电子商务交易过程中的安全与防范

1、电子商务交易过程中的安全与防范(防火墙技术）防火墙技技术防火墙便便是网络络安全问问题的解解决方案案之一。和其他他网络安安全技术术相比，防火墙墙技术相相对成熟熟。它通通过监测测、限制制和更改改跨越防防火墙的的数据流流等多种种技术，尽可能能地对外外部网络络屏蔽有有关被保保护网络络的结构构信息，实现对对内部网网络的安安全保护护。虽然防火火墙不能能有效地地解决所所有的网网络安全全问题，但目前前普遍的的观点是是不能在在没有防防火墙保保护下，通过服服务器或或其他设设备在网网络上提提供网络络服务。网络安安全的保保障和维维护离不不开防火火墙。防火墙概概述防火墙的的基本概概念及特特征人们借鉴鉴传统“防火墙墙”的

2、概概念，在在内部网网络和外外部网络络之间构构建起一一道安全全屏障，这道屏屏障的作作用是阻阻断来自自外部的的威胁和和入侵，提供负负责本地地网络的的安全和和审计的的关卡。取传统统防火墙墙的喻义义，这种种屏蔽系系统就叫叫做网络络防火墙墙或防火火墙系统统。防火墙的的基本概概念及特特征防火墙是是在两个个网络间间实现访访问控制制的一个个或一组组软件或或硬件系系统。其其最主要要功能是是屏蔽和和允许指指定的数数据通信信，而该该功能的的实现又又主要是是依靠一一套访问问控制策策略，由由访问控控制策略略来决定定通信的的合法性性。防火火墙基于于一定的的软硬件件，使互互联网与与局域网网之间建建立起一一个安全全网关（se

3、curitygateway），从而而保护内内部网络络免受非非法用户户的侵入入。防火墙的的基本概概念及特特征防火墙一一般由网网络政策策、验证证工具、包过滤滤和应用用网关4个部分组组成。1）网络政政策网络政策策一般包包括服务务访问政政策和防防火墙设设计政策策。（1）服务访访问政策策用以确确定受限限的网络络许可、明确拒拒绝的服服务以及及如何使使用这些些服务及及例外条条件。通通过确定定服务访访问政策策，可以以确定如如何使用用互联网网、如何何控制外外部网络络访问等等全局性性问题。需要强强调的是是，这种种政策是是一个部部门有关关保护信信息资源源政策的的延伸，通常应应在部署署防火墙墙前拟定定。（2）防火墙墙

4、设计政政策定义义用来实实施服务务访问政政策的有有关规则则，描述述各种限限制访问问的具体体实现，是服务务访问政政策的细细化和实实施方案案。例如如，它可可以包含含以下基基本设计计规则：拒绝访访问除明明确许可可以外的的任何一一种服务务。允许访访问除明明确拒绝绝以外的的任何一一种服务务。防火墙的的基本概概念及特特征2）验证工工具验证工具具用以保保护用户户的口令令等信息息免受入入侵者监监视和盗盗用。目目前常用用的有智智能卡、验证令令牌、生生物特征征识别等等技术。由于防防火墙可可以集中中控制网网络访问问，因此此是安装装验证工工具的理理想场所所。虽然然许多验验证措施施也可以以应用到到每个主主机，但但把各项项

5、验证措措施集中中于防火火墙中实实现更切切合实际际，更便便于管理理。防火墙的的基本概概念及特特征3）包过滤滤包过滤的的原理在在于监视视并过滤滤流入流流出的IP包，拒绝绝发送可可疑的包包。过滤滤的依据据主要包包括IP源地址、IP目的地址址、封装装协议、TCP/UDP源端口、ICMP包类型等等。其功功能主要要包括从从属服务务（以某某一特定定服务为为基础的的信息流流）过滤滤和独立立于服务务的过滤滤。对基基于特定定端口的的远程连连接进行行过滤是是从属服服务过滤滤的典型型例子，而独立立于服务务的过滤滤可以有有效阻止止地址欺欺骗攻击击、源路路由攻击击、残片片攻击等等。防火墙的的基本概概念及特特征4）应用网网

6、关为了克服服包过滤滤的某些些弱点，防火墙墙需使用用应用软软件来转转发和过过滤Telnet和Ftp等服务的的连接，这种应应用成为为代理服服务，相相应的系系统即应应用网关关。具有有应用网网关特征征的防火火墙具有有更高的的安全性性和灵活活性。防火墙的的基本概概念及特特征2典型的的防火墙墙的基本本特征（1）内部网网络和外外部网络络之间的的所有网网络数据据流都必必须经过过防火墙墙。这是是防火墙墙所处网网络位置置的特性性，同时时也是一一个前提提。因为为只有当当防火墙墙是内、外部网网络之间间通信的的唯一通通道时，才可以以全面、有效地地保护内内部网络络不受侵侵害。防火墙的的基本概概念及特特征（2）只有符符合安

7、全全策略的的数据流流才能通通过防火火墙。防防火墙最最基本的的功能是是确保网网络流量量的合法法性，并并在此前前提下将将网络的的流量快快速地从从一条链链路转发发到其他他的链路路上去。（3）防火墙墙自身应应具有非非常强的的抗攻击击免疫力力。这是是防火墙墙之所以以能担当当内部网网络安全全防护重重任的先先决条件件。防火墙的的发展史史防火墙的的发展经经历了5个时期：（1）第一代代防火墙墙。第一一代防火火墙几乎乎与路由由器同时时出现，它采用用了包过过滤(packet filter)技术，是是依附于于路由器器的包过过滤功能能而实现现的防火火墙。（2）第二代代、第三三代防火火墙。1989年，贝尔尔实验室室的Da

8、ve Presotto和HowardTrickey推出了第第二代防防火墙，即电路路层防火火墙。同同时，推推出了第第三代防防火墙，即应用用层防火火墙(或者叫做做代理防防火墙)。防火墙的的发展史史（3）第四代代防火墙墙。1992年，USC信息科学学院的BobBraden开发出了了基于动动态包过过滤(dynamicpacketfilter)技术的防防火墙，这种技技术后来来演变为为目前所所说的状状态检测测(statefulinspection)技术。这这就是第第四代防防火墙的的雏形。第四代代防火墙墙技术成成熟的标标志是1994年以色列列的CheckPoint公司推出出的商业业化产品品。（4）第五代代防

9、火墙墙。1998年，NAI公司正式式推出了了一种自自适应代代理(adaptiveproxy)技术，并并在其产产品GauntletFirewallforNT中得以实实现，给给代理类类型的防防火墙赋赋予了全全新的意意义，可可以称之之为第五五代防火火墙。防火墙的的作用一般来讲讲，防火火墙具有有如下作作用。1网络安安全的屏屏障防火墙（作为阻阻塞点、控制点点）能极极大地提提高一个个内部网网络的安安全性，并通过过过滤不不安全的的服务来来降低风风险。例例如，防防火墙可可以禁止止不安全全的NFS协议进出出受保护护网络，这样外外部的攻攻击者就就不可能能利用这这些脆弱弱的协议议来攻击击内部网网络。防防火墙同同时可

10、以以保护网网络免受受基于路路由的攻攻击，例例如，IP选项中的的源路由由攻击和和ICMP重定向中中的重定定向路径径。防火火墙还可可以拒绝绝攻击的的报文并并通知防防火墙管管理员。防火墙的的作用2强化网网络安全全策略通过以防防火墙为为中心的的安全方方案配置置，能将将所有安安全软件件（如口口令、加加密、身身份认证证、审计计等）配配置在防防火墙上上。与将将网络安安全问题题分散到到各个主主机上相相比，防防火墙的的集中安安全管理理更经济济。例如如，在网网络访问问时，一一次一密密口令系系统和其其他的身身份认证证系统完完全可以以不必分分散到各各个主机机上，而而是集中中在防火火墙上。防火墙的的作用3对网络络存取和

11、和访问进进行监控控审计如果所有有的访问问都经过过防火墙墙，防火火墙就能能记录下下这些访访问并生生成日志志记录，同时也也能提供供网络使使用情况况的统计计数据。当发生生可疑动动作时，防火墙墙能进行行适当的的报警，并提供供网络是是否受到到监测和和攻击的的详细信信息。另另外，收收集到的的网络使使用和误误用情况况也是非非常重要要的。这这些情况况可以清清楚地反反映防火火墙是否否能够抵抵挡攻击击者的探探测和攻攻击、防防火墙的的控制是是否充足足。而网网络使用用的统计计对网络络需求分分析和威威胁分析析等有很很大的作作用。防火墙的的作用4防止内内部信息息的外泄泄通过利用用防火墙墙对内部部网络的的划分，可实现现内部

12、网网络重点点网段的的隔离，从而限限制了局局部重点点或敏感感网络安安全问题题对全局局网络造造成的影影响。隐隐私是内内部网络络非常关关心的问问题，一一个内部部网络中中不引人人注意的的细节可可能包含含了有关关安全的的线索而而引起外外部攻击击者的兴兴趣，甚甚至暴露露内部网网络的某某些安全全漏洞。防火墙的的作用目前的防防火墙往往往还能能够提供供以下特特殊功能能：（1）IP转换。IP转换的主主要功能能有两个个，一是是隐藏网网络设备备的真实实IP，从而使使入侵者者无法直直接攻击击内部网网络，二二是可以以使用rfc1918的保留IP，这对IP地址匮乏乏的网络络是很实实用的。（2）防火墙墙还支持持具有Inter

13、net服务特性性的企业业内部网网络技术术体系VPN（虚拟专专用网）和在公公共网络络中建立立的专用用加密虚虚拟通道道，以确确保通信信安全。（3）杀毒。一般都都通过插插件或联联动实现现。（4）与IDS联动。目目前实现现这一功功能的产产品也有有逐渐增增多的趋趋势。（5）GUI界面管理理。传统统以及一一些UNIX/Linux下的防火火墙一般般都是通通过命令令行方式式键入命命令来控控制访问问策略的的，商用用的防火火墙一般般都提供供了Web和GUI的界面，以便于于管理员员进行配配置工作作。（6）自我保保护、流流控和计计费等其其他功能能。防火墙的的优缺点点1防火墙墙的优点点1）提供扫扫描、过过滤功能能网络间

14、流流入流出出的所有有数据均均要经过过防火墙墙。防火火墙对所所有流经经的数据据进行扫扫描，能能够过滤滤掉一些些攻击，以免其其在目标标计算机机上执行行。2）屏蔽端端口防火墙不不仅可以以关闭不不使用的的端口，而且还还能禁止止特定端端口的流流出通信信，封锁锁特洛伊伊木马。3）强化网网络安全全策略防火墙通通过完善善的安全全策略，使符合合规定的的请求通通过，阻阻止非法法请求；同时可可以阻止止外部网网络擅自自连接到到内部网网络，以以达到保保护内网网的目的的。例如如，在企企业中防防火墙可可以控制制内部员员工的上上网行为为，防止止公司机机密信息息泄露。防火墙的的优缺点点4）有效记记录网络络连接行行为防火墙可可以

15、完整整地记录录内外网网互连的的各种请请求甚至至通信信信息。管管理员可可以通过过这些记记录来判判断非法法请求的的来源，内网是是否有病病毒和木木马存在在，是否否有人在在外网进进行攻击击等。5）屏蔽用用户防火墙能能够隔离离网络中中的网段段，防止止一个网网段出问问题后影影响另一一个网段段。防火火墙还可可以确保保从外网网无法直直接查看看到内网网的主机机信息，有效地地保护内内网的安安全。防火墙的的优缺点点2防火墙墙的缺点点1）不能防防范恶意意知情者者防火墙可可以禁止止系统用用户通过过网络连连接发送送专有信信息，但但用户可可以将数数据复制制到其他他介质中中带出去去。内部部用户可可以破坏坏防火墙墙体系，巧妙地

16、地修改程程序从而而绕开防防火墙。因此，对于来来自知情情者的威威胁只能能加强内内部管理理，对用用户进行行安全教教育。2）不能防防范绕开开防火墙墙的攻击击防火墙能能够有效效地防止止通过它它进行传传输的信信息，然然而不能能防止不不通过它它进行传传输的信信息。如如果站点点允许对对防火墙墙后面的的内部系系统进行行连接，那么防防火墙就就没有办办法阻止止入侵者者的入侵侵行为。防火墙的的优缺点点3）不能自自动防御御新威胁胁防火墙被被用来防防范已知知的威胁胁，如果果是一个个很好的的防火墙墙设计方方案，可可以防范范新的威威胁。但但是没有有一个防防火墙能能自动防防范所有有新威胁胁。4）防火墙墙不能有有效防范范病毒病

17、毒一旦旦感染内内部受信信任的主主机，防防火墙很很难对其其行为作作出识别别和过滤滤，从而而不能有有效防范范病毒。防火墙的的分类防火墙技技术发展展至今，已经出出现了许许多成熟熟的产品品。根据据它们所所使用的的技术，结合OSI层次模型型，可将将防火墙墙分为以以下几种种类型。1电路层层网关防防火墙电路层网网关（circuit gateway）防火墙墙在网络络的传输输层上实实施访问问策略。它通过过在内、外网络络主机之之间建立立一个虚虚拟电路路进行通通信，相相当于在在防火墙墙上直接接开了一一个孔进进行传输输，而应应用层防防火墙能能严密控控制应用用层的信信息。防火墙的的分类2包过滤滤型防火火墙包过滤型型（p

18、acketfilter）防火墙墙是一种种报文过过滤防火火墙，这这个层次次的防火火墙通常常工作在在网络层层及以下下。它基基于单个个包实施施网络控控制，可可控的内内容主要要包括报报文的源源地址、目的地地址、源源端口号号及目的的端口号号、包出出入接口口、协议议类型、数据包包中的各各种标志志位以及及第二层层数据链链路层可可控的MAC地址等。防火墙的的分类3基于状状态的包包过滤防防火墙这种防火火墙在传传统的包包过滤防防火墙的的基础上上增加了了对OSI参考模型型第四层层的支持持，同时时，防火火墙会在在自身cache或内存中中维护一一个动态态的状态态表，数数据包到到达时，对该数数据包的的处理方方式将综综合访

19、问问规则和和数据包包所处的的状态。防火墙的的分类防火墙的的分类5混合型型防火墙墙混合型防防火墙（hybridfirewall），就是是把过滤滤和代理理服务等等功能结结合起来来，形成成新的防防火墙，所用主主机称为为堡垒主主机，负负责代理理服务。6基于状状态检测测的防火火墙目前，基基于状态态检测的的防火墙墙是属于于比较新新的产品品，是由由CheckPoint公司最先先推出的的，其设设计思想想源于基基于状态态的包过过滤防火火墙，只只是在此此基础上上增加了了对应用用层数据据包的审审核。防火墙的的分类7自适应应代理技技术自适应代代理技术术是一种种最新的的防火墙墙技术，在一定定程度上上反映了了防火墙墙目前

20、的的发展动动态。该该技术可可以根据据用户定定义的安安全策略略，动态态适应传传送中的的分组流流量。如如果安全全要求较较高，则则安全检检查应在在应用层层完成，以保证证代理防防火墙的的最大安安全性；一旦代代理明确确了会话话的所有有细节，其后的的数据包包就可以以直接通通过网络络层传送送。防火墙技技术分类类包过滤技技术1包过滤滤原理包过滤技技术的基基本工作作原理是是允许或或不允许许某些包包在网络络上传输输。其遵遵循的基基本原则则是“最最小特权权原则”，即一一切未被被允许的的就是被被禁止的的，一切切未被禁禁止的就就是被允允许的。包过滤技技术2包过滤滤的工作作方式几乎所有有的包过过滤设备备（过滤滤路由器器或

21、包过过滤网关关）都按按照如下下方式工工作：（1）包过滤滤标准必必须由包包过滤设设备端口口存储起起来，这这些包过过滤标准准叫包过过滤规则则。（2）当包到到达端口口时，对对包的报报头进行行语法分分析，大大多数包包过滤设设备只检检查IP、TCP或UDP报头中的的字段，不检查查包体的的内容。（3）包过滤滤器规则则以特殊殊的方式式存储。应用于于包的规规则的顺顺序与包包过滤器器规则存存储的顺顺序相同同。（4）如果一一条规则则阻止包包传输或或接收，此包便便不被允允许通过过。（5）如果一一条规则则允许包包传输或或接收，该包可可以继续续处理。（6）如果一一个包不不满足任任何一条条规则，该包被被阻塞。包过滤技技术

22、3包过滤滤的分类类目前，常常用的数数据包过过滤技术术有两种种：静态态包过滤滤和动态态包过滤滤。1）静态包包过滤一般防火火墙的包包过滤规规则是在在启动时时配置好好的，只只有系统统管理员员可以修修改，是是静态存存在的，称为静静态规则则。利用用静态包包过滤规规则建立立的防火火墙称为为静态包包过滤防防火墙。这种类类型的防防火墙根根据定义义好的过过滤规则则审查每每个数据据包，并并与规则则表进行行比较，以便确确定其是是否与某某一条过过滤规则则匹配。2）动态包包过滤采用这种种技术的的防火墙墙对通过过其建立立的每个个连接都都进行跟跟踪，并并根据需需要可动动态地在在过滤规规则中增增加和更更新条目目，即采采用了基

23、基于连接接状态的的检查和和动态设设置包过过滤规则则的方法法，将属属于同一一连接的的所有包包作为一一个整体体的数据据流对待待，通过过规则表表和连接接状态表表的共同同配合进进行检查查。应用代理理技术应用代理理型防火火墙工作作在OSI参考模型型的最高高层，即即应用层层。其特特点是完完全“阻阻隔”了了网络通通信流，通过对对每种应应用服务务编制专专门的代代理程序序，实现现监视和和控制应应用层通通信流的的作用。应用代理理技术1代理与与代理服服务所谓代理理，就是是一个提提供替代代连接并并且充当当服务的的网关。代理也也称为应应用级网网关。代理服务务（proxyservice）是针对对数据包包过滤和和应用网网关

24、技术术存在的的缺点而而引入的的防火墙墙技术，其特点点是将所所有跨越越防火墙墙的网络络通信链链路分为为两段。防火墙墙内部计计算机系系统间应应用层的的“链接接”，由由两个终终止代理理服务器器上的“链接”来实现现，外部部计算机机的网络络链路只只能到达达代理服服务器，从而起起到了隔隔离防火火墙内外外计算机机系统的的作用。应用代理理技术2代理服服务的工工作方式式状态检测测技术状态检测测技术是是近几年年才应用用的防火火墙新技技术。传传统的包包过滤防防火墙只只是通过过检测数数据包报报头的相相关信息息来决定定允许数数据流的的通过还还是拒绝绝，而状状态检测测技术采采用的是是一种基基于连接接的状态态检测机机制，将

25、将属于同同一连接接的所有有包作为为一个整整体的数数据流看看待，构构成连接接状态表表，通过过规则表表与状态态表的共共同配合合对表中中的各个个连接状状态因素素加以识识别。状态检测测技术状态检测测防火墙墙基本保保持了简简单包过过滤防火火墙的优优点，性性能比较较好，同同时对应应用是透透明的，安全性性有了大大幅提升升；在此此基础上上，摒弃弃了简单单包过滤滤防火墙墙仅仅考考察进出出网络的的数据包包，不关关心数据据包状态态的缺点点，在防防火墙的的核心部部分建立立状态链链接表，并将进进出网络络的数据据当成一一个个事事件来处处理。防火墙的的体系结结构目前，常常用的防防火墙结结构主要要有双重重宿主主主机结构构、屏

26、蔽蔽主机结结构、屏屏蔽子网网结构以以及组合合结构。这些结结构的防防火墙所所提供的的基本服服务有终终端访问问、文件件传输、电子邮邮件、新新闻、Web服务以及及域名服服务。双重宿主主主机结结构双重宿主主主机结结构双重宿主主主机可可以用于于把一个个内部网网络从一一个不可可信的外外部网络络分离出出来。它它不能转转发任何何TCP/IP流量，因因此，可可以彻底底隔离内内部和外外部不可可信网络络间的任任何IP流量。防防火墙运运行代理理软件控控制数据据包从一一个网络络流向另另一个网网络，这这样内部部网络中中的计算算机就可可以访问问外部网网络。双重宿主主主机结结构在双重宿宿主主机机结构中中，与外外部网络络直接相

27、相连的主主机需要要承担堡堡垒主机机的角色色。它作作为一种种被强化化的可防防御进攻攻的计算算机，提提供进入入内部网网络的一一个检查查点，以以达到对对整个网网络的安安全问题题集中解解决的目目的。双重宿主主主机是是防火墙墙体系的的基本形形态。建建立双重重宿主主主机的关关键是要要禁止路路由，网网络之间间通信的的主要途途径是通通过应用用层的代代理软件件。如果果路由被被意外允允许，那那么双重重宿主主主机防火火墙的功功能就会会被旁路路，内部部受保护护网络就就会完全全暴露在在危险中中。屏蔽主机机结构1.屏蔽蔽路由器器屏蔽主机机结构屏蔽主机机结构的的防火墙墙比双重重宿主主主机防火火墙更安安全。屏屏蔽主机机防火墙

28、墙体系结结构是在在防火墙墙的外面面增加了了屏蔽路路由器。蔽路由器器是屏蔽蔽主机结结构防火火墙的有有机组成成部分，是保护护堡垒主主机或服服务主机机以及内内部网络络的第一一道防线线。屏蔽路由由器一般般遵循如如下规则则进行数数据过滤滤：任何外外部网络络的主机机只能与与堡垒主主机建立立连接。只有提提供特定定类型服服务的外外部主机机被允许许连接服服务主机机。仅允许许堡垒主主机或服服务主机机与外部部网络进进行符合合站点安安全规则则的连接接。屏蔽主机机结构2服务主主机受屏蔽路路由器直直接保护护的可以以是传统统意义上上的堡垒垒主机，也可以以是功能能丰富的的服务主主机。之之所以称称为服务务主机，是由于于它往往往

29、需要向向内部和和外部客客户提供供Internet服务，并并担任多多重角色色。例如如，它可可能是邮邮件服务务器、Usenet新闻服务务器和本本站点的的DNS服务器，它还可可能是文文件服务务器、打打印服务务器等，甚至它它可能是是本站点点的唯一一一台计计算机。屏蔽子网网结构屏蔽子网网结构屏蔽子网网防火墙墙体系结结构添加加额外的的安全层层到主机机屏蔽体体系结构构，即通通过添加加周边网网络更进进一步地地把内部部网络与与外网隔隔离。屏蔽子网网体系结结构的最最简单的的形式为为使用两两个屏蔽蔽路由器器，这两两个路由由器分别别位于堡堡垒主机机的两端端，一端端连接内内网，一一端连接接外网。为了入入侵这种种类型的的

30、体系结结构，入入侵者必必须穿透透两个屏屏蔽路由由器。即即使入侵侵者控制制了堡垒垒主机，他仍然然需要通通过内网网端的屏屏蔽路由由器才能能到达内内网。组合结构构在构造防防火墙体体系时，一般很很少使用用单一的的技术，通常都都是使用用多种解解决方案案的组合合。这种种组合主主要取决决于网管管中心向向用户提提供什么么服务以以及网管管中心能能接受什什么等级级的风险险。还要要看投资资经费、技术人人员的水水平和时时间等。一般包包括下面面几种形形式：（1）使用多多个堡垒垒主机。（2）合并内内部路由由器和外外部路由由器。（3）合并堡堡垒主机机和外部部路由器器。（4）合并堡堡垒主机机和内部部路由器器。（5）使用多多个内部部路由器器。（6）使用多多个外部部路由器器。（7）使用多多个周边边网络。（8）使用双双重宿主主主机与与屏蔽子子网。防火墙部部署的基基本原则则1部署位位置首先，应应该安装装防火墙墙的位置置是单位位内部网网络与外外部网络络的接口口处，以以阻挡来来自外部部网络的的入侵；其次，如果单单位内部部网络规规模较大大，并且且设置有有虚拟局