探析防火墙技术在电子商务安全中的应用

1、探析防火墙技术在电子商务安全中的应用摘要：防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障，受到 越来越多的关注。本文从防火墙的概念和技术出发，详细分析了防火墙的功能， 并对其保证安全方法的不同进行了分类研究。关键词：信息安全防火墙过滤代理迁移在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有 更高的价值。具有价值的信息必然存在安全性的问题，对于更是如此。经济社会 的发展更要求各用户之间的通信和资源共享，需要将一批计算机连成络才能保证 电子商务活动的正常开展，这样就带来了更多的安全隐患。特别是对当今最大的 络国际互联，很容易遭到别有用心者的恶意攻击和破坏。 信息的泄露问题

2、也 变得日益严重，因此，计算机络的安全性问题就变得越来越重要。如何来保证计算机络的安全性呢？方法虽然很多，但防火墙技术绝对是其 中最高效、实用的方法之一。在构建安全的络环境的过程中，防火墙作为第一道 安全防线，正受到越来越多用户的关注。 通常一个公司在购买络安全设备时， 总 是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的络安全产品之一。 那么，防火墙是如何保证络系统的安全，又如何实现自身安全的呢？本文从防火 墙的概念出发，详细分析了防火墙的功能，并按其保证安全方法的不同进行了分 类:包过滤式防火墙、服务代理式防火墙、迁移式防火墙等。一、防火墙介绍防火墙是指一种将内部和公众访问分开的方

3、法，是络之间一种特殊的访问 控制设施。在In ternet络与内部之间设置的一道屏障，防止黑客进入内部，由 用户制定安全访问策略，抵御各种侵袭的一种隔离技术。它能允许你“同意”的 人和数据进入你的络，将“不同意”的人和数据拒之门外， 最大限度地阻止络中 的黑客来访问你的络，防止他们更改、拷贝、毁坏你的重要信息；能限制被保护 的络与互联络之间，或者与其他络之间进行的信息存取、 传递操作；能根据的安 全策略控制出入络的信息流，且本身具有较强的抗攻击能力。是提供信息安全服 务，实现络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制 器，也是一个分析器，有效地监控了内部和 In terne

4、t之间的任何活动，保证了 内部络的安全。防火墙的安全技术包括包过滤技术、代理技术和迁移技术等。二、防火墙的作用1. 作为络安全的屏障只有经过精心选择的应用协议才能通过防火墙，可使络环境变得更安全。 如防火墙可以禁止NFS协议进出受保护的络，这样外部的攻击者就不可能利用这 些脆弱的协议来攻击内部络。防火墙同时可以保护络免受基于路由的攻击，如 IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所 有以上类型攻击的报文并通知防火墙管理员。2. 可以强化络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、 身份认证、审计等)配置在防火墙上。与将络安全问题分

5、散到各个主机上相比， 防火墙的集中安全管理更经济。例如在络访问时，一次一密口令系统和其他的身 份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。3. 可以对络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供络使用情况的统计数据。 当发生可疑动作时，防火墙能进行适当的报警，并提供络是否受到监测和攻击的详细信息。另外，收集一个络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测 和攻击，并且清楚防火墙的控制是否充足。而络使用统计对络需求分析和威胁分 析等也是非常重要的。4. 可以防止内部信息的外泄通过利用防火

6、墙对内部络的划分，可实现内部重点段的隔离，从而限制了 局部重点或敏感络安全问题对全局络造成的影响。三、防火墙的技术分类1.包过滤技术(Packet Filter )式防火墙包过滤是在络层中对数据包实施有选择的通过，依据系统事先设定好的过 滤逻辑，检查数据据流中的每个数据包，根据数据包的源、目标，以及包所使用 端口确定是否允许该类数据包通过。 在互联这样的信息包交换络上，所有往来的 信息都被分割成许许多多一定长度的信息包，包中包括发送者的IP和接收者的IP。当这些包被送上互联时，路由器会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重

7、新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多，比如国家 有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定 或者“有问题”的国外站点。包过滤路由器的最大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维而攻击一个单纯的护，通常做为第一道防线。包过滤路由器的弊端也是很明显的， 通常它没有用户 的使用记录，这样就不能从访问记录中发现黑客的攻击记录。包过滤式的防火墙对黑客来说是比较容易的。

8、 如“信息包冲击”是黑客比较常用 的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包， 不过这些包中的 IP已经被替换掉了，取而代之的是一串顺序的IP。一旦有一个包通过了防火墙， 黑客便可以用这个IP来伪装他们发出的信息。通常它没有用户的使用记录，这 样我们就不能从访问记录中发现黑客的攻击记录；此外，配置繁琐也是包过滤防 火墙的一个缺点。它阻挡别人进入内部络，但也不告诉你何人进入你的系统， 或 者何人从内部进入际路。它可以阻止外部对私有络的访问，却不能记录内部的访 问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止ip盗用。所以说包过滤型防火墙是某种意义上的

9、安全系统。2.代理服务式防火墙代理服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台主 机上。代理服务器与路由器的合作，路由器实现内部和外部络交互时的信息流导 向，将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层，其 特点是完全“阻隔” 了络通信流，通过对每种应用服务编制专门的代理程序， 实 现监视和控制应用层通信流的作用。 代理服务的实质是中介作用，它不允许内部 和外部之间进行直接的通信。用户希望访问内部某个应用服务器时，实际上是向运行在防火墙上的代理 服务软件提出请求，建立连接；理服务器代表它向要访问的应用系统提出请求， 建立连接;应用系统给予代理服务器响应；代理服务

10、器给予外部用户以响应。外部 用户与应用服务器之间的数据传输全部由代理服务器中转，外部用户无法直接与应用服务器交互，避免了来自外部用户的攻击。通常代理服务是针对特定的应用服务而言的，不同的应用服务可以设置不同的代理服务器。目前，很多内部络都同时使用分组过滤路由器和代理服务器来保证内部络的安全性，并且取得了较好的效果。3.迁移式防火墙由于多种原因，IPv4逐步面临耗尽的危机，而Ipv6的实际应用还有待时日。 随着上的人数增多，获得的公共IP （称全局IP，或者实际IP）可能难以和上的 实际设备数目匹配，这种现象具有加剧的倾向。一种可能的解决方案是为每个分配若干个全局IP，内部使用自定义的IP （称

11、为本地IP或者虚拟IP）。当内 外用户希望相互访问时,专门的路由器（NAT路由器）负责全局/本地IP的映射。NAT路由器位于不同域的边界处，通过保留部分全局IP的分配权来支持IP数据 报的跨传输。其工作原理：(1)绑定(静态或者动态的建立本地 /全局的映射关 系)；(2)查找和转换(对数据报中的相关信息进行修改)；(3)解绑定(释放全局)。迁移式防火墙实际上融合了分组过滤和应用代理的设计思想，可以根据应 用的需求限定允许内外访问的结点；可以屏蔽内的，保证内的安全性。数据报分析是NAT路由器必须做的工作(例如，修改IP数据报携带的高层协议数据单 元中的信息)，因此可以有选择地提供/拒绝部分跨的应用服务。四、小结在互联上防火墙是一种非常有效的络安全模型，通