網(wǎng)絡安全防火墻技術論文

1、-. z電子商務平安技術的開展和應用摘要：隨著電子商務日益成為國民經(jīng)濟的亮點，Internet逐漸開展成為電子商務的最正確載體。然而互聯(lián)網(wǎng)充分開放，不設防護的特點使加強電子商務的平安問題日益緊迫。在電子商務的交易中，經(jīng)濟信息、資金都要通過網(wǎng)絡傳輸，交易雙方的身份也需要認證，因此，電子商務的平安性主要是網(wǎng)絡平臺的平安和交易信息的平安。而網(wǎng)絡平臺的平安是指網(wǎng)絡操作系統(tǒng)對抗網(wǎng)絡攻擊、病毒，使網(wǎng)絡系統(tǒng)連續(xù)穩(wěn)定的運行。防火墻技術、數(shù)據(jù)加解密技術、數(shù)字簽名、身份認證和平安電子商務的國際規(guī)等。關鍵字：平安技術 防火墻 數(shù)據(jù)加密防火墻技術1.防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互聯(lián)設備，如路由器、網(wǎng)

2、關等。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和方式按照一定的平安策略進展檢查，來決定網(wǎng)絡之間的通信是否被允許。其中被保護的網(wǎng)絡稱為部網(wǎng)絡，另一方則稱為外部網(wǎng)絡或公用網(wǎng)絡，它能有效地控制部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳送，從而到達保護部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。 所有來自Internet的傳輸信息或你發(fā)電子商務資料庫的信息都必須經(jīng)過防火墻。這樣防火墻就起到了保護諸如電子、文件傳輸、遠程登錄、在特定的系統(tǒng)間進展信息交換等平安的作用。防火墻是網(wǎng)絡平安策略的有機組成局部,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡平安的有效管理。從總體上看,防火墻應該具有以下五

3、大根本功能:過濾進、出網(wǎng)絡的數(shù)據(jù)；管理進、出網(wǎng)絡的訪問行為；封堵*些制止行為；記錄通過防火墻的信息容和活動；對網(wǎng)絡攻擊進展檢測和告警；國際標準化組織的計算機專業(yè)委員會根據(jù)網(wǎng)絡開放系統(tǒng)互連7層模型制定了一個網(wǎng)絡平安體系構造，用來解決網(wǎng)絡系統(tǒng)中的信息平安問題，如表1所示防火墻的根本準則:未被允許的就是制止的。 基于該準則，防火墻應封鎖所有信息流，然后對希望提供的效勞逐項開放。這是一種非常實用的方法，可以造成一種相當平安的環(huán)境，因為只有經(jīng)過仔細挑選的效勞才被允許使用。其弊端是，平安性高于用戶使用的方便性，用戶所能使用的圍大大受到限制。防火墻是實現(xiàn)平安訪問控制的，因此按照OSIRM，防火墻可以在OSI

4、RM7層中的5層設置，如圖1所示：防火墻從功能上來分通常由以下幾局部組成，如圖2所示人機接口訪問控制策略審計平安管理數(shù)據(jù)加密網(wǎng)絡互聯(lián)設備圖2防火墻體系構造目前，從概念上來講，防火墻技術主要分為9種：1包過濾Packet filter防火墻技術，又稱篩選路由器Screening router或網(wǎng)絡層防火墻Network level firewall，它是對進出部網(wǎng)絡的所有信息進展分析，并按照一定的平安策略信息過濾規(guī)則對進出部網(wǎng)絡的信息進展限制，允許授權信息通過，拒絕非授權信息通過。信息過濾規(guī)則是以其所收到的數(shù)據(jù)信息為根底，比方IP數(shù)據(jù)包源地址、IP數(shù)據(jù)包目的地址、封裝協(xié)議類型TCP、UDP、IC

5、MP等、TCPIP源端口號、TCPIP目的端口號、ICMP報文類型等，當一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，相當于此數(shù)據(jù)包所要到達的網(wǎng)絡物理上被斷開，起到了保護部網(wǎng)絡的作用。采用這種技術的防火墻優(yōu)點在于速度快、實現(xiàn)方便，但平安性能差，且由于不同操作系統(tǒng)環(huán)境下TCP和UDP端口號所代表的應用效勞協(xié)議類型有所不同，故兼容性差。2應用層網(wǎng)關級Application level gatewav防火墻技術，又稱代理Pro*y，它由兩局部組成：代理效勞器和篩選路由器。這種防火墻技術是目前最通用的一種，它是把篩選路由器技術和軟件代理技術結合在一起，由篩選路由器負責網(wǎng)絡的互聯(lián)，進展嚴

6、格的數(shù)據(jù)選擇，應用代理則提供給用層效勞的控制，如圖3所示3雙宿主機Dual-homed host技術防火墻技術，又稱堡壘主機Bastion host，它的構造如圖4所示，采用主機取代路由器執(zhí)行平安控制功能，故類似于包過濾防火墻。雙宿主機即一臺配有多個網(wǎng)絡接口的主機，它可以用來在部網(wǎng)絡和外部網(wǎng)絡之間進展尋徑，如果在一臺雙宿主機中尋徑功能被制止了，則這個主機可以隔離與它相連的部網(wǎng)絡與外部網(wǎng)絡之間的通信，而與它相連的部網(wǎng)絡和外部網(wǎng)絡仍可以執(zhí)行由它所提供的網(wǎng)絡應用，如果這個應用允許的話，它們就可以共享數(shù)據(jù)，這樣就保證部網(wǎng)絡和外部網(wǎng)絡的*些節(jié)點之間可以通過雙宿主機上的共享數(shù)據(jù)傳遞信息，但部網(wǎng)絡與外部網(wǎng)絡

7、之間卻不能傳遞信息，從而到達保護部網(wǎng)絡的作用。(4)網(wǎng)絡地址轉換技術。防火墻利用NAT技術能透明地對所有部地址做轉換,使得外部網(wǎng)絡無法了解部網(wǎng)絡的部構造,同時允許部網(wǎng)絡使用自己編的源地址和專用網(wǎng)絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。(5)Internet網(wǎng)關技術。由于是直接串聯(lián)在網(wǎng)絡之中,防火墻必須支持用戶在Internet互聯(lián)的所有效勞,同時還要防止與Internet效勞有關的平安漏洞,故它要能夠以多種平安的應用效勞器(包括FTP、Finger、mail、Ident、News、等)來實現(xiàn)網(wǎng)關功能。 圖5 InternetIntranet防火墻配置在域名效勞方面,新

8、一代防火墻采用兩種獨立的域名效勞器:一種是部DNS效勞器,主要處理部網(wǎng)絡和DNS信息;另一種是外部DNS效勞器,專門用于處理機構部向Internet提供的局部DNS信息。在匿名FTP方面,效勞器只提供對有限的受保護的局部目錄的只讀訪問。在效勞器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻運行。在Finger效勞器中,對外部訪問,防火墻只提供可由部用戶配置的根本的文本信息,而不提供任何與攻擊有關的系統(tǒng)信息。SMTP與POP效勞器要對所有進、出防火墻的做處理,并利用映射與標頭剝除的方法隱除部的環(huán)境。Ident效勞器對用戶連接的識別做專門處理,網(wǎng)絡新聞效勞則為接收來自ISP的新聞開設了專

9、門的磁盤空間。(6)平安效勞器網(wǎng)絡(SSN)。為了適應越來越多的用戶向Internet上提供效勞時對效勞器的需要,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外效勞器實施保護,它利用一網(wǎng)卡將對外效勞器作為一個獨立網(wǎng)絡處理,對外效勞器既是部網(wǎng)絡的一局部,又與部網(wǎng)關完全隔離,這就是平安效勞器網(wǎng)絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從部網(wǎng)上管理。SSN方法提供的平安性要比傳統(tǒng)的隔離區(qū)(DMZ)方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護,SSN與部網(wǎng)之間也有防火墻的保護,而DMZ只是一種在、外部網(wǎng)絡網(wǎng)關之間存在的一種防火墻方式。換言之,一旦SSN

10、受破壞,部網(wǎng)絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,部網(wǎng)絡便暴露于攻擊之下。(7)用戶鑒別與加密。為了降低防火墻產(chǎn)品在Ielnet、FTP等效勞和遠程管理上的平安風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對的加密。(8)用戶定制效勞。為了滿足特定用戶的特定需求,新一代防火墻在提供眾多效勞的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果*一用戶需要建立一個數(shù)據(jù)庫的代理,便可以利用這些支持,方便設置。(9)審計和告警。新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、核信息、核心

11、信息、接收、路徑、發(fā)送、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、效勞器、域名效勞器等。此外,防火墻還在網(wǎng)絡診斷、數(shù)據(jù)備份保全等方面具有特色。二兩主要防火墻的構造。 1包過濾型防火墻它一般由路由器實現(xiàn)，故也被稱為包過濾路由器。如圖6所示：它在網(wǎng)絡層對進入和出去部網(wǎng)絡的所有信息進展分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型，并按照信息過濾規(guī)則進展篩選，假設符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進入部網(wǎng)，否則進展報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù)，如：Telnet

12、效勞器在TCP的23號端口監(jiān)聽遠程連接，假設管理員想阻塞所有進入的Telnet連接，過濾規(guī)則只需設為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術的防火墻速度快，實現(xiàn)方便，但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過，沒有基于用戶的認證，而IP地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀錄。2應用級防火墻大多數(shù)的應用級防火墻產(chǎn)品使用的是應用代理機制，置了代理應用程序，可用代理效勞器作部網(wǎng)和Internet之間的的轉換。假設外部網(wǎng)的用戶要訪問部網(wǎng)，它只能到達代理效勞器，假設符合條件，代理效勞器會到部網(wǎng)取出所需的信息，轉發(fā)出去。同樣道理，部網(wǎng)要訪問I

13、nternet,也要通過代理效勞器的轉接，這樣能監(jiān)控部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄，但它不允許部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的Internet效勞安裝相應的代理效勞器軟件，用戶無法使用未被效勞器支持的效勞。如圖7所示：防火墻技術從其功能上來分，又可分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等各種專用防火墻。通常幾種防火墻技術被一起使用來彌補各自的缺陷，增加系統(tǒng)的平安性能。防火墻雖然能對外部網(wǎng)絡的功擊實施有效的防護，但對來自部網(wǎng)絡的功擊卻無能為力。網(wǎng)絡平安單靠防火墻是不夠的，還需考慮其它技術和非技術的因素，如信息加密技

14、術、制訂法規(guī)、提高網(wǎng)絡管理使用人員的平安意識等。就防火墻本身來看，包過濾技術和代理訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、平安核等。但實踐證明，防火墻仍然是網(wǎng)絡平安中最成熟的一種技術。結論：防火墻技術和數(shù)據(jù)加密是網(wǎng)絡平安的手段，是用來拒絕未經(jīng)授權的用戶訪問，阻止未經(jīng)授權的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受阻礙地訪問網(wǎng)絡資源，如果使用得當，可以在很大程度上提高網(wǎng)絡平安性能，但是并不能百分之百解決網(wǎng)絡上的信息平安問題，安防病毒的軟件并定期執(zhí)行檢測，使用數(shù)字簽名技術和數(shù)字證書等等，都是加強電子商務平安的重要技術措施。當然，任何一個平安產(chǎn)品或技術都不會提供永遠和絕對的平安，因為