tǒng)的日志審計(jì)系統(tǒng)。日志審計(jì)系統(tǒng)包括響應(yīng)事件存儲(chǔ)數(shù)據(jù)庫(kù)及防火墻流量記錄數(shù)據(jù)庫(kù)，并提供顯示查詢(xún)的 WEB 接口，本文將這一部分功能集成到了管理控制模塊。

3.4.3 聯(lián)動(dòng)模塊

聯(lián)動(dòng)模塊是 NSS 模型最為重要的部分，它不僅承擔(dān)為入侵檢測(cè)系統(tǒng)模塊和防火墻模塊提供安全可信的信息交互通道，并且還需對(duì)入侵事件進(jìn)行綜合分析和響應(yīng)決策。聯(lián)動(dòng)模塊主要完成對(duì)入侵檢測(cè)系統(tǒng)生成的告警信息進(jìn)行分類(lèi)和優(yōu)先級(jí)標(biāo)定，然后根據(jù)不同的告警事件提供不同的響應(yīng)策略。另外，聯(lián)動(dòng)模塊還負(fù)責(zé)信息交互的安全性。模塊間的信息交互需采用統(tǒng)一的格式，當(dāng)有入侵事件發(fā)生時(shí)，從入侵事件中提取相關(guān)信息，生成特定的控制信息，然后通過(guò)安全通信方式發(fā)送給防火墻。

針對(duì)聯(lián)動(dòng)模塊的主要功能需求，我們分別加以闡述。1．聯(lián)動(dòng)模塊的安全通信

由于防火墻對(duì)于防火墻與入侵檢測(cè)系統(tǒng)之間的通信，應(yīng)考慮以下問(wèn)題： 1)交互的信息應(yīng)有標(biāo)準(zhǔn)的表示機(jī)制，并能夠支持?jǐn)U展。2)保證信息交互的安全性。3)應(yīng)該保證傳輸?shù)膶?shí)時(shí)性。

基于以上考慮，本文采取基于 XML [14]國(guó)際標(biāo)準(zhǔn)的信息格式進(jìn)行控制信息的傳遞處理，底層通過(guò) SSL [15]等加密方式對(duì)報(bào)文進(jìn)行加密傳輸。

2．聯(lián)動(dòng)模塊的策略管控

由于入侵檢測(cè)系統(tǒng)不可避免的存在誤報(bào)和漏報(bào)，所以若是對(duì)入侵檢測(cè)系統(tǒng)生成的入侵告警事件不加區(qū)分，一概發(fā)送給防火墻添加動(dòng)態(tài)規(guī)則加以阻斷，這無(wú)疑會(huì)大大加重防火墻的負(fù)擔(dān)，浪費(fèi)兩者之間寶貴的通信帶寬，實(shí)在是得不償失。并且攻擊者有可能利用入侵檢測(cè)誤報(bào)率高的弱點(diǎn)，不斷的發(fā)送攻擊數(shù)據(jù)包，入侵檢測(cè)系統(tǒng)不斷產(chǎn)生告警信息，則這就會(huì)對(duì)防火墻形成 Dos 攻擊。具體架構(gòu)如圖 3.3

3.4.4 管理控制模塊

管理控制模塊是用戶(hù)與系統(tǒng)的一個(gè)交互平臺(tái)，主要提供對(duì)聯(lián)動(dòng)模塊的配置及

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

管理功能，日志審計(jì)功能等。管理控制模塊可以分為以下幾個(gè)子模塊：配置信息讀寫(xiě)模塊，日志審計(jì)模塊，人工控制?？?。配置信息讀寫(xiě)模塊：主要負(fù)責(zé)對(duì)聯(lián)動(dòng)模塊的配置加以設(shè)和查看，包括聯(lián)動(dòng)組件的 IP 地址設(shè)定、聯(lián)動(dòng)模塊的加密通信的證書(shū)設(shè)定等。另外新聯(lián)動(dòng)組件的加入或移除也需通過(guò)該模塊更改相關(guān)的配置。日志審計(jì)模塊：主要提供查看入侵告警日志及防火墻日志的功能，用戶(hù)可根據(jù)日志信息調(diào)整安全策略以因應(yīng)安全形勢(shì)的變化。人工控制模塊：根據(jù)實(shí)際需求更改、添加或刪除策略響應(yīng)，或者在遇到緊急情況下斷開(kāi)聯(lián)動(dòng)機(jī)制，實(shí)施人工干預(yù)，以保證系統(tǒng)安全?？偨Y(jié)與展望

當(dāng)前，單一的網(wǎng)絡(luò)安全防御技術(shù)已無(wú)法適應(yīng)網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，急需多種安全技術(shù)整合構(gòu)建全面的防御體系。本文研究的防火墻與入侵檢測(cè)的聯(lián)動(dòng)技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)的動(dòng)態(tài)和全面安全防護(hù)，具有十分重要的現(xiàn)實(shí)意義。本文的主要工作有： 1.分析了聯(lián)動(dòng)技術(shù)的研究現(xiàn)狀、對(duì)現(xiàn)存的代表性聯(lián)動(dòng)技術(shù)進(jìn)行了研究。對(duì)防火墻與入侵檢測(cè)聯(lián)動(dòng)技術(shù)的關(guān)鍵技術(shù)進(jìn)行了深入的研究和分析，著重對(duì)防火墻與入侵檢測(cè)的不同整合方式進(jìn)行了探討和比較。2.結(jié)合現(xiàn)有聯(lián)動(dòng)模型的優(yōu)點(diǎn)，設(shè)計(jì)了采用通用開(kāi)放接口、間接聯(lián)動(dòng)方式的 NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型，并給出 了模型的體系結(jié)構(gòu)圖。然后從功能的角度對(duì) NSS 聯(lián)動(dòng)模型進(jìn)行了劃分，并詳細(xì)介紹了各個(gè)模塊的體系結(jié)構(gòu)和功能設(shè)計(jì)。

3.詳細(xì)介紹和闡述了 NSS 聯(lián)動(dòng)模型各模塊的實(shí)現(xiàn)細(xì)節(jié)，包括模塊架構(gòu)，具體算法，決策流程圖、信息交互格式及所需軟件的配置并附上一些模塊具體實(shí)現(xiàn)代碼。在入侵檢測(cè)模塊的實(shí)現(xiàn)中，針對(duì)入侵檢測(cè)誤報(bào)率高的問(wèn)題提出了一個(gè)簡(jiǎn)單的改進(jìn)機(jī)制，并對(duì)告警信息的格式進(jìn)行了定義。在今后的工作中要： 1.進(jìn)一步完善 NSS 模型的入侵檢測(cè)系統(tǒng)的效率，減少誤報(bào)率。研究神經(jīng)網(wǎng)絡(luò)及其他智能檢測(cè)手段在入侵檢測(cè)系統(tǒng)中的應(yīng)用。

2.對(duì)事件分析，策略決策和響應(yīng)模型需進(jìn)行更深入的研究，完善和優(yōu)化

NSS模型的策略決策與響應(yīng)流程。3.研究不同安全產(chǎn)品之間的數(shù)據(jù)交換標(biāo)準(zhǔn)。目前國(guó)際上還沒(méi)有安全產(chǎn)品間數(shù)據(jù)交互的通用標(biāo)準(zhǔn)，如何使防火墻、IDS、防病毒系統(tǒng)、VPN 等不同安全產(chǎn)品之間進(jìn)行“無(wú)縫”的數(shù)據(jù)交換是困擾聯(lián)動(dòng)技術(shù)發(fā)展的一大問(wèn)題。4.繼續(xù)深入研究網(wǎng)絡(luò)安全縱深防御體系，并在防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)之外和其他的安全技術(shù)實(shí)現(xiàn)更加完善的整合。5.研究分布式防火墻與分布式入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)模型，針對(duì)分布式的聯(lián)動(dòng)模塊的策略決策與響應(yīng)進(jìn)行深入的研究。

由于本人的水平與時(shí)間所限，許多工作還處于探索階段，論文中的疏漏與錯(cuò)誤在所難免，敬請(qǐng)各位專(zhuān)家，老師，同學(xué)指正。謝謝！

山西財(cái)貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

第四篇：防火墻技術(shù)在電子商務(wù)中的應(yīng)用

防火墻技術(shù)在電子商務(wù)中的應(yīng)用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務(wù)的概念及交易問(wèn)題.....................................................(2)

（一）、什么是電子商務(wù)............................................................(2)(二)、電子商務(wù)的交易過(guò)程.................................................(2)

二、電子商務(wù)中的信息安全問(wèn)題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務(wù)中的信息安全問(wèn)題及威脅.....................................(4)

三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)

四、防火墻的簡(jiǎn)介與使用的益處.........................................(6)

五、防火墻常用技術(shù)和性能......................................................（11）

六、結(jié)論........................................................................(14)參考文獻(xiàn)........................................................................(14)

淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用

內(nèi)容摘要：防火墻技術(shù)作為保證電子商務(wù)活動(dòng)中信息安全的第一道有效屏障，受到越來(lái)越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過(guò)程、交易過(guò)程中的信息安全問(wèn)題及威脅、重點(diǎn)介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機(jī)制的基礎(chǔ)。

關(guān)鍵詞：防火墻

電子商務(wù)

應(yīng)用 正文:

一、電子商務(wù)的概念及交易問(wèn)題(一)什么是電子商務(wù)

電子商務(wù)源于英文Electronic Commerce，簡(jiǎn)寫(xiě)為EC。是指一個(gè)機(jī)構(gòu)利用信息和技術(shù)手段，改變其和供應(yīng)商、用戶(hù)、員工、合作伙伴、管理部門(mén)的互動(dòng)關(guān)系，從而使自己變成為機(jī)動(dòng)響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機(jī)構(gòu)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機(jī)、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購(gòu)物，電子商務(wù)以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動(dòng)（如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣(mài)、協(xié)作、在線資源利用、消費(fèi)品營(yíng)銷(xiāo)和售后服務(wù)）。它涉及產(chǎn)品（消費(fèi)品和工業(yè)品）和服務(wù)（信息服務(wù)、財(cái)務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。

(二)、電子商務(wù)的交易過(guò)程

企業(yè)間電子商務(wù)交易過(guò)程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個(gè)階段。

(1)交易前的準(zhǔn)備

買(mǎi)賣(mài)雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動(dòng)。買(mǎi)方根據(jù)自己要買(mǎi)的商品，準(zhǔn)備購(gòu)貨款，制訂購(gòu)貨計(jì)劃，進(jìn)行貨源的市場(chǎng)調(diào)查和分析，反復(fù)進(jìn)行市場(chǎng)查詢(xún)，通過(guò)交換信息來(lái)比較價(jià)格和條件，了解各個(gè)賣(mài)方國(guó)家的貿(mào)易政策，反復(fù)修改購(gòu)貨計(jì)劃和進(jìn)貨計(jì)劃，確定和審批購(gòu)貨計(jì)劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿(mǎn)意的商品和商家。然后修改并最后確定和審批購(gòu)貨計(jì)劃，再按計(jì)劃確定購(gòu)買(mǎi)商品的種類(lèi)、規(guī)格、數(shù)量、價(jià)格、購(gòu)貨地點(diǎn)和交易方式等。而賣(mài)方則對(duì)自己所銷(xiāo)售的商品，進(jìn)行全面的市場(chǎng)調(diào)查和分析，了解各個(gè)買(mǎi)方國(guó)家的貿(mào)易政策，制訂各種銷(xiāo)售策略和銷(xiāo)售方式，制作廣告進(jìn)行宣傳，召開(kāi)商品新聞發(fā)布會(huì)，利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴(kuò)大影響，尋找貿(mào)易伙伴和交易機(jī)會(huì)，擴(kuò)大貿(mào)易范圍和商品所占市場(chǎng)的份額。

參加交易的其他各方如中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等，買(mǎi)賣(mài)雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。

(2)交易談判和簽訂貿(mào)易合同

買(mǎi)賣(mài)雙方在這一階段利用電子商務(wù)系統(tǒng)對(duì)所有交易細(xì)節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書(shū)面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法，經(jīng)過(guò)認(rèn)真談判和磋商后，將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購(gòu)買(mǎi)商品的種類(lèi)、數(shù)量、價(jià)格、交貨地點(diǎn)、交貨期、交易方式和運(yùn)輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進(jìn)行簽約，也可以通過(guò)數(shù)字簽名等方式簽約。

(3)辦理交易進(jìn)行前的手續(xù)

買(mǎi)賣(mài)雙方從簽訂合同到開(kāi)始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準(zhǔn)備過(guò)程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等與交易有關(guān)的各方。買(mǎi)賣(mài)雙方要利用EDI與有關(guān)各方進(jìn)行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開(kāi)始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買(mǎi)賣(mài)雙方辦完所有各種手續(xù)之后開(kāi)始，賣(mài)方要備貨、組貨，進(jìn)行報(bào)關(guān)、保險(xiǎn)、取證、信用卡等手續(xù)，然后賣(mài)方將所購(gòu)商品交付給運(yùn)輸公司包裝、起運(yùn)、發(fā)貨。買(mǎi)賣(mài)雙方可以通過(guò)電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物，金融機(jī)構(gòu)和銀行也按照合同，處理雙方收付款、并進(jìn)行結(jié)算，出具相應(yīng)的銀行單據(jù)等，當(dāng)買(mǎi)方收到所購(gòu)的商品，整個(gè)交易過(guò)程就完成了。索賠是在買(mǎi)賣(mài)雙方交易過(guò)程中出現(xiàn)違約時(shí)，需要進(jìn)行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進(jìn)行索賠。

二、電子商務(wù)中的信息安全問(wèn)題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務(wù)安全是一個(gè)系統(tǒng)概念，不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題。交易對(duì)安全性的要求有如下幾個(gè)方面：(1)有效性，因?yàn)榻灰讓?duì)于交易雙方都是一件十分嚴(yán)肅的事情，雙方都對(duì)交易的信息認(rèn)可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過(guò)網(wǎng)絡(luò)獲得。(3)完整性，包括過(guò)程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認(rèn)性，要求在交易信息的傳輸過(guò)程中為參與交易的個(gè)人，企業(yè)和國(guó)家提供可靠的標(biāo)識(shí)。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運(yùn)行的可靠性要求保證電子商務(wù)參與者能在交易的過(guò)程始終能與交易對(duì)象進(jìn)行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務(wù)的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個(gè)令人頭痛的問(wèn)題，那么如何加強(qiáng)電子商務(wù)的安全呢？

防火墻可以保證對(duì)主機(jī)和應(yīng)用安全訪問(wèn)，保證多種客戶(hù)機(jī)和服務(wù)器的安全性，保護(hù)關(guān)鍵部門(mén)不受到來(lái)自?xún)?nèi)部和外部的攻擊，為通過(guò)Internet與遠(yuǎn)程訪問(wèn)的雇員、客戶(hù)、供應(yīng)商提供安全渠道。

與傳統(tǒng)商務(wù)相比，電子商務(wù)具有許多特點(diǎn)：

其一，電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中，信息的傳遞通過(guò)網(wǎng)絡(luò)完成，速度很快，可以節(jié)省寶貴的交易時(shí)間。

其二，電子商務(wù)是在公開(kāi)環(huán)境下進(jìn)行的交易，其可以在全球范圍內(nèi)進(jìn)行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟(jì)交易突破了空間的限制；公開(kāi)環(huán)境下的信息公開(kāi)，使所有的企業(yè)可以平等地參與市場(chǎng)競(jìng)爭(zhēng)。

其三，在電子商務(wù)中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務(wù)中的信息安全問(wèn)題及威脅

1、電子商務(wù)的安全問(wèn)題?？偟膩?lái)說(shuō)分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)庫(kù)安 全，工作人員和環(huán)境等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性，完整性，可鑒別性，不可偽造性和不可依賴(lài)性。

在Internet上的電子商務(wù)交易過(guò)程中，最核心和最關(guān)鍵的問(wèn)題就是交易的安全性。一般來(lái)說(shuō)商務(wù)安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來(lái)也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類(lèi)工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶(hù)通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類(lèi)型：無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來(lái)講，對(duì)外部威脅，安全性強(qiáng)調(diào)防御；對(duì)內(nèi)部威脅，安全性強(qiáng)調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫(xiě)的計(jì)算機(jī)程序，它采用了獨(dú)特的設(shè)計(jì)，可以在受到某個(gè)事件觸發(fā)時(shí)，復(fù)制自身，并感染計(jì)算機(jī)。如果在病毒可以通過(guò)某個(gè)外界來(lái)源進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)才會(huì)感染病毒。

(2)惡意破壞程序。網(wǎng)站會(huì)提供一些軟件應(yīng)用的開(kāi)發(fā)而變得更加活潑。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫(huà)和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動(dòng)性。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類(lèi)型的網(wǎng)絡(luò)攻擊，它們通常被分為三類(lèi)：探測(cè)式攻擊，訪問(wèn)攻擊和拒絕服務(wù)（DOS）攻擊。a.探測(cè)式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過(guò)這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)。b.訪問(wèn)攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問(wèn)電子郵件賬號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。c.DOS 攻擊可以防止用戶(hù)對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問(wèn)。

(4)數(shù)據(jù)阻截。通過(guò)任何類(lèi)型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取。犯罪分子可能會(huì)竊聽(tīng)通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來(lái)阻截?cái)?shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無(wú)害的，但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間，帶來(lái)很多麻煩。

因此，隨著電子商務(wù)日益發(fā)展和普及，安全問(wèn)題顯得異常突出，解決安全問(wèn)題已成為我國(guó)電子商務(wù)發(fā)展的當(dāng)務(wù)之急。

三、防火墻的技術(shù)與體系結(jié)構(gòu)

（一）、什么是防火墻

防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全訪問(wèn)控制策略的系統(tǒng),包括硬件和軟件,目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。

（二）、使用防火墻的益處

(1)保護(hù)脆弱的服務(wù)

通過(guò)過(guò)濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，防火墻可以禁止NIS、NFS服務(wù)通過(guò)，防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶(hù)也只需要經(jīng)過(guò)一次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。

(3)控制對(duì)系統(tǒng)的訪問(wèn)

防火墻可以提供對(duì)系統(tǒng)的訪問(wèn)控制。如允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)。例如，防火墻允許外部訪問(wèn)特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶(hù)。

(5)增強(qiáng)的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。并且，防火墻可以記錄和統(tǒng)計(jì)通過(guò)防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。

四、防火墻的簡(jiǎn)介與使用的益處

（一）、防火墻的簡(jiǎn)介

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。

防火墻是為防止非法訪問(wèn)或保護(hù)專(zhuān)用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶(hù)訪問(wèn)接入互聯(lián)網(wǎng)的專(zhuān)用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開(kāi)內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過(guò)防火墻，防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。

一般來(lái)說(shuō)，配置防火墻是為了防止外部無(wú)權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶(hù)更自由的與外部交流。

防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能；它們經(jīng)常為管理員提供關(guān)于已處理過(guò)的流量類(lèi)型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”，因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。

從理論上說(shuō)，有兩種類(lèi)型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國(guó)際標(biāo)準(zhǔn)化組織（ISO）開(kāi)放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低，防火墻的檢查就越少。

（1）應(yīng)用層防火墻

應(yīng)用層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī)，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過(guò)時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件，所以可在這做大量的記錄和訪問(wèn)控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來(lái)源之后流量可以從一邊進(jìn)入，另一邊出去。

在某些情況下，有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能，并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶(hù)不是特別透明，并且還可能需要進(jìn)行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告，實(shí)行更保守的安全模型。

（2）網(wǎng)絡(luò)層防火墻

這種類(lèi)型決定了它的判定一般是基于源地址、目的地址及獨(dú)立IP包中的端口。一個(gè)簡(jiǎn)單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因?yàn)樗荒茏龀鰪?fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來(lái)源?，F(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會(huì)隨時(shí)關(guān)注通過(guò)防火墻的連接狀態(tài)的信息。

另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過(guò)，因此在使用時(shí)，你需要一個(gè)有效分配的IP地址塊，或者是專(zhuān)用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對(duì)于用戶(hù)來(lái)說(shuō)幾乎是透明的。

未來(lái)的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過(guò)它們的信息，應(yīng)用層防火墻可能會(huì)變得越來(lái)越透明。最終將會(huì)是一種在數(shù)據(jù)通過(guò)時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過(guò)硬件芯片監(jiān)測(cè)，也可以是軟件類(lèi)型，軟件在電腦上運(yùn)行并監(jiān)控，其實(shí)硬件型也就是芯片里固化了的軟件，但是它不占用計(jì)算機(jī)CPU處理時(shí)間，可以功能作的非常強(qiáng)大處理速度很快，對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)軟件型更加方便實(shí)在。

（二）、防火墻的體系結(jié)構(gòu)

防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來(lái)說(shuō)，是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí)，我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來(lái)越象是一個(gè)網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場(chǎng)合需要一個(gè)系統(tǒng)聲稱(chēng)提供的功能的時(shí)候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過(guò)濾和應(yīng)用代理兩種。包過(guò)濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù)，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。

包過(guò)濾是歷史最久遠(yuǎn)的防火墻技術(shù)，從實(shí)現(xiàn)上分，又可以分為簡(jiǎn)單包過(guò)濾和狀態(tài)檢測(cè)的包過(guò)濾兩種。

簡(jiǎn)單包過(guò)濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒(méi)有必要購(gòu)買(mǎi)一個(gè)簡(jiǎn)單包過(guò)濾的防火墻產(chǎn)品。由于這類(lèi)技術(shù)不能跟蹤TCP的狀態(tài)，所以對(duì)TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過(guò)防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡(jiǎn)單包過(guò)濾的產(chǎn)品由于其保護(hù)的不完善，在99年以前國(guó)外的防火墻市場(chǎng)上就已經(jīng)不存在了，但是目前國(guó)內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡(jiǎn)單包過(guò)濾的技術(shù)，從這點(diǎn)上可以說(shuō)，國(guó)內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國(guó)外落后2到3年。

狀態(tài)檢測(cè)的包過(guò)濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話(huà)的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話(huà)所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測(cè)包過(guò)濾的性能也明顯優(yōu)于簡(jiǎn)單包過(guò)濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

順便提一下免費(fèi)軟件中的包過(guò)濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析，雖然它們提供了對(duì)TCP狀態(tài)位的檢查，但是由于沒(méi)有跟蹤TCP的狀態(tài)，所以仍然是簡(jiǎn)單包過(guò)濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱(chēng)就可以看出，它在進(jìn)行過(guò)濾時(shí)建立了一個(gè)用來(lái)記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測(cè)技術(shù)的基本特征。

包過(guò)濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易，對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無(wú)意義，而包過(guò)濾產(chǎn)品則很容易安裝到用戶(hù)所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上，對(duì)用戶(hù)的應(yīng)用系統(tǒng)則幾乎沒(méi)有影響。特別是近來(lái)出現(xiàn)的透明方式的包過(guò)濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動(dòng)原來(lái)的拓?fù)浣Y(jié)構(gòu)。

包過(guò)濾的另一個(gè)優(yōu)點(diǎn)是性能，狀態(tài)檢測(cè)包過(guò)濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢(shì)的結(jié)構(gòu)。

但是對(duì)于防火墻產(chǎn)品來(lái)說(shuō)，畢竟安全是首要的因素，包過(guò)濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù)，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。

應(yīng)用代理防火墻可以說(shuō)就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長(zhǎng)的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話(huà)過(guò)程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說(shuō)，狀態(tài)檢測(cè)包過(guò)濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

對(duì)于使用代理防火墻的用戶(hù)來(lái)說(shuō)，在得到安全性的同時(shí)，用戶(hù)也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性，這個(gè)缺陷幾乎可以說(shuō)是天生的，因?yàn)樗挥形挥趹?yīng)用會(huì)話(huà)的中間環(huán)節(jié)，才會(huì)對(duì)會(huì)話(huà)進(jìn)行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不

認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來(lái)說(shuō)實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專(zhuān)門(mén)的功能，所以對(duì)于使用代理防火墻的用戶(hù)來(lái)說(shuō)經(jīng)常遇到的問(wèn)題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下，幾乎無(wú)法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。

代理的另一個(gè)無(wú)法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對(duì)每個(gè)訪問(wèn)實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過(guò)45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問(wèn)。對(duì)于一個(gè)繁忙的站點(diǎn)來(lái)說(shuō)，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒(méi)有包過(guò)濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類(lèi)型的商用產(chǎn)品，在核心技術(shù)上幾乎沒(méi)有什么變化，變化的主要是增加了協(xié)議的種類(lèi)。同時(shí)為了克服代理種類(lèi)有限的局限性，很多代理防火墻同時(shí)也提供了狀態(tài)檢測(cè)包過(guò)濾的能力，當(dāng)用戶(hù)遇到防火墻不能支持的應(yīng)用協(xié)議時(shí)，就以包過(guò)濾的方式讓其通過(guò)。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長(zhǎng)處。

狀態(tài)檢測(cè)包過(guò)濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場(chǎng)中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢(shì)，演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱(chēng)的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測(cè)包過(guò)濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱(chēng)之為“流過(guò)濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過(guò)濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問(wèn)，但是對(duì)于任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話(huà)，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話(huà)流向另一個(gè)會(huì)話(huà)，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶(hù)端參與應(yīng)用層的會(huì)話(huà)，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。

“流過(guò)濾”的另一個(gè)優(yōu)勢(shì)在于性能，完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來(lái)說(shuō)，消耗資源更少而且更加高效，如果你需要一個(gè)能夠支持幾千個(gè)，甚至數(shù)萬(wàn)個(gè)并發(fā)訪問(wèn)，同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng)，“流過(guò)濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來(lái)沒(méi)有停止過(guò)，事實(shí)上，任何一個(gè)

安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對(duì)于防火墻來(lái)說(shuō)，技術(shù)的不斷進(jìn)步才是真實(shí)的保障。

五、防火墻常用技術(shù)和性能

（一）、防火墻的四種基本類(lèi)型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

（1）、包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。

包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。

（2）、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶(hù)不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問(wèn)是安全的，可以接受訪問(wèn)請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。

網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶(hù)來(lái)說(shuō)是透明的，不需要用戶(hù)進(jìn)行設(shè)置，用戶(hù)只要進(jìn)行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱(chēng)為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶(hù)機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。當(dāng)客戶(hù)機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶(hù)機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶(hù)機(jī)可能產(chǎn)生的所有應(yīng)用類(lèi)型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

（4）、監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶(hù)可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器（也稱(chēng)應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專(zhuān)用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門(mén)的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元,則該部門(mén)所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然,對(duì)于關(guān)鍵部門(mén)來(lái)說(shuō),其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門(mén)的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門(mén)則應(yīng)另當(dāng)別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。

通常,防火墻的安全性問(wèn)題來(lái)自?xún)蓚€(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類(lèi)問(wèn)題一般用戶(hù)根本無(wú)從入手,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶(hù)來(lái)說(shuō),保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過(guò)程中遺留大量的安全漏洞。

（3）管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡(jiǎn)單地計(jì)算購(gòu)置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶(hù)提供良好的培訓(xùn)和售后服務(wù)。

（4）可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒(méi)有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶(hù)足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),而隨著要求的提高,用戶(hù)仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶(hù)的投資,對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶(hù)通常無(wú)法判斷。即使安裝好了防火墻,如果沒(méi)有實(shí)際的外部入侵,也無(wú)從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶(hù)在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過(guò)了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。

六、結(jié)論

隨著電子商務(wù)的不斷發(fā)展，安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價(jià)值。

七、參考文獻(xiàn)

1、《電子商務(wù)》 翟才喜 楊敬杰主編 東北財(cái)經(jīng)大學(xué)出版社 2002.2

2、《中國(guó)電子商務(wù)年鑒》2003 卷

第五篇：網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)設(shè)計(jì)思路論文

【摘要】隨著計(jì)算機(jī)病毒、攻客入侵等網(wǎng)絡(luò)信息安全事件發(fā)生頻率的逐漸增高，人們?cè)絹?lái)越意識(shí)到網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全已成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域所面臨的一個(gè)最為主要的問(wèn)題。入侵檢測(cè)系統(tǒng)作為時(shí)下IT領(lǐng)域內(nèi)網(wǎng)絡(luò)信息安全的一門(mén)新型熱門(mén)技術(shù)，在保障網(wǎng)絡(luò)安全方面占有舉足輕重的地位。本文主要介紹了入侵檢測(cè)有關(guān)內(nèi)容，入侵檢測(cè)的主要方法，以及基于計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)的設(shè)計(jì)。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)；安全；入侵檢測(cè)系統(tǒng)；研究；設(shè)計(jì)

計(jì)算機(jī)網(wǎng)絡(luò)在人們生活中的滲透，不僅改變了人類(lèi)具體的生活方式，更重要的是改變了人類(lèi)獲取信息的方式。它的出現(xiàn)在給人們帶來(lái)巨大方便的同時(shí)，也給人們的信息安全帶來(lái)了諸多隱患和威脅。一旦計(jì)算機(jī)網(wǎng)絡(luò)發(fā)生安全問(wèn)題，勢(shì)必會(huì)造成信息泄露，給人們帶來(lái)不同程度的經(jīng)濟(jì)損失，尤其是企業(yè)內(nèi)部重要的信息，且情況嚴(yán)重時(shí)將很可能導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)崩潰。因此，為避免病毒等入侵到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，就必須采取有效的入侵檢測(cè)方法，設(shè)計(jì)出相應(yīng)的入侵檢測(cè)系統(tǒng)。

1入侵檢測(cè)相關(guān)概述

所謂入侵，指的是一切試圖對(duì)資源的可用性、完整性和機(jī)密性等產(chǎn)生危害行為的統(tǒng)稱(chēng)。它既包括發(fā)起惡意攻擊行為的人（惡意攻客），也包括對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與系統(tǒng)造成危害的各種行為（計(jì)算機(jī)病毒、木馬等）。而入侵檢測(cè)則指對(duì)所有入侵行為的識(shí)別與診斷。其具體操作是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)等中的若干關(guān)鍵點(diǎn)的數(shù)據(jù)信息進(jìn)行收集與分析，通過(guò)該分析結(jié)果對(duì)網(wǎng)絡(luò)中是否存在攻擊對(duì)象或違反網(wǎng)絡(luò)安全行為的跡象進(jìn)行判斷。入侵檢測(cè)所使用的軟件與硬件組成了入侵檢測(cè)系統(tǒng)。它具有必須對(duì)采集的數(shù)據(jù)進(jìn)行安全分析，并從中得出有用的結(jié)果和采取相應(yīng)的保護(hù)措施的功能，比其他網(wǎng)絡(luò)安全工具具有更多的智能[1]。

2入侵檢測(cè)的主要方法

2.1異常檢測(cè)法

異常檢測(cè)法主要用于檢測(cè)用戶(hù)的異常行為及其對(duì)計(jì)算機(jī)資源的異常使用。使用這種檢測(cè)方法需要建立相應(yīng)的目標(biāo)系統(tǒng)和用戶(hù)活動(dòng)模型，以便通過(guò)該模型對(duì)系統(tǒng)與用戶(hù)的實(shí)際行為進(jìn)行檢測(cè)，從而對(duì)用戶(hù)行為是否對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)具有攻擊性進(jìn)行判斷。它具有良好的適應(yīng)性和檢測(cè)未知攻擊模式的能力，但誤報(bào)率高、檢測(cè)結(jié)果準(zhǔn)確性差，使得其應(yīng)用受到了一定限制[2]。此外，必須對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與系統(tǒng)中合法授權(quán)用戶(hù)的行為等正常特征進(jìn)行精確的定義、對(duì)非法與合法代碼與數(shù)據(jù)之間的界限進(jìn)行精確的劃分，是當(dāng)前異常檢測(cè)技術(shù)所面臨的主要技術(shù)難點(diǎn)。

2.2混合檢測(cè)法

混合檢測(cè)法是對(duì)異常檢測(cè)法與濫用檢測(cè)法兩者優(yōu)點(diǎn)的綜合利用。由于這兩種方法在實(shí)際應(yīng)用過(guò)程中呈現(xiàn)出一定的互補(bǔ)關(guān)系，因而兩者的有機(jī)結(jié)合可以達(dá)到取長(zhǎng)補(bǔ)短、相互彌補(bǔ)的檢測(cè)效果，可以在很大程度上提高整體入侵檢測(cè)的性能與效率[3]。

3基于計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

3.1網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)裝在被保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)中，將原始網(wǎng)絡(luò)報(bào)文作為數(shù)據(jù)源對(duì)入侵對(duì)象進(jìn)行分析。在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)當(dāng)中，對(duì)于所有通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)的實(shí)時(shí)監(jiān)控與分析通常采用一個(gè)網(wǎng)絡(luò)適配器即可；對(duì)于數(shù)據(jù)采集模塊的設(shè)計(jì)，需要配備有過(guò)濾器、探測(cè)器、網(wǎng)絡(luò)接口引擎等元器件。數(shù)據(jù)采集模塊主要實(shí)現(xiàn)的功能是，按照一定網(wǎng)絡(luò)協(xié)議從網(wǎng)絡(luò)上獲取與入侵事件有關(guān)的全部數(shù)據(jù)信息，獲取后將其傳送至入侵檢測(cè)系統(tǒng)分析引擎模塊，對(duì)其安全性進(jìn)行詳細(xì)全面的分析，以判斷其是否存在攻擊性。入侵分析引擎模塊的主要功能是，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)，對(duì)從數(shù)據(jù)采集模塊傳送來(lái)的數(shù)據(jù)信息進(jìn)行安全分析，并將分析結(jié)果傳送至配置與管理模塊。配置與管理模塊實(shí)現(xiàn)的主要功能是，對(duì)其他功能模塊的配置工作進(jìn)行管理，并將從入侵分析引擎模塊傳送來(lái)的安全分析結(jié)果以有效的方式向網(wǎng)絡(luò)管理員告知，從而為網(wǎng)絡(luò)管理員及時(shí)做出入侵應(yīng)對(duì)措施提供依據(jù)和支持。當(dāng)網(wǎng)絡(luò)入侵系統(tǒng)檢測(cè)到攻擊時(shí)，相應(yīng)的功能模塊會(huì)立刻以報(bào)警、廣播、中斷連接等方式來(lái)對(duì)入侵者做出反應(yīng)，向人們發(fā)出提示信息。

3.2主機(jī)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

主機(jī)入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源通常包括應(yīng)用程序日志、系統(tǒng)日志等。其入侵檢測(cè)功能的實(shí)現(xiàn)主要是通過(guò)對(duì)這些審計(jì)記錄文件所記錄的內(nèi)容與攻擊內(nèi)容進(jìn)行匹配。若不匹配說(shuō)明該入侵對(duì)象不具有攻擊性，若匹配則入侵檢測(cè)系統(tǒng)及時(shí)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，同時(shí)做出相應(yīng)的保護(hù)行為。審計(jì)數(shù)據(jù)記錄的是系統(tǒng)用戶(hù)行為信息，在系統(tǒng)運(yùn)行過(guò)程中必須要保證其不會(huì)被修改或泄露。然而當(dāng)系統(tǒng)遭受攻擊時(shí)，這些數(shù)據(jù)很可能發(fā)生修改或泄露，因此主機(jī)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)必須要具備一項(xiàng)功能，即檢測(cè)系統(tǒng)在完全被攻擊者控制之前，完成對(duì)審計(jì)數(shù)據(jù)的分析，并及時(shí)發(fā)出警報(bào)采取一定防護(hù)手段。主機(jī)入侵檢測(cè)系統(tǒng)具有精確判斷入侵事件、針對(duì)不同操作系統(tǒng)的特點(diǎn)準(zhǔn)確判斷出計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層的入侵事件等優(yōu)點(diǎn)。

4總結(jié)

總之，在計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的處理過(guò)程中，入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)是非常關(guān)鍵的一個(gè)環(huán)節(jié)。一個(gè)性能良好的入侵檢測(cè)系統(tǒng)可以有效彌補(bǔ)防火墻存在的不足，可以為計(jì)算機(jī)網(wǎng)絡(luò)的安全提供可靠的保障，是現(xiàn)代網(wǎng)絡(luò)安全措施中一種較為有效的防護(hù)技術(shù)。雖然，現(xiàn)階段入侵檢測(cè)技術(shù)仍處于發(fā)展階段，但隨著社會(huì)各界對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)的越來(lái)越高度重視，入侵檢測(cè)系統(tǒng)的應(yīng)用范圍和檢測(cè)性能必將會(huì)上升到一個(gè)新的臺(tái)階。

參考文獻(xiàn)

[1]唐靜.計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測(cè)系統(tǒng)的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，08：21~22.[2]庫(kù)宇.高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D].吉林大學(xué)，2008.[3]鄭關(guān)勝，李含光.基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的入侵檢測(cè)系統(tǒng)的研究[J].計(jì)算機(jī)應(yīng)用，2006（S1）：160~161+185.作者：吳卉男 單位：貴州師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院