防火墻技術(shù)在電子商務(wù)安全中的應(yīng)用

防火墻技術(shù)在電子商務(wù)安全中的應(yīng)用[內(nèi)容摘要]防火墻技術(shù)作為保證電子商務(wù)活動中信息安全的第一道有效屏障，遭到越來越多的關(guān)注。本文從防火墻的概念和技術(shù)出發(fā)，具體分析了防火墻的功能，并對其保證安全方法的不同進(jìn)行了分類研究。[本文關(guān)鍵詞語]信息安全防火墻過濾代理遷移在信息社會中，信息具有和能源、物源同等的價值，在某些時候以至具有更高層次的價值。具有價值的信息必定存在安全性的問題，對于企業(yè)更是如此。經(jīng)濟(jì)社會的發(fā)展更要求各用戶之間的通信和資源分享，需要將一批計(jì)算機(jī)連成網(wǎng)絡(luò)能力保證電子商務(wù)活動的正常開展，這樣就帶來了更多的安全隱患。十分是對當(dāng)今最大的網(wǎng)絡(luò)——國際互聯(lián)網(wǎng)，很容易遭到心懷叵測者的惡意攻擊和毀壞。信息的泄露問題也變得日益嚴(yán)重，因而，計(jì)算機(jī)網(wǎng)絡(luò)的安全性問題就變得越來越主要。怎樣來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性呢？方法固然許多，但防火墻技術(shù)絕對是其中最高效、實(shí)用的方法之一。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的經(jīng)過中，防火墻作為第一道安全防線，正遭到越來越多用戶的關(guān)注。通常一個公司在購買網(wǎng)絡(luò)安全設(shè)備時，老是把防火墻放在首位。當(dāng)前，防火墻已經(jīng)成為上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么，防火墻是怎樣保證網(wǎng)絡(luò)系統(tǒng)的安全，又怎樣實(shí)現(xiàn)本身安全的呢？本文從防火墻的概念出發(fā)，具體分析了防火墻的功能，并按其保證安全方法的不同進(jìn)行了分類:包過濾式防火墻、效勞代理式防火墻、地址遷移式防火墻等。一、防火墻介紹防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)備。在internet網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間設(shè)置的一道屏障，防止黑客進(jìn)入內(nèi)部網(wǎng)，由用戶制訂安全訪問策略，抵御各種侵襲的一種隔離技術(shù)。它能允許你“同意〞的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，將“不同意〞的人和數(shù)據(jù)拒之門外，最大限度地阻攔網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的主要信息；能限制被保衛(wèi)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作；能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且自己具有較強(qiáng)的抗攻擊能力。是提供信息安全效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)備。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的安全技術(shù)包含包過濾技術(shù)、代理技術(shù)和地址遷移技術(shù)等。二、防火墻的作用1.作為網(wǎng)絡(luò)安全的屏障只要經(jīng)過精心選擇的應(yīng)用協(xié)議能力通過防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻能夠禁止nfs協(xié)議進(jìn)出受保衛(wèi)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些軟弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時能夠保衛(wèi)網(wǎng)絡(luò)免受基于路由的攻擊，如ip選項(xiàng)中的源路由攻擊和icmp重定向中的重定向路徑。防火墻應(yīng)該能夠回絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。2.能夠強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件〔如口令、加密、身份認(rèn)證、審計(jì)等〕配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全能夠不必分散在各個主機(jī)上，而集中在防火墻身上。3.能夠?qū)W(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)假如所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)能否遭到監(jiān)測和攻擊的具體信息。另外，采集一個網(wǎng)絡(luò)的使用和誤用情況也是非常主要的。能夠清楚防火墻能否能夠抵擋攻擊者的探測和攻擊，而且清楚防火墻的控制能否充分。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅分析等也是非常主要的。4.能夠防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，進(jìn)而限制了部分重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。三、防火墻的技術(shù)分類1.包過濾技術(shù)〔packetfilter〕式防火墻包過濾是在網(wǎng)絡(luò)層中對數(shù)據(jù)包施行有選擇的通過，根據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址，以及包所使用端口確定能否允許該類數(shù)據(jù)包通過。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來的信息都被分割成許很多多一定長度的信息包，包中包含發(fā)送者的ip地址和接收者的ip地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時，路由器會讀取接收者的ip并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)后會在目的地從新組裝復(fù)原。包過濾式的防火墻會檢查所有通過信息包里的ip地址，并根據(jù)系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。假如防火墻設(shè)定某一ip為危險(xiǎn)的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法許多，比方國家有關(guān)部門能夠通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些違背我們國家有關(guān)規(guī)定或者“有問題〞的國外站點(diǎn)。包過濾路由器的最大的優(yōu)點(diǎn)就是它對于用戶來說是透明的，也就是說不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護(hù)，通常做為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的。如“信息包沖擊〞是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發(fā)出一系列信息包，不外這些包中的ip地址已經(jīng)被替換掉了，取而代之的是一串順序的ip地址。一旦有一個包通過了防火墻，黑客便能夠用這個ip地址來偽裝他們發(fā)出的信息。通常它沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄；除此之外，配置繁瑣也是包過濾防火墻的一個缺點(diǎn)。它阻攔別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進(jìn)入你的系統(tǒng)，或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。它能夠阻攔外部對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部的訪問。包過濾另一個關(guān)鍵的弱點(diǎn)就是不能在用戶級別上進(jìn)行過濾，即不能鑒別不同的用戶和防止ip地址盜用。所以說包過濾型防火墻是某種意義上的安全系統(tǒng)。2.代理效勞式防火墻代理效勞是另一種類型的防火墻，它通常是一個軟件模塊，運(yùn)行在一臺主機(jī)上。代理效勞器與路由器的合作，路由器實(shí)現(xiàn)內(nèi)部和外部網(wǎng)絡(luò)交互時的信息流導(dǎo)向，將所有的相關(guān)應(yīng)用效勞懇求傳遞給代理效勞器。代理效勞作用在應(yīng)用層，其特點(diǎn)是完全“阻隔〞了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用效勞編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。代理效勞的本質(zhì)是中介作用，它不允許內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行直接的通信。用戶希望訪問內(nèi)部網(wǎng)某個應(yīng)用效勞器時，實(shí)際上是向運(yùn)行在防火墻上的代理效勞軟件提出懇求，建立連接;理效勞器代表它向要訪問的應(yīng)用系統(tǒng)提出懇求，建立連接;應(yīng)用系統(tǒng)給予代理效勞器響應(yīng);代理效勞器給予外部網(wǎng)用戶以響應(yīng)。外部網(wǎng)用戶與應(yīng)用效勞器之間的數(shù)據(jù)傳輸全部由代理效勞器中轉(zhuǎn)，外部網(wǎng)用戶無法直接與應(yīng)用效勞器交互，避免了來自外部用戶的攻擊。通常代理效勞是針對特定的應(yīng)用效勞而言的，不同的應(yīng)用效勞能夠設(shè)置不同的代理效勞器。當(dāng)前，許多內(nèi)部網(wǎng)絡(luò)都同時使用分組過濾路由器和代理效勞器來保證內(nèi)部網(wǎng)絡(luò)的安全性，而且獲得了較好的效果。3.地址遷移式防火墻由于多種原因，ipv4地址逐步面臨耗盡的危機(jī)，而ipv6的實(shí)際應(yīng)用還有待時日。隨著企業(yè)上網(wǎng)的人數(shù)增加，企業(yè)獲得的公共ip地址〔稱全局ip地址，或者實(shí)際ip地址〕可能難以和企業(yè)上網(wǎng)的實(shí)際設(shè)備數(shù)目匹配，這種現(xiàn)象具有加劇的傾向。一種可能的解決方案是為每個企業(yè)分配若干個全局ip地址，企業(yè)網(wǎng)內(nèi)部使用自定義的ip地址〔稱為當(dāng)?shù)豬p地址或者虛擬ip地址〕。當(dāng)內(nèi)外用戶希望互相訪問時,專門的路由器〔nat路由器〕負(fù)責(zé)全局/當(dāng)?shù)豬p地址的映射。nat路由器位于不同地址域的界限處，通過保留部分全局ip地址的分配權(quán)來支持ip數(shù)據(jù)報(bào)的跨網(wǎng)傳輸。其工作原理:(1)地址綁定〔靜態(tài)或者動態(tài)的建立當(dāng)?shù)?全局地址的映射關(guān)系〕;(2)地址查找和轉(zhuǎn)換〔對數(shù)據(jù)報(bào)中的相關(guān)地址信息進(jìn)行修改〕;(3)地址解綁定〔釋放全局地址〕。地址遷移式防火墻實(shí)際上融合了分組過濾和應(yīng)用代理的設(shè)計(jì)思想，能夠根據(jù)應(yīng)用的需求限定允許內(nèi)外網(wǎng)訪問的結(jié)點(diǎn)；能夠屏蔽內(nèi)網(wǎng)的地址，保證內(nèi)網(wǎng)的安全性。數(shù)據(jù)報(bào)分析是nat路由器必需做的工作〔例如，修改ip數(shù)據(jù)報(bào)攜帶的高層協(xié)議數(shù)據(jù)單元中的地址信息〕，因而能夠有選擇地提供/回絕部分跨網(wǎng)的應(yīng)用效勞。四、小結(jié)在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它能夠隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，同時