網(wǎng)絡(luò)安全防火墻技術(shù)論文

1、-. z電子商務(wù)平安技術(shù)的開展和應(yīng)用摘要：隨著電子商務(wù)日益成為國民經(jīng)濟(jì)的亮點(diǎn)，Internet逐漸開展成為電子商務(wù)的最正確載體。然而互聯(lián)網(wǎng)充分開放，不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的平安問題日益緊迫。在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過網(wǎng)絡(luò)傳輸，交易雙方的身份也需要認(rèn)證，因此，電子商務(wù)的平安性主要是網(wǎng)絡(luò)平臺(tái)的平安和交易信息的平安。而網(wǎng)絡(luò)平臺(tái)的平安是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。防火墻技術(shù)、數(shù)據(jù)加解密技術(shù)、數(shù)字簽名、身份認(rèn)證和平安電子商務(wù)的國際規(guī)等。關(guān)鍵字：平安技術(shù) 防火墻 數(shù)據(jù)加密防火墻技術(shù)1.防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，如路由器、網(wǎng)

2、關(guān)等。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和方式按照一定的平安策略進(jìn)展檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護(hù)的網(wǎng)絡(luò)稱為部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)，它能有效地控制部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送，從而到達(dá)保護(hù)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。 所有來自Internet的傳輸信息或你發(fā)電子商務(wù)資料庫的信息都必須經(jīng)過防火墻。這樣防火墻就起到了保護(hù)諸如電子、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)展信息交換等平安的作用。防火墻是網(wǎng)絡(luò)平安策略的有機(jī)組成局部,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)平安的有效管理。從總體上看,防火墻應(yīng)該具有以下五

3、大根本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵*些制止行為；記錄通過防火墻的信息容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)展檢測(cè)和告警；國際標(biāo)準(zhǔn)化組織的計(jì)算機(jī)專業(yè)委員會(huì)根據(jù)網(wǎng)絡(luò)開放系統(tǒng)互連7層模型制定了一個(gè)網(wǎng)絡(luò)平安體系構(gòu)造，用來解決網(wǎng)絡(luò)系統(tǒng)中的信息平安問題，如表1所示防火墻的根本準(zhǔn)則:未被允許的就是制止的。 基于該準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的效勞逐項(xiàng)開放。這是一種非常實(shí)用的方法，可以造成一種相當(dāng)平安的環(huán)境，因?yàn)橹挥薪?jīng)過仔細(xì)挑選的效勞才被允許使用。其弊端是，平安性高于用戶使用的方便性，用戶所能使用的圍大大受到限制。防火墻是實(shí)現(xiàn)平安訪問控制的，因此按照OSIRM，防火墻可以在OSI

4、RM7層中的5層設(shè)置，如圖1所示：防火墻從功能上來分通常由以下幾局部組成，如圖2所示人機(jī)接口訪問控制策略審計(jì)平安管理數(shù)據(jù)加密網(wǎng)絡(luò)互聯(lián)設(shè)備圖2防火墻體系構(gòu)造目前，從概念上來講，防火墻技術(shù)主要分為9種：1包過濾Packet filter防火墻技術(shù)，又稱篩選路由器Screening router或網(wǎng)絡(luò)層防火墻Network level firewall，它是對(duì)進(jìn)出部網(wǎng)絡(luò)的所有信息進(jìn)展分析，并按照一定的平安策略信息過濾規(guī)則對(duì)進(jìn)出部網(wǎng)絡(luò)的信息進(jìn)展限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)信息為根底，比方IP數(shù)據(jù)包源地址、IP數(shù)據(jù)包目的地址、封裝協(xié)議類型TCP、UDP、IC

5、MP等、TCPIP源端口號(hào)、TCPIP目的端口號(hào)、ICMP報(bào)文類型等，當(dāng)一個(gè)數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，相當(dāng)于此數(shù)據(jù)包所要到達(dá)的網(wǎng)絡(luò)物理上被斷開，起到了保護(hù)部網(wǎng)絡(luò)的作用。采用這種技術(shù)的防火墻優(yōu)點(diǎn)在于速度快、實(shí)現(xiàn)方便，但平安性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號(hào)所代表的應(yīng)用效勞協(xié)議類型有所不同，故兼容性差。2應(yīng)用層網(wǎng)關(guān)級(jí)Application level gatewav防火墻技術(shù)，又稱代理Pro*y，它由兩局部組成：代理效勞器和篩選路由器。這種防火墻技術(shù)是目前最通用的一種，它是把篩選路由器技術(shù)和軟件代理技術(shù)結(jié)合在一起，由篩選路由器負(fù)責(zé)網(wǎng)絡(luò)的互聯(lián)，進(jìn)展嚴(yán)

6、格的數(shù)據(jù)選擇，應(yīng)用代理則提供給用層效勞的控制，如圖3所示3雙宿主機(jī)Dual-homed host技術(shù)防火墻技術(shù)，又稱堡壘主機(jī)Bastion host，它的構(gòu)造如圖4所示，采用主機(jī)取代路由器執(zhí)行平安控制功能，故類似于包過濾防火墻。雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以用來在部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)展尋徑，如果在一臺(tái)雙宿主機(jī)中尋徑功能被制止了，則這個(gè)主機(jī)可以隔離與它相連的部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信，而與它相連的部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)仍可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個(gè)應(yīng)用允許的話，它們就可以共享數(shù)據(jù)，這樣就保證部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的*些節(jié)點(diǎn)之間可以通過雙宿主機(jī)上的共享數(shù)據(jù)傳遞信息，但部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)

7、之間卻不能傳遞信息，從而到達(dá)保護(hù)部網(wǎng)絡(luò)的作用。(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。防火墻利用NAT技術(shù)能透明地對(duì)所有部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解部網(wǎng)絡(luò)的部構(gòu)造,同時(shí)允許部網(wǎng)絡(luò)使用自己編的源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。(5)Internet網(wǎng)關(guān)技術(shù)。由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有效勞,同時(shí)還要防止與Internet效勞有關(guān)的平安漏洞,故它要能夠以多種平安的應(yīng)用效勞器(包括FTP、Finger、mail、Ident、News、等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。 圖5 InternetIntranet防火墻配置在域名效勞方面,新

8、一代防火墻采用兩種獨(dú)立的域名效勞器:一種是部DNS效勞器,主要處理部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS效勞器,專門用于處理機(jī)構(gòu)部向Internet提供的局部DNS信息。在匿名FTP方面,效勞器只提供對(duì)有限的受保護(hù)的局部目錄的只讀訪問。在效勞器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻運(yùn)行。在Finger效勞器中,對(duì)外部訪問,防火墻只提供可由部用戶配置的根本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP效勞器要對(duì)所有進(jìn)、出防火墻的做處理,并利用映射與標(biāo)頭剝除的方法隱除部的環(huán)境。Ident效勞器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞效勞則為接收來自ISP的新聞開設(shè)了專

9、門的磁盤空間。(6)平安效勞器網(wǎng)絡(luò)(SSN)。為了適應(yīng)越來越多的用戶向Internet上提供效勞時(shí)對(duì)效勞器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外效勞器實(shí)施保護(hù),它利用一網(wǎng)卡將對(duì)外效勞器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外效勞器既是部網(wǎng)絡(luò)的一局部,又與部網(wǎng)關(guān)完全隔離,這就是平安效勞器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Telnet等方式從部網(wǎng)上管理。SSN方法提供的平安性要比傳統(tǒng)的隔離區(qū)(DMZ)方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN

10、受破壞,部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,部網(wǎng)絡(luò)便暴露于攻擊之下。(7)用戶鑒別與加密。為了降低防火墻產(chǎn)品在Ielnet、FTP等效勞和遠(yuǎn)程管理上的平安風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)的加密。(8)用戶定制效勞。為了滿足特定用戶的特定需求,新一代防火墻在提供眾多效勞的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果*一用戶需要建立一個(gè)數(shù)據(jù)庫的代理,便可以利用這些支持,方便設(shè)置。(9)審計(jì)和告警。新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、核信息、核心

11、信息、接收、路徑、發(fā)送、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、效勞器、域名效勞器等。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。二兩主要防火墻的構(gòu)造。 1包過濾型防火墻它一般由路由器實(shí)現(xiàn)，故也被稱為包過濾路由器。如圖6所示：它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去部網(wǎng)絡(luò)的所有信息進(jìn)展分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型，并按照信息過濾規(guī)則進(jìn)展篩選，假設(shè)符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進(jìn)入部網(wǎng)，否則進(jìn)展報(bào)警或通知管理員，并且丟棄該包。這樣一來，路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù)，如：Telnet

12、效勞器在TCP的23號(hào)端口監(jiān)聽遠(yuǎn)程連接，假設(shè)管理員想阻塞所有進(jìn)入的Telnet連接，過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實(shí)現(xiàn)方便，但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過，沒有基于用戶的認(rèn)證，而IP地址可以偽造成可信任的外部主機(jī)地址，另外它不能提供日志，這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。2應(yīng)用級(jí)防火墻大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用代理機(jī)制，置了代理應(yīng)用程序，可用代理效勞器作部網(wǎng)和Internet之間的的轉(zhuǎn)換。假設(shè)外部網(wǎng)的用戶要訪問部網(wǎng)，它只能到達(dá)代理效勞器，假設(shè)符合條件，代理效勞器會(huì)到部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，部網(wǎng)要訪問I

13、nternet,也要通過代理效勞器的轉(zhuǎn)接，這樣能監(jiān)控部用戶訪問Internet.這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄，但它不允許部用戶直接訪問外部，會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet效勞安裝相應(yīng)的代理效勞器軟件，用戶無法使用未被效勞器支持的效勞。如圖7所示：防火墻技術(shù)從其功能上來分，又可分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等各種專用防火墻。通常幾種防火墻技術(shù)被一起使用來彌補(bǔ)各自的缺陷，增加系統(tǒng)的平安性能。防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)來自部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)平安單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技

14、術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的平安意識(shí)等。就防火墻本身來看，包過濾技術(shù)和代理訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、平安核等。但實(shí)踐證明，防火墻仍然是網(wǎng)絡(luò)平安中最成熟的一種技術(shù)。結(jié)論：防火墻技術(shù)和數(shù)據(jù)加密是網(wǎng)絡(luò)平安的手段，是用來拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受阻礙地訪問網(wǎng)絡(luò)資源，如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)平安性能，但是并不能百分之百解決網(wǎng)絡(luò)上的信息平安問題，安防病毒的軟件并定期執(zhí)行檢測(cè)，使用數(shù)字簽名技術(shù)和數(shù)字證書等等，都是加強(qiáng)電子商務(wù)平安的重要技術(shù)措施。當(dāng)然，任何一個(gè)平安產(chǎn)品或技術(shù)都不會(huì)提供永遠(yuǎn)和絕對(duì)的平安，因?yàn)?/p>