網(wǎng)絡(luò)安全防火墻技術(shù)論文_第1頁
網(wǎng)絡(luò)安全防火墻技術(shù)論文_第2頁
網(wǎng)絡(luò)安全防火墻技術(shù)論文_第3頁
網(wǎng)絡(luò)安全防火墻技術(shù)論文_第4頁
網(wǎng)絡(luò)安全防火墻技術(shù)論文_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

電子商務(wù)安全技術(shù)的發(fā)展和應(yīng)用摘要:隨著電子商務(wù)日益成為國民經(jīng)濟(jì)的亮點(diǎn),Internet逐漸發(fā)展成為電子商務(wù)的最佳載體。然而互聯(lián)網(wǎng)充分開放,不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的安全問題日益緊迫。在電子商務(wù)的交易中,經(jīng)濟(jì)信息、資金都要通過網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認(rèn)證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。防火墻技術(shù)、數(shù)據(jù)加解密技術(shù)、數(shù)字簽名、身份認(rèn)證和安全電子商務(wù)的國際規(guī)范等。關(guān)鍵字:安全技術(shù)防火墻數(shù)據(jù)加密防火墻技術(shù) 1.防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,如路由器、網(wǎng)關(guān)等。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò),另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò),它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。所有來自Internet的傳輸信息或你發(fā)電子商務(wù)資料庫的信息都必須經(jīng)過防火墻。這樣防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內(nèi)容和活動(dòng);對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警;國際標(biāo)準(zhǔn)化組織的計(jì)算機(jī)專業(yè)委員會(huì)根據(jù)網(wǎng)絡(luò)開放系統(tǒng)互連7層模型制定了一個(gè)網(wǎng)絡(luò)安全體系結(jié)構(gòu),用來解決網(wǎng)絡(luò)系統(tǒng)中的信息安全問題,如表1所示(3)雙宿主機(jī)(Dual-homedhost)技術(shù)防火墻技術(shù),又稱堡壘主機(jī)(Bastionhost),它的結(jié)構(gòu)如圖4所示,采用主機(jī)取代路由器執(zhí)行安全控制功能,故類似于包過濾防火墻。雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī),它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑,如果在一臺(tái)雙宿主機(jī)中尋徑功能被禁止了,則這個(gè)主機(jī)可以隔離與它相連的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信,而與它相連的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)仍可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用,如果這個(gè)應(yīng)用允許的話,它們就可以共享數(shù)據(jù),這樣就保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的某些節(jié)點(diǎn)之間可以通過雙宿主機(jī)上的共享數(shù)據(jù)傳遞信息,但內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間卻不能傳遞信息,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。(5)Internet網(wǎng)關(guān)技術(shù)。由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。圖5Internet/Intranet防火墻配置在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。(7)用戶鑒別與加密。為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實(shí)現(xiàn)了對郵件的加密。(8)用戶定制服務(wù)。為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的代理,便可以利用這些支持,方便設(shè)置。(9)審計(jì)和告警。新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。二.兩主要防火墻的構(gòu)造。(1)包過濾型防火墻它一般由路由器實(shí)現(xiàn),故也被稱為包過濾路由器。如圖6所示:它在網(wǎng)絡(luò)層對進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型,并按照信息過濾規(guī)則進(jìn)行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng),否則進(jìn)行報(bào)警或通知管理員,并且丟棄該包。這樣一來,路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號(hào)端口監(jiān)聽遠(yuǎn)程連接,若管理員想阻塞所有進(jìn)入的Telnet連接,過濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實(shí)現(xiàn)方便,但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過,沒有基于用戶的認(rèn)證,而IP地址可以偽造成可信任的外部主機(jī)地址,另外它不能提供日志,這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。(2)應(yīng)用級(jí)防火墻大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用代理機(jī)制,內(nèi)置了代理應(yīng)用程序,可用代理服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng),它只能到達(dá)代理服務(wù)器,若符合條件,代理服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問Internet,也要通過代理服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細(xì)記錄所有的訪問紀(jì)錄,但它不允許內(nèi)部用戶直接訪問外部,會(huì)使速度變慢。且需要對每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件,用戶無法使用未被服務(wù)器支持的服務(wù)。如圖7所示:防火墻技術(shù)從其功能上來分,又可分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等各種專用防火墻。通常幾種防火墻技術(shù)被一起使用來彌補(bǔ)各自的缺陷,增加系統(tǒng)的安全性能。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù),但對來自內(nèi)部網(wǎng)絡(luò)的功擊卻無能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。就防火墻本身來看,包過濾技術(shù)和代理訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。結(jié)論:防火墻技術(shù)和數(shù)據(jù)加密是網(wǎng)絡(luò)安全的手段,是用來拒絕未經(jīng)授權(quán)的用戶訪問,阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源,如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全性能,但是并不能百分之百解決網(wǎng)絡(luò)上的信息安全問題,安防病毒的軟件并定期執(zhí)行檢測,使用數(shù)字簽名技術(shù)和數(shù)字證書等等,都是加強(qiáng)電子商務(wù)安全的重要技術(shù)措施。當(dāng)然,任何一個(gè)安全產(chǎn)品或技術(shù)都不會(huì)提供永遠(yuǎn)和絕對的安全,因?yàn)榫W(wǎng)絡(luò)在變化,應(yīng)用在變化,入侵和破壞的手段也在變化,只有技術(shù)的不斷進(jìn)步才是真正的出路。參考文獻(xiàn):1謝琳.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論