电子商务交易过程中的安全与防范

电子商务交易过程中的安全与防范(防火墙技术）防火墙技术防火墙便是网络安全问题的解决方案之一。和其他网络安全技术相比，防火墙技术相对成熟。它通过监测、限制和更改跨越防火墙的数据流等多种技术，尽可能地对外部网络屏蔽有关被保护网络的结构信息，实现对内部网络的安全保护。虽然防火墙不能有效地解决所有的网络安全问题，但目前普遍的观点是不能在没有防火墙保护下，通过服务器或其他设备在网络上提供网络服务。网络安全的保障和维护离不开防火墙。防火墙概述防火墙的基本概念及特征人们借鉴传统“防火墙”的概念，在内部网络和外部网络之间构建起一道安全屏障，这道屏障的作用是阻断来自外部的威胁和入侵，提供负责本地网络的安全和审计的关卡。取传统防火墙的喻义，这种屏蔽系统就叫做网络防火墙或防火墙系统。防火墙的基本概念及特征防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。其最主要功能是屏蔽和允许指定的数据通信，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通信的合法性。防火墙基于一定的软硬件，使互联网与局域网之间建立起一个安全网关（securitygateway），从而保护内部网络免受非法用户的侵入。防火墙的基本概念及特征防火墙一般由网络政策、验证工具、包过滤和应用网关4个部分组成。1）网络政策网络政策一般包括服务访问政策和防火墙设计政策。（1）服务访问政策用以确定受限的网络许可、明确拒绝的服务以及如何使用这些服务及例外条件。通过确定服务访问政策，可以确定如何使用互联网、如何控制外部网络访问等全局性问题。需要强调的是，这种政策是一个部门有关保护信息资源政策的延伸，通常应在部署防火墙前拟定。（2）防火墙设计政策定义用来实施服务访问政策的有关规则，描述各种限制访问的具体实现，是服务访问政策的细化和实施方案。例如，它可以包含以下基本设计规则：拒绝访问除明确许可以外的任何一种服务。允许访问除明确拒绝以外的任何一种服务。防火墙的基本概念及特征

2）验证工具验证工具用以保护用户的口令等信息免受入侵者监视和盗用。目前常用的有智能卡、验证令牌、生物特征识别等技术。由于防火墙可以集中控制网络访问，因此是安装验证工具的理想场所。虽然许多验证措施也可以应用到每个主机，但把各项验证措施集中于防火墙中实现更切合实际，更便于管理。防火墙的基本概念及特征

3）包过滤包过滤的原理在于监视并过滤流入流出的IP包，拒绝发送可疑的包。过滤的依据主要包括IP源地址、IP目的地址、封装协议、TCP/UDP源端口、ICMP包类型等。其功能主要包括从属服务（以某一特定服务为基础的信息流）过滤和独立于服务的过滤。对基于特定端口的远程连接进行过滤是从属服务过滤的典型例子，而独立于服务的过滤可以有效阻止地址欺骗攻击、源路由攻击、残片攻击等。防火墙的基本概念及特征

4）应用网关为了克服包过滤的某些弱点，防火墙需使用应用软件来转发和过滤Telnet和Ftp等服务的连接，这种应用成为代理服务，相应的系统即应用网关。具有应用网关特征的防火墙具有更高的安全性和灵活性。防火墙的基本概念及特征2．典型的防火墙的基本特征（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才可以全面、有效地保护内部网络不受侵害。防火墙的基本概念及特征（2）只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到其他的链路上去。（3）防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当内部网络安全防护重任的先决条件。防火墙的发展展史防火墙的发展展经历了5个时期：（1）第一代防火火墙。第一代代防火墙几乎乎与路由器同同时出现，它它采用了包过过滤(packetfilter)技术，是依附附于路由器的的包过滤功能能而实现的防防火墙。（2）第二代、第第三代防火墙墙。1989年，贝尔实验验室的DavePresotto和HowardTrickey推出了第二代代防火墙，即即电路层防火火墙。同时，，推出了第三三代防火墙，，即应用层防防火墙(或者叫做代理理防火墙)。防火墙的发展展史（3）第四代防火火墙。1992年，USC信息科学院的的BobBraden开发出了基于于动态包过滤滤(dynamicpacketfilter)技术的防火墙墙，这种技术术后来演变为为目前所说的的状态检测(statefulinspection)技术。这就是是第四代防火火墙的雏形。。第四代防火火墙技术成熟熟的标志是1994年以色列的CheckPoint公司推出的商商业化产品。。（4）第五代防火火墙。1998年，NAI公司正式推出出了一种自适适应代理(adaptiveproxy)技术，并在其其产品GauntletFirewallforNT中得以实现，，给代理类型型的防火墙赋赋予了全新的的意义，可以以称之为第五五代防火墙。。防火墙的作用用一般来讲，防防火墙具有如如下作用。1．网络安全的的屏障防火墙（作为为阻塞点、控控制点）能极极大地提高一一个内部网络络的安全性，，并通过过滤滤不安全的服服务来降低风风险。例如，，防火墙可以以禁止不安全全的NFS协议进出受保保护网络，这这样外部的攻攻击者就不可可能利用这些些脆弱的协议议来攻击内部部网络。防火火墙同时可以以保护网络免免受基于路由由的攻击，例例如，IP选项中的源路路由攻击和ICMP重定向中的重重定向路径。。防火墙还可可以拒绝攻击击的报文并通通知防火墙管管理员。防火墙的作用用2．强化网络安安全策略通过以防火墙墙为中心的安安全方案配置置，能将所有有安全软件（（如口令、加加密、身份认认证、审计等等）配置在防防火墙上。与与将网络安全全问题分散到到各个主机上上相比，防火火墙的集中安安全管理更经经济。例如，，在网络访问问时，一次一一密口令系统统和其他的身身份认证系统统完全可以不不必分散到各各个主机上，，而是集中在在防火墙上。。防火墙的作用用3．对网络存取取和访问进行行监控审计如果所有的访访问都经过防防火墙，防火火墙就能记录录下这些访问问并生成日志志记录，同时时也能提供网网络使用情况况的统计数据据。当发生可可疑动作时，，防火墙能进进行适当的报报警，并提供供网络是否受受到监测和攻攻击的详细信信息。另外，，收集到的网网络使用和误误用情况也是是非常重要的的。这些情况况可以清楚地地反映防火墙墙是否能够抵抵挡攻击者的的探测和攻击击、防火墙的的控制是否充充足。而网络络使用的统计计对网络需求求分析和威胁胁分析等有很很大的作用。。防火墙的作用用4．防止内部信信息的外泄通过利用防火火墙对内部网网络的划分，，可实现内部部网络重点网网段的隔离，，从而限制了了局部重点或或敏感网络安安全问题对全全局网络造成成的影响。隐隐私是内部网网络非常关心心的问题，一一个内部网络络中不引人注注意的细节可可能包含了有有关安全的线线索而引起外外部攻击者的的兴趣，甚至至暴露内部网网络的某些安安全漏洞。防火墙的作用用目前的防火墙墙往往还能够够提供以下特特殊功能：（1）IP转换。IP转换的主要功功能有两个，，一是隐藏网网络设备的真真实IP，从而使入侵侵者无法直接接攻击内部网网络，二是可可以使用rfc1918的保留IP，这对IP地址匮乏的网网络是很实用用的。（2）防火墙还支支持具有Internet服务特性的企企业内部网络络技术体系VPN（虚拟专用网网）和在公共共网络中建立立的专用加密密虚拟通道，，以确保通信信安全。（3）杀毒。一般般都通过插件件或联动实现现。（4）与IDS联动。目前实实现这一功能能的产品也有有逐渐增多的的趋势。（5）GUI界面管理。传传统以及一些些UNIX/Linux下的防火墙一一般都是通过过命令行方式式键入命令来来控制访问策策略的，商用用的防火墙一一般都提供了了Web和GUI的界面，以便便于管理员进进行配置工作作。（6）自我保护、、流控和计费费等其他功能能。防火墙的优缺缺点1．防火墙的优优点1）提供扫描、、过滤功能网络间流入流流出的所有数数据均要经过过防火墙。防防火墙对所有有流经的数据据进行扫描，，能够过滤掉掉一些攻击，，以免其在目目标计算机上上执行。2）屏蔽端口防火墙不仅可可以关闭不使使用的端口，，而且还能禁禁止特定端口口的流出通信信，封锁特洛洛伊木马。3）强化网络安安全策略防火墙通过完完善的安全策策略，使符合合规定的请求求通过，阻止止非法请求；；同时可以阻阻止外部网络络擅自连接到到内部网络，，以达到保护护内网的目的的。例如，在在企业中防火火墙可以控制制内部员工的的上网行为，，防止公司机机密信息泄露露。防火墙的优缺缺点4）有效记录网网络连接行为为防火墙可以完完整地记录内内外网互连的的各种请求甚甚至通信信息息。管理员可可以通过这些些记录来判断断非法请求的的来源，内网网是否有病毒毒和木马存在在，是否有人人在外网进行行攻击等。5）屏蔽用户防火墙能够隔隔离网络中的的网段，防止止一个网段出出问题后影响响另一个网段段。防火墙还还可以确保从从外网无法直直接查看到内内网的主机信信息，有效地地保护内网的的安全。防火墙的优缺缺点2．防火墙的缺缺点1）不能防范恶恶意知情者防火墙可以禁禁止系统用户户通过网络连连接发送专有有信息，但用用户可以将数数据复制到其其他介质中带带出去。内部部用户可以破破坏防火墙体体系，巧妙地地修改程序从从而绕开防火火墙。因此，，对于来自知知情者的威胁胁只能加强内内部管理，对对用户进行安安全教育。2）不能防范绕绕开防火墙的的攻击防火墙能够有有效地防止通通过它进行传传输的信息，，然而不能防防止不通过它它进行传输的的信息。如果果站点允许对对防火墙后面面的内部系统统进行连接，，那么防火墙墙就没有办法法阻止入侵者者的入侵行为为。防火墙的优缺缺点3）不能自动防防御新威胁防火墙被用来来防范已知的的威胁，如果果是一个很好好的防火墙设设计方案，可可以防范新的的威胁。但是是没有一个防防火墙能自动动防范所有新新威胁。4）防火墙不能能有效防范病病毒病毒一旦感染染内部受信任任的主机，防防火墙很难对对其行为作出出识别和过滤滤，从而不能能有效防范病病毒。防火墙的分类类防火墙技术发发展至今，已已经出现了许许多成熟的产产品。根据它它们所使用的的技术，结合合OSI层次模型，可可将防火墙分分为以下几种种类型。1．电路层网关关防火墙电路层网关（（circuitgateway）防火墙在网网络的传输层层上实施访问问策略。它通通过在内、外外网络主机之之间建立一个个虚拟电路进进行通信，相相当于在防火火墙上直接开开了一个孔进进行传输，而而应用层防火火墙能严密控控制应用层的的信息。防火墙墙的分分类2．包过过滤型型防火火墙包过滤滤型（（packetfilter）防火火墙是是一种种报文文过滤滤防火火墙，，这个个层次次的防防火墙墙通常常工作作在网网络层层及以以下。。它基基于单单个包包实施施网络络控制制，可可控的的内容容主要要包括括报文文的源源地址址、目目的地地址、、源端端口号号及目目的端端口号号、包包出入入接口口、协协议类类型、、数据据包中中的各各种标标志位位以及及第二二层数数据链链路层层可控控的MAC地址等等。防火墙墙的分分类3．基于于状态态的包包过滤滤防火火墙这种防防火墙墙在传传统的的包过过滤防防火墙墙的基基础上上增加加了对对OSI参考模模型第第四层层的支支持，，同时时，防防火墙墙会在在自身身cache或内存存中维维护一一个动动态的的状态态表，，数据据包到到达时时，对对该数数据包包的处处理方方式将将综合合访问问规则则和数数据包包所处处的状状态。。防火墙墙的分分类防火墙墙的分分类5．混合合型防防火墙墙混合型型防火火墙（（hybridfirewall），就就是把把过滤滤和代代理服服务等等功能能结合合起来来，形形成新新的防防火墙墙，所所用主主机称称为堡堡垒主主机，，负责责代理理服务务。6．基于于状态态检测测的防防火墙墙目前，，基于于状态态检测测的防防火墙墙是属属于比比较新新的产产品，，是由由CheckPoint公司最最先推推出的的，其其设计计思想想源于于基于于状态态的包包过滤滤防火火墙，，只是是在此此基础础上增增加了了对应应用层层数据据包的的审核核。防火墙墙的分分类7．自适适应代代理技技术自适应应代理理技术术是一一种最最新的的防火火墙技技术，，在一一定程程度上上反映映了防防火墙墙目前前的发发展动动态。。该技技术可可以根根据用用户定定义的的安全全策略略，动动态适适应传传送中中的分分组流流量。。如果果安全全要求求较高高，则则安全全检查查应在在应用用层完完成，，以保保证代代理防防火墙墙的最最大安安全性性；一一旦代代理明明确了了会话话的所所有细细节，，其后后的数数据包包就可可以直直接通通过网网络层层传送送。防火墙墙技术术分类类包过滤滤技术术1．包过过滤原原理包过滤滤技术术的基基本工工作原原理是是允许许或不不允许许某些些包在在网络络上传传输。。其遵遵循的的基本本原则则是““最小小特权权原则则”，，即一一切未未被允允许的的就是是被禁禁止的的，一一切未未被禁禁止的的就是是被允允许的的。包过滤滤技术术2．包过过滤的的工作作方式式几乎所所有的的包过过滤设设备（（过滤滤路由由器或或包过过滤网网关））都按按照如如下方方式工工作：：（1）包过过滤标标准必必须由由包过过滤设设备端端口存存储起起来，，这些些包过过滤标标准叫叫包过过滤规规则。。（2）当包包到达达端口口时，，对包包的报报头进进行语语法分分析，，大多多数包包过滤滤设备备只检检查IP、TCP或UDP报头中中的字字段，，不检检查包包体的的内容容。（3）包过过滤器器规则则以特特殊的的方式式存储储。应应用于于包的的规则则的顺顺序与与包过过滤器器规则则存储储的顺顺序相相同。。（4）如果果一条条规则则阻止止包传传输或或接收收，此此包便便不被被允许许通过过。（5）如果果一条条规则则允许许包传传输或或接收收，该该包可可以继继续处处理。。（6）如果果一个个包不不满足足任何何一条条规则则，该该包被被阻塞塞。包过滤滤技术术3．包过过滤的的分类类目前，，常用用的数数据包包过滤滤技术术有两两种：：静态态包过过滤和和动态态包过过滤。。1）静态态包过过滤一般防防火墙墙的包包过滤滤规则则是在在启动动时配配置好好的，，只有有系统统管理理员可可以修修改，，是静静态存存在的的，称称为静静态规规则。。利用用静态态包过过滤规规则建建立的的防火火墙称称为静静态包包过滤滤防火火墙。。这种种类型型的防防火墙墙根据据定义义好的的过滤滤规则则审查查每个个数据据包，，并与与规则则表进进行比比较，，以便便确定定其是是否与与某一一条过过滤规规则匹匹配。。2）动态态包过过滤采用这这种技技术的的防火火墙对对通过过其建建立的的每个个连接接都进进行跟跟踪，，并根根据需需要可可动态态地在在过滤滤规则则中增增加和和更新新条目目，即即采用用了基基于连连接状状态的的检查查和动动态设设置包包过滤滤规则则的方方法，，将属属于同同一连连接的的所有有包作作为一一个整整体的的数据据流对对待，，通过过规则则表和和连接接状态态表的的共同同配合合进行行检查查。应用代代理技技术应用代代理型型防火火墙工工作在在OSI参考模模型的的最高高层，，即应应用层层。其其特点点是完完全““阻隔隔”了了网络络通信信流，，通过过对每每种应应用服服务编编制专专门的的代理理程序序，实实现监监视和和控制制应用用层通通信流流的作作用。。应用代代理技技术1．代理理与代代理服服务所谓代代理，，就是是一个个提供供替代代连接接并且且充当当服务务的网网关。。代理理也称称为应应用级级网关关。代理服服务（（proxyservice）是针针对数数据包包过滤滤和应应用网网关技技术存存在的的缺点点而引引入的的防火火墙技技术，，其特特点是是将所所有跨跨越防防火墙墙的网网络通通信链链路分分为两两段。。防火火墙内内部计计算机机系统统间应应用层层的““链接接”，，由两两个终终止代代理服服务器器上的的“链链接””来实实现，，外部部计算算机的的网络络链路路只能能到达达代理理服务务器，，从而而起到到了隔隔离防防火墙墙内外外计算算机系系统的的作用用。应用代代理技技术2．代理理服务务的工工作方方式状态检检测技技术状态检检测技技术是是近几几年才才应用用的防防火墙墙新技技术。。传统统的包包过滤滤防火火墙只只是通通过检检测数数据包包报头头的相相关信信息来来决定定允许许数据据流的的通过过还是是拒绝绝，而而状态态检测测技术术采用用的是是一种种基于于连接接的状状态检检测机机制，，将属属于同同一连连接的的所有有包作作为一一个整整体的的数据据流看看待，，构成成连接接状态态表，，通过过规则则表与与状态态表的的共同同配合合对表表中的的各个个连接接状态态因素素加以以识别别。状态检检测技技术状态检检测防防火墙墙基本本保持持了简简单包包过滤滤防火火墙的的优点点，性性能比比较好好，同同时对对应用用是透透明的的，安安全性性有了了大幅幅提升升；在在此基基础上上，摒摒弃了了简单单包过过滤防防火墙墙仅仅仅考察察进出出网络络的数数据包包，不不关心心数据据包状状态的的缺点点，在在防火火墙的的核心心部分分建立立状态态链接接表，，并将将进出出网络络的数数据当当成一一个个个事件件来处处理。。防火火墙墙的的体体系系结结构构目前前，，常常用用的的防防火火墙墙结结构构主主要要有有双双重重宿宿主主主主机机结结构构、、屏屏蔽蔽主主机机结结构构、、屏屏蔽蔽子子网网结结构构以以及及组组合合结结构构。。这这些些结结构构的的防防火火墙墙所所提提供供的的基基本本服服务务有有终终端端访访问问、、文文件件传传输输、、电电子子邮邮件件、、新新闻闻、、Web服务务以以及及域域名名服服务务。。双重重宿宿主主主主机机结结构构双重重宿宿主主主主机机结结构构双重重宿宿主主主主机机可可以以用用于于把把一一个个内内部部网网络络从从一一个个不不可可信信的的外外部部网网络络分分离离出出来来。。它它不不能能转转发发任任何何TCP/IP流量量，，因因此此，，可可以以彻彻底底隔隔离离内内部部和和外外部部不不可可信信网网络络间间的的任任何何IP流量量。。防防火火墙墙运运行行代代理理软软件件控控制制数数据据包包从从一一个个网网络络流流向向另另一一个个网网络络，，这这样样内内部部网网络络中中的的计计算算机机就就可可以以访访问问外外部部网网络络。。双重重宿宿主主主主机机结结构构在双双重重宿宿主主主主机机结结构构中中，，与与外外部部网网络络直直接接相相连连的的主主机机需需要要承承担担堡堡垒垒主主机机的的角角色色。。它它作作为为一一种种被被强强化化的的可可防防御御进进攻攻的的计计算算机机，，提提供供进进入入内内部部网网络络的的一一个个检检查查点点，，以以达达到到对对整整个个网网络络的的安安全全问问题题集集中中解解决决的的目目的的。。双重重宿宿主主主主机机是是防防火火墙墙体体系系的的基基本本形形态态。。建建立立双双重重宿宿主主主主机机的的关关键键是是要要禁禁止止路路由由，，网网络络之之间间通通信信的的主主要要途途径径是是通通过过应应用用层层的的代代理理软软件件。。如如果果路路由由被被意意外外允允许许，，那那么么双双重重宿宿主主主主机机防防火火墙墙的的功功能能就就会会被被旁旁路路，，内内部部受受保保护护网网络络就就会会完完全全暴暴露露在在危危险险中中。。屏蔽蔽主主机机结结构构1.屏屏蔽蔽路路由由器器屏蔽蔽主主机机结结构构屏蔽蔽主主机机结结构构的的防防火火墙墙比比双双重重宿宿主主主主机机防防火火墙墙更更安安全全。。屏屏蔽蔽主主机机防防火火墙墙体体系系结结构构是是在在防防火火墙墙的的外外面面增增加加了了屏屏蔽蔽路路由由器器。。蔽路路由由器器是是屏屏蔽蔽主主机机结结构构防防火火墙墙的的有有机机组组成成部部分分，，是是保保护护堡堡垒垒主主机机或或服服务务主主机机以以及及内内部部网网络络的的第第一一道道防防线线。。屏蔽路由由器一般般遵循如如下规则则进行数数据过滤滤：任何外外部网络络的主机机只能与与堡垒主主机建立立连接。。只有提提供特定定类型服服务的外外部主机机被允许许连接服服务主机机。仅允许许堡垒主主机或服服务主机机与外部部网络进进行符合合站点安安全规则则的连接接。屏蔽主机机结构2．服务主主机受屏蔽路路由器直直接保护护的可以以是传统统意义上上的堡垒垒主机，，也可以以是功能能丰富的的服务主主机。之之所以称称为服务务主机，，是由于于它往往往需要向向内部和和外部客客户提供供Internet服务，并并担任多多重角色色。例如如，它可可能是邮邮件服务务器、Usenet新闻服务务器和本本站点的的DNS服务器，，它还可可能是文文件服务务器、打打印服务务器等，，甚至它它可能是是本站点点的唯一一一台计计算机。。屏蔽子网网结构屏蔽子网网结构屏蔽子网网防火墙墙体系结结构添加加额外的的安全层层到主机机屏蔽体体系结构构，即通通过添加加周边网网络更进进一步地地把内部部网络与与外网隔隔离。屏蔽子网网体系结结构的最最简单的的形式为为使用两两个屏蔽蔽路由器器，这两两个路由由器分别别位于堡堡垒主机机的两端端，一端端连接内内网，一一端连接接外网。。为了入入侵这种种类型的的体系结结构，入入侵者必必须穿透透两个屏屏蔽路由由器。即即使入侵侵者控制制了堡垒垒主机，，他仍然然需要通通过内网网端的屏屏蔽路由由器才能能到达内内网。组合结构构在构造防防火墙体体系时，，一般很很少使用用单一的的技术，，通常都都是使用用多种解解决方案案的组合合。这种种组合主主要取决决于网管管中心向向用户提提供什么么服务以以及网管管中心能能接受什什么等级级的风险险。还要要看投资资经费、、技术人人员的水水平和时时间等。。一般包包括下面面几种形形式：（1）使用多多个堡垒垒主机。。（2）合并内内部路由由器和外外部路由由器。（3）合并堡堡垒主机机和外部部路由器器。（4）合并堡堡垒主机机和内部部路由器器。（5）使用多多个内部部路由器器。（6）使用多多个外部部路由器器。（7）使用多多个周边边网络。。（8）使用双双重宿主主主机与与屏蔽子子网。防火墙部部署的基基本原则则1．部署位位置首先，应应该安装装防火墙墙的位置置是单位位内部网网络与外外部网络络的接口口处，以以阻挡来来自外部部网络的的入侵；；其次，，如果单单位内部部网络规规模较大大，并且且设置有有虚拟局局域网（（VLAN），则应应该在各各个VLAN之间设置置防火墙墙；第三三，通过过公网连连接的总