网络安全防火墙技术论文

电子商务安全技术的发展和应用 摘要 随着电子商务日益成为国民经济的亮点 Internet 逐渐发展成为 电子商务的最佳载体 然而 互联网充分开放 不设防护的特点使加强电 子商务的安全问题日益紧迫 在电子商务的交易中 经济信息 资金都要 通过网络传输 交易双方的身份也需要认证 因此 电子商务的安全性主要是 网络平台的安全和交易信息的安全 而网络平台的安全是指网络操作系统对抗 网络攻击 病毒 使网络系统连续稳定的运行 防火墙技术 数据加解密技术 数字签名 身份认证和安全电子商务的国际规范等 关键字 安全技术 防火墙 数据加密 防火墙技术 1 防火墙是一种用来加强网络之间访问控制的特殊网络互联设备 如路由 器 网关等 它对两个或多个网络之间传输的数据包和链接方式按照一定的安 全策略进行检查 来决定网络之间的通信是否被允许 其中被保护的网络称为 内部网络 另一方则称为外部网络或公用网络 它能有效地控制内部网络与外 部网络之间的访问及数据传送 从而达到保护内部网络的信息不受外部非授权 用户的访问和过滤不良信息的目的 所有来自 Internet 的传输信息或你发电 子商务资料库的信息都必须经过防火墙 这样防火墙就起到了保护诸如电子邮 件 文件传输 远程登录 在特定的系统间进行信息交换等安全的作用 防火 墙是网络安全策略的有机组成部分 它通过控制和监测网络之间的信息交换和访 问行为来实现对网络安全的有效管理 从总体上看 防火墙应该具有以下五大基 本功能 1 过滤进 出网络的数据 2 管理进 出网络的访问行为 3 封堵某些禁止行为 4 记录通过防火墙的信息内容和活动 5 对网络攻击进行检测和告警 国际标准化组织的计算机专业委员会根据网络开放系统互连 7 层模型制定 了一个网络安全体系结构 用来解决网络系统中的信息安全问题 如表 1 所示 2 防火墙的基本准则 未被允许的就是禁止的 基于该准则 防火墙应封锁所有信息流 然后对希望提供的服务逐项开放 这是一种非常实用的方法 可以造成一种相当安全的环境 因为只有经过仔细 挑选的服务才被允许使用 其弊端是 安全性高于用户使用的方便性 用户所 能使用的范围大大受到限制 防火墙是实现安全访问控制的 因此按照 OSI RM 防火墙可以在 OSI RM7 层中的 5 层设置 如图 1 所示 防火墙从功能上来分通常由以下几部分组成 如图 2 所示 人机接口 图 2 防火墙体系结构 目前 从概念上来讲 防火墙技术主要分为 9 种 1 包过滤 Packet filter 防火墙技术 又称筛选路由器 Screening router 或网络层防火墙 Network level firewall 它是对进出内部网络的 所有信息进行分析 并按照一定的安全策略 信息过滤规则对进出内部网络 的信息进行限制 允许授权信息通过 拒绝非授权信息通过 信息过滤规则是 以其所收到的数据包头信息为基础 比如 IP 数据包源地址 IP 数据包目的地 址 封装协议类型 TCP UDP ICMP 等 TCP IP 源端口号 TCP IP 目的端 口号 ICMP 报文类型等 当一个数据包满足过滤规则 则允许此数据包通过 否则拒绝此包通过 相当于此数据包所要到达的网络物理上被断开 起到了保 护内部网络的作用 采用这种技术的防火墙优点在于速度快 实现方便 但安 全性能差 且由于不同操作系统环境下 TCP 和 UDP 端口号所代表的应用服务协 议类型有所不同 故兼容性差 2 应用层网关级 Application level gatewav 防火墙技术 又称代 理 Proxy 它由两部分组成 代理服务器和筛选路由器 这种防火墙技术是 目前最通用的一种 它是把筛选路由器技术和软件代理技术结合在一起 由筛 选路由器负责网络的互联 进行严格的数据选择 应用代理则提供应用层服务 的控制 如图 3 所示 访问控制策略审计安全管理数据加密 网络互联设备 3 双宿主机 Dual homed host 技术防火墙技术 又称堡垒主机 Bastion host 它的结构如图 4 所示 采用主机取代路由器执行安全控制功 能 故类似于包过滤防火墙 双宿主机即一台配有多个网络接口的主机 它可 以用来在内部网络和外部网络之间进行寻径 如果在一台双宿主机中寻径功能 被禁止了 则这个主机可以隔离与它相连的内部网络与外部网络之间的通信 而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用 如果这 个应用允许的话 它们就可以共享数据 这样就保证内部网络和外部网络的某 些节点之间可以通过双宿主机上的共享数据传递信息 但内部网络与外部网络 之间却不能传递信息 从而达到保护内部网络的作用 4 网络地址转换技术 防火墙利用 NAT 技术能透明地对所有内部地址做转换 使得外部网络无法了 解内部网络的内部结构 同时允许内部网络使用自己编的 源地址和专用网络 防 火墙能详尽记录每一个主机的通信 确保每个分组送往正确的地址 5 Internet 网关技术 由于是直接串联在网络之中 防火墙必须支持用户在 Internet 互联的所有 服务 同时还要防止与 Internet 服务有关的安全漏洞 故它要能够以多种安全的 应用服务器 包括 FTP Finger mail Ident News WWW 等 来实现网关功能 图 5 Internet Intranet 防火墙配置 在域名服务方面 新一代防火墙采用两种独立的域名服务器 一种是内部 DNS 服务器 主要处理内部网络和 DNS 信息 另一种是外部 DNS 服务器 专门用于 处理机构内部向 Internet 提供的部分 DNS 信息 在匿名 FTP 方面 服务器只提供对有限的受保护的部分目录的只读访问 在 WWW 服务器中 只支持静态的网页 而不允许图形或 CGI 代码等在防火墙内运行 在 Finger 服务器中 对外部访问 防火墙只提供可由内部用户配置的基本的文本 信息 而不提供任何与攻击有关的系统信息 SMTP 与 POP 邮件服务器要对所有 进 出防火墙的邮件做处理 并利用邮件映射与标头剥除的方法隐除内部的邮件 环境 Ident 服务器对用户连接的识别做专门处理 网络新闻服务则为接收来自 ISP 的新闻开设了专门的磁盘空间 6 安全服务器网络 SSN 为了适应越来越多的用户向 Internet 上提供服务时对服务器的需要 新一 代防火墙采用分别保护的策略对用户上网的对外服务器实施保护 它利用一张网 卡将对外服务器作为一个独立网络处理 对外服务器既是内部网络的一部分 又 与内部网关完全隔离 这就是安全服务器网络 SSN 技术 而对 SSN 上的主机既 可单独管理 也可设置成通过 FTP Telnet 等方式从内部网上管理 SSN 方法提 供的安全性要比传统的 隔离区 DMZ 方法好得多 因为 SSN 与外部网之间有 防火墙保护 SSN 与内部网之间也有防火墙的保护 而 DMZ 只是一种在内 外部 网络网关之间存在的一种防火墙方式 换言之 一旦 SSN 受破坏 内部网络仍会 处于防火墙的保护之下 而一旦 DMZ 受到破坏 内部网络便暴露于攻击之下 7 用户鉴别与加密 为了降低防火墙产品在 Ielnet FTP 等服务和远程管理上的安全风险 鉴别 功能必不可少 新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手 段 并实现了对邮件的加密 8 用户定制服务 为了满足特定用户的特定需求 新一代防火墙在提供众多服务的同时 还为 用户定制提供支持 这类选项有 通用 TCP 出站 UDP FTP SMTP 等 如果某一 用户需要建立一个数据库的代理 便可以利用这些支持 方便设置 9 审计和告警 新一代防火墙产品采用的审计和告警功能十分健全 日志文件包括 一般信 息 内核信息 核心信息 接收邮件 邮件路径 发送邮件 已收消息 已发 消息 连接需求 已鉴别的访问 告警条件 管理日志 进站代理 FTP 代理 出站代理 邮件服务器 域名服务器等 此外 防火墙还在网络诊断 数据备份 保全等方面具有特色 二 两主要防火墙的构造 1 包过滤型防火墙 它一般由路由器实现 故也被称为包过滤路由器 如图 6 所示 它在网络层对进入和出去内部网络的所有信息进行分析 一般检查数据包 的 IP 源地址 IP 目标地址 TCP 端口号 ICMP 消息类型 并按照信息过滤规 则进行筛选 若符合规则 则允许该数据包通过防火墙进入内部网 否则进行 报警或通知管理员 并且丢弃该包 这样一来 路由器能根据特定的刿则允许 或拒绝流动的数据 如 Telnet 服务器在 TCP 的 23 号端口监听远程连接 若 管理员想阻塞所有进入的 Telnet 连接 过滤规则只需设为丢弃所有的 TCP 端口 号为 23 的数据包 采用这种技术的防火墙速度快 实现方便 但由于它是通过 IP 地址来判断数据包是否允许通过 没有基于用户的认证 而 IP 地址可以伪 造成可信任的外部主机地址 另外它不能提供日志 这样一来就无法发现黑客 的攻击纪录 2 应用级防火墙 大多数的应用级防火墙产品使用的是应用代理机制 内置了代理应用程序 可用代理服务器作内部网和 Internet 之间的的转换 若外部网的用户要访问内 部网 它只能到达代理服务器 若符合条件 代理服务器会到内部网取出所需 的信息 转发出去 同样道理 内部网要访问 Internet 也要通过代理服务器 的转接 这样能监控内部用户访问 Internet 这类防火墙能详细记录所有的访 问纪录 但它不允许内部用户直接访问外部 会使速度变慢 且需要对每一个 特定的 Internet 服务安装相应的代理服务器软件 用户无法使用未被服务器支 持的服务 如图 7 所示 防火墙技术从其功能上来分 又可分为 FTP 防火墙 Telnet 防火墙 Email 防火墙 病毒防火墙等各种专用防火墙 通常几种防火墙技术被一起使 用来弥补各自的缺陷 增加系统的安全性能 防火墙虽然能对外部网络的功击实施有效的防护 但对来自内部网络的功 击却无能为力 网络安全单靠防火墙是不够的 还需考虑其它技术和非技术的 因素 如信息加密技术 制订法规 提高网络管理使用人员的安全意识等 就 防火墙本身来看 包过滤技术和代理访问模式等都有一定的局限性 因此人们 正在寻找更有效的防火墙 如加密路由器 身份证 安全内核等 但实践证 明 防火墙仍然是网络安全中最成熟的一种技术 结论 结论 防火墙技术和数据加密是网络安全的手段 是用来拒绝未经授权的用户访 问 阻止未经授权的用户存取敏感数据 同时允许合法用户不受妨碍地访问网 络资源 如果使用得当 可以在很大程度上提高网络安全性能 但是并不能百 分之百解决网络上的信息安全问题 安防病毒的软件并定期执行检测 使用数 字签名技术和数字证书等等 都是加强电子商务安全的重要技术措施 当然 任何一个安全产品或技术都不会提供永远和绝对的安全 因为网络在变化