防火墙技术在电子商务中的应用大全

PAGEPAGE1防火墙技术在电子商务中的应用[范文大全]第一篇：防火墙技术在电子商务中的应用防火墙技术在电子商务中的应用目录目录(1)内容摘要(2)关键词(2)正文(2)一、电子商务的概念及交易问题(2)（一）、什么是电子商务(2)(二)、电子商务的交易过程(2)二、电子商务中的信息安全问题、特性及威胁(3)(一)、电子交易的安全概念、安全特性(3)（二）、电子商务中的信息安全问题及威胁(4)三、防火墙的技术与体系结构(6)四、防火墙的简介与使用的益处(6)五、防火墙常用技术和性能（11）六、结论(14)参考文献(14)浅谈防火墙技术在电子商务中的应用内容摘要：防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障，受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术，讨论了建立网上安全信任机制的基础。关键词：防火墙电子商务应用正文:一、电子商务的概念及交易问题(一)什么是电子商务电子商务源于英文ElectronicCommerce，简写为EC。是指一个机构利用信息和技术手段，改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系，从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务；本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下，电子商务的含义已不仅仅是单纯的电子购物，电子商务以数据（包括文本、声音和图像）的电子处理和传输为基础，包含了许多不同的活动（如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务）。它涉及产品（消费品和工业品）和服务（信息服务、财务与法律服务）；它包含了使用Internet和Web技术进行的所有的商务活动。(二)、电子商务的交易过程企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。(1)交易前的准备买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品，准备购货款，制订购货计划，进行货源的市场调查和分析，反复进行市场查询，通过交换信息来比较价格和条件，了解各个卖方国家的贸易政策，反复修改购货计划和进货计划，确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划，再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品，进行全面的市场调查和分析，了解各个买方国家的贸易政策，制订各种销售策略和销售方式，制作广告进行宣传，召开商品新闻发布会，利用Internet和各种电子商务网络发布商品广告等手段扩大影响，寻找贸易伙伴和交易机会，扩大贸易范围和商品所占市场的份额。参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等，买卖双方都少不了要为电子商务交易做好准备。(2)交易谈判和签订贸易合同买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判，将双方磋商的结果做成文件，即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法，经过认真谈判和磋商后，将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定，合同双方可以利用电子数据交换(EDI)进行签约，也可以通过数字签名等方式签约。(3)办理交易进行前的手续买卖双方从签订合同到开始履行合同要办理各种手续，这也是双方在交易前的准备过程。交易中要涉及到有关各方，即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换，直到办理完一切手续、商品开始发货为止。(4)交易合同的履行和索赔这一阶段是从买卖双方办完所有各种手续之后开始，卖方要备货、组货，进行报关、保险、取证、信用卡等手续，然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物，金融机构和银行也按照合同，处理双方收付款、并进行结算，出具相应的银行单据等，当买方收到所购的商品，整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时，需要进行违约处理的工作，受损方按贸易合同有关条款向违约方进行索赔。二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性电子商务安全是一个系统概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面：(1)有效性，因为交易对于交易双方都是一件十分严肃的事情，双方都对交易的信息认可。(2)保密性，即要求交易的信息只有交易双方知道，第三方不能通过网络获得。(3)完整性，包括过程的完整和数据资料的完整。(4)交易者身份的确定性，这是信用的前提。(5)交易的不可否认性，要求在交易信息的传输过程中为参与交易的个人，企业和国家提供可靠的标识。数据的安全主要包括数据的完整，不受损坏，不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换，保证交易不得中断。虽然各种有效的手段可以保证电子商务的基本安全，但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题，那么如何加强电子商务的安全呢？防火墙可以保证对主机和应用安全访问，保证多种客户机和服务器的安全性，保护关键部门不受到来自内部和外部的攻击，为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。与传统商务相比，电子商务具有许多特点：其一，电子商务是一种快速、便捷、高效的交易方式。在电子商务中，信息的传递通过网络完成，速度很快，可以节省宝贵的交易时间。其二，电子商务是在公开环境下进行的交易，其可以在全球范围内进行交易。由于借助互联网，这就使得经济交易突破了空间的限制；公开环境下的信息公开，使所有的企业可以平等地参与市场竞争。其三，在电子商务中，电子数据的传递、编制、发送、接收都由精密的电脑程序完成，更加精确、可靠。（二）、电子商务中的信息安全问题及威胁1、电子商务的安全问题。总的来说分为二部分：一是网络安全，二是商务安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全，工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：(1)窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。(2).恶意代码。它们将继续对所有的网络系统构成威胁，并且，其数量将随着Internet的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大。(3)篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。(4)假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。(5)恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段，可以将威胁归纳为四种基本类型：无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲，对外部威胁，安全性强调防御；对内部威胁，安全性强调威慑。(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序，它采用了独特的设计，可以在受到某个事件触发时，复制自身，并感染计算机。如果在病毒可以通过某个外界来源进入网络时，网络才会感染病毒。(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果，从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者Java小程序。(3)攻击。目前已经出现了各种类型的网络攻击，它们通常被分为三类：探测式攻击，访问攻击和拒绝服务（DOS）攻击。a.探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议（FTP）功能等网络领域的漏洞，以访问电子邮件账号、数据库和其他保密信息。c.DOS攻击可以防止用户对于部分或者全部计算机系统的访问。(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息，甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的，但是它可能会浪费接收者的时间和存储空间，带来很多麻烦。因此，随着电子商务日益发展和普及，安全问题显得异常突出，解决安全问题已成为我国电子商务发展的当务之急。三、防火墙的技术与体系结构（一）、什么是防火墙防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰，防止内部受到外部的非法攻击。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信，只允许授权的通讯。（二）、使用防火墙的益处(1)保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。(2)集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。(3)控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的MailServer和WebServer。(4)策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。(5)增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。防火墙可以提供统计数据，来判断可能的攻击和探测。并且，防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据。四、防火墙的简介与使用的益处（一）、防火墙的简介一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。从理论上说，有两种类型的防火墙：应用层防火墙和网络层防火墙它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。（1）应用层防火墙应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。（2）网络层防火墙这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件类型，软件在电脑上运行并监控，其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实在。（二）、防火墙的体系结构防火墙对于企业网络的防御系统来说，是一个不可缺少的基础设施。在选择防火墙防火墙时，我们首先考虑的就是需要一个什么结构的产品，防火墙发展到今天，很多产品已经越来越象是一个网络安全的工具箱，工具的多少固然很重要，但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。包过滤是历史最久远的防火墙技术，从实现上分，又可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，比如当你在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，在99年以前国外的防火墙市场上就已经不存在了，但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术，从这点上可以说，国内产品的平均技术水准至少比国外落后2到3年。状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。顺便提一下免费软件中的包过滤技术，比较典型的是OpenBSD和Linux中的IPFilter和IPChains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析，虽然它们提供了对TCP状态位的检查，但是由于没有跟踪TCP的状态，所以仍然是简单包过滤。值得关注的是Linux2.4中的IPTable，从其名称就可以看出，它在进行过滤时建立了一个用来记录状态信息的Table，已经具备了状态检测技术的基本特征。包过滤结构的最大的优点是部署容易，对应用透明。一个产品如果保护功能十分强大，但是不能加到你的网络中去，那么这个产品所提供的保护就毫无意义，而包过滤产品则很容易安装到用户所需要控制的网络节点上，对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙，由于采用了网桥技术，几乎可以部署在任何的以太网线路上，而完全不需要改动原来的拓扑结构。包过滤的另一个优点是性能，状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。但是对于防火墙产品来说，毕竟安全是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护，而大量的网络攻击是利用应用系统的漏洞实现的。应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能直接与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。对于使用代理防火墙的用户来说，在得到安全性的同时，用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性，这个缺陷几乎可以说是天生的，因为它只有位于应用会话的中间环节，才会对会话进行控制，而几乎所有的应用协议在设计时都不认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合，需要为每一个支持的应用协议实现专门的功能，所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议，要么放弃防火墙，要么放弃应用。特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理结构的防火墙，而这种情况在企业内部网进行安全区域分割是尤其明显。代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上，其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说，这是很难接受的性能。代理防火墙的技术发展远没有包过滤技术活跃，比较一下几年以前的TIS和现在的代理类型的商用产品，在核心技术上几乎没有什么变化，变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性，很多代理防火墙同时也提供了状态检测包过滤的能力，当用户遇到防火墙不能支持的应用协议时，就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起，所以混合型的产品通常更难于配置，也很难真正的结合两者的长处。状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构，其基本的原理是在防火墙外部仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据是以“流”的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能。“流过滤”的另一个优势在于性能，完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，“流过滤”结构几乎是唯一的选择。防火墙技术发展这么多年，已经成为了网络安全中最为成熟的技术，是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过，事实上，任何一个安全产品或技术都不能提供永远的安全，因为网络在变化，应用在变化，入侵的手段在变化。对于防火墙来说，技术的不断进步才是真实的保障。五、防火墙常用技术和性能（一）、防火墙的四种基本类型根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。（1）、包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。（2）、网络地址转化—NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。（3）、代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。（4）、监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。（二）、防火墙的选择网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:（1）总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。（2）防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。（3）管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。（4）可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。（5）防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。六、结论随着电子商务的不断发展，安全是保证电子商务健康有序发展的关键因素，防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。七、参考文献1、《电子商务》翟才喜杨敬杰主编东北财经大学出版社20XX.22、《中国电子商务年鉴》20XX卷第二篇：浅谈防火墙技术在电子商务中的应1浅谈防火墙技术在电子商务中的应用1电子商务概述1.1电子商务的基本概念电子商务源于英文ElectronicCommerce，简写为EC。是指利用计算机技术网络技术和远程通信技术，实现整个商务(买卖)过程中的电子化数字化和网络化。人们不再是面对面的看着实实在在的货物靠纸介质单据(包括现金)进行买卖交易。而是通过网络，通过网上琳琅满目的商品信息完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。电子商务的核心是商务；本质上是创造更多商机提供更好商业服务的一种电子交易智能化手段。眼下，电子商务的含义已不仅仅是单纯的电子购物，电子商务以数据（包括文本声音和图像）的电子处理和传输为基础，包含了许多不同的活动（如商品服务的电子贸易数字内容的在线传输电子转账商品拍卖协作在线资源利用消费品营销和售后服务）。它涉及产品（消费品和工业品）和服务（信息服务财务与法律服务）；它包含了使用Internet和Web技术进行的所有的商务活动。1.2电子商务发展简史信息技术（InformationTechnology，简称为IT）是指20XX后半叶发展起来的两项电子技术，即集成电路技术和数据网络通信技术，为电子商务的发展奠定了技术基础。按照各个时期有代表性的不同技术，我们可以将电子商务的发展历程划分成四个阶段：第一阶段：EFT时代20XX70年代，银行间电子资金转账(EFT）开始在安全的专用网络上推出，它改变了金融业的业务流程。电子资金转账是指通过企业间通讯网络进行的账户交易信息的电子传输，由于它以电子方式提供汇款信息，从而使电子结算实现了最优化。这是电子商务最原始的形式之一，也是最普遍的形式。第二阶段：电子报文传送技术从20XX70年代后期到80年代早期，电子商务以电子报文传送技术(如电子数据交换EDI)的形式在企业内部得到推广。电子报文传送技术减少了文字工作并提高了自动化水平，从而简化了业务流程。电子数据交换(EDI)使企业能够用标准化的电子格式与供应商之间交换商业单证(如订单）。例如，如果将电子数据交换与准时化(JIT)生产相结合，供应商就能将零件直接送到生产现场，节约了企业的存货成本仓储成本和处理成本。20XX80年代晚期到90年代早期，电子报文传送技术成为工作流技术或协作计算系统(也称为群件)中不可分割的部分。Lotusotes是这种系统的代表。群件的主要功能就是将现有的非电子方法“嫁接”到电子平台上去，以提高业务流程的效率。第三阶段：联机服务在20XX80年代中期，联机服务开始风行，它提供了新的社交交互形式(如聊天室)，还提供了知识共享的方法（如新闻组和FIP)。这就为互联网用户创造了一种虚拟社区的感觉，逐渐形成了“地球村”的概念。同时，信息访问和交换的成本已降得很低，而且范围也在空前扩大，全世界的人都可以相互沟通。第四阶段：www.monGatewayInter——face的简称。是WorldWideWeb主机和CGI程序间传输资讯的定义。5检测后门木马及其网络蠕虫。指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。3.3.3拟专网功能指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密认证等手段，从而达到安全的目的。3.4防火墙的未来发展趋势尽管罗列了这么多防火墙技术的局限性，但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速多功能化更安全的方向发展。实现高速防火墙，可以应用ASIC硬件加速技术FPGA和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能，入侵检测防病毒防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间，又能为企业节约一部分安全支出，更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。任何一种防火墙只是为内部网络提供安全保障，但网络安全不能完全依赖于防火墙，还需要加强内部的安全管理，完善安全管理制度，提高用户的安全意识，从而形成全方位的安全防御体系。4防火墙的简介与体系结构4.1防火墙的简介一个防火墙（作为阻塞点控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许拒绝监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙可用于硬件软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。从理论上说，有两种类型的防火墙：应用层防火墙和网络层防火墙它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。1应用层防火墙应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。2网络层防火墙这种类型决定了它的判定一般是基于源地址目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件类型，软件在电脑上运行并监控，其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实在。4.2防火墙的体系结构防火墙对于企业网络的防御系统来说，是一个不可缺少的基础设施。在选择防火墙防火墙时，我们首先考虑的就是需要一个什么结构的产品，防火墙发展到今天，很多产品已经越来越象是一个网络安全的工具箱，工具的多少固然很重要，但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。包过滤是历史最久远的防火墙技术，从实现上分，又可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，比如当你在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，在99年以前国外的防火墙市场上就已经不存在了，但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术，从这点上可以说，国内产品的平均技术水准至少比国外落后2到3年。状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。顺便提一下免费软件中的包过滤技术，比较典型的是OpenBSD和Linux中的IPFilter和IPChains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析，虽然它们提供了对TCP状态位的检查，但是由于没有跟踪TCP的状态，所以仍然是简单包过滤。值得关注的是Linux2.4中的IPTable，从其名称就可以看出，它在进行过滤时建立了一个用来记录状态信息的Table，已经具备了状态检测技术的基本特征。包过滤结构的最大的优点是部署容易，对应用透明。一个产品如果保护功能十分强大，但是不能加到你的网络中去，那么这个产品所提供的保护就毫无意义，而包过滤产品则很容易安装到用户所需要控制的网络节点上，对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙，由于采用了网桥技术，几乎可以部署在任何的以太网线路上，而完全不需要改动原来的拓扑结构。包过滤的另一个优点是性能，状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。但是对于防火墙产品来说，毕竟安全是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护，而大量的网络攻击是利用应用系统的漏洞实现的。应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能直接与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。对于使用代理防火墙的用户来说，在得到安全性的同时，用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性，这个缺陷几乎可以说是天生的，因为它只有位于应用会话的中间环节，才会对会话进行控制，而几乎所有的应用协议在设计时都不认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合，需要为每一个支持的应用协议实现专门的功能，所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议，要么放弃防火墙，要么放弃应用。特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理结构的防火墙，而这种情况在企业内部网进行安全区域分割是尤其明显。代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上，其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说，这是很难接受的性能。代理防火墙的技术发展远没有包过滤技术活跃，比较一下几年以前的TIS和现在的代理类型的商用产品，在核心技术上几乎没有什么变化，变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性，很多代理防火墙同时也提供了状态检测包过滤的能力，当用户遇到防火墙不能支持的应用协议时，就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起，所以混合型的产品通常更难于配置，也很难真正的结合两者的长处。状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构，其基本的原理是在防火墙外部仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据是以“流”的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能。“流过滤”的另一个优势在于性能，完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，“流过滤”结构几乎是唯一的选择。防火墙技术发展这么多年，已经成为了网络安全中最为成熟的技术，是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过，事实上，任何一个安全产品或技术都不能提供永远的安全，因为网络在变化，应用在变化，入侵的手段在变化。对于防火墙来说，技术的不断进步才是真实的保障。5防火墙主要技术和类型5.1防火墙使用的技术防火墙从原理上主要有三种技术：包过滤技术代理服务技术和状态检测技术。按照实现形式，可以将防火墙分为软件防火墙和硬件防火墙。无论是哪种防火墙，从实现技术看，都使用了一种或者是多种技术。1防火墙的包过滤包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的处理。丢弃（DROP）这个包或接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。防火墙包过滤技术2包过滤性能包过滤优点：处理速度快提供透明的服务，与应用层无关，用户不用改变客户端程序，无需用户名密码登录。成本低，路由器通常集成了简单包过滤的功能，基本不再需要单独的实现包过滤功能的防火墙设备3防火墙的应用代理技术代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(如文件传输FTP和远程登录Telnet等)，并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈.代理的实现过程代理技术的优点：可以识别并实施高层的协议，如http等，安全级别高于包过滤防火墙，同时也能处理数据包代理服务型防火墙可以配置成唯一的可被外边看见的主机，以保护内部主机免受外部的攻击可以强制执行用户认证代理工作在客户机和真实服务器之间，可记录和控制所有进出流量，能提供较详细的审计日志4状态检测技术状态检测，又叫状态包检查，它是动态包过滤的一种。传统的包过滤防火墙只能通过检测正包头的相关信息来决定数据流的通过或拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。状态检测技术状态检测技术的优点：指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求，来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。5.2防火墙的基本类型根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型网络地址转换—NAT代理型和监测型。1包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址目标地址TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。2网络地址转化—NAT网络地址转换是一种用于把IP地址转换成临时的外部的注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。3代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。4监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。6常用的防火墙实例6.1360防火墙360防火墙是一款保护用户上网安全的产品，奇虎公司研发的防火墙产品。在您浏览网页玩网络游戏聊天时，它可以阻截各类网络风险。360防火墙拥有云安全引擎，解决了传统网络防火墙频繁拦截识别能力弱的问题，轻巧快速保护上网安全。6.2360的主要功能360网络防火墙加入了云防御监控，这样可疑动作通过云端校验，安全性肯定加强不少。2上网信息中包括共享资源保护，地位端口保护，端口扫描检测，ping扫描防护，主机名称防泄漏等，这些应该是对网络安全是一个比较全面的防护了。3入侵检测，该功能开启我估计如果没有设置规则的话，应该会有不少弹窗来给用户判断的。当然如果前面的云监控及时达到效果的话，可以避免太多弹窗的。ARP防火墙也加入到了网络防火墙中。其实我这里想考虑一个问题了，如果和360安全卫士同时使用的话，那安全卫士中的ARP防火墙和网络防火墙中的ARP防火墙如何协调的。5另外还有网络流量监控等功能。主界面显示4个状态，分为网络访问云监控上网信息保护入侵检测ARP防火墙1连入监控：管理程序访问网页下载传送消息时发起的网络请求，可通过“管理”选项控制程序的上网访问。包括，检测连入网络进程，协议，本地端口远程端口，状态（监听，等待，已关闭），上传下载流量2入侵检测：解决常见的网络攻击，让电脑不受黑客侵害。3程序规则：通过云安全引擎，智能分析程序上网行为，对可疑网络行为进行拦截，提高看网页玩网络游戏聊天的安全性。可通过添加规则设置。4网络连接规则：封堵系统中存在的网络漏洞，保护共享图片/文档系统信息安全。包括上网信息保护和自定义网络规则上网信息保护：包括主机名称防泄漏保护共享资源防止Ping扫描允许Ping方式探测其他主机6.3Windows防火墙设置①“控制面板”窗口，双击“网络连接”图标，如图1-26所示。②“网络连接”窗口中右击“本地连接”图标，在弹出的快捷菜单中选择“属性”命令，如图1-27所示。图1-26控制面板中的网络连接图1-27本地连接属性③弹出的“本地连接属性”对话框中选择“高级”选项卡，切换至“高级”选项卡，单击“设置”按钮，如图1-28所示。④出“Windows防火墙”对话框，选择“启用Windows防火墙”，如图1-29所示。图1-28本地连接属性中的高级标签选项卡图1-29启动防火墙⑤换至图1-29中的“例外”选项卡，在“程序和服务”列表框中勾选允许通过防火墙的程序，可单击“编辑”按钮或“删除”按钮对程序进行设置，如图1-30所示。图1-30通过防火墙程序列表当有程序需要往外访问，系统会提示是否允许它通过防火墙。如果确定这个程序是安全的程序，就可以允许它通过防火墙，系统会把该程序记录在允许列表中。通过以上设置，计算机就可以在网络中处在相对安全的区域了。7防火墙的选择网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:（1）总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。（2）防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。（3）管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。（4）可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。（5）防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。8结论安全是保证电子商务健康有序发展的关键因素。相信，随着电子商务的快速健康发展，防火墙技术必将在电子商务安全方面着发挥更加积极的作用和重要价值。致谢本课题是在我的导师肖武德老师的亲切关怀和悉心指导下完成的。他严肃认真的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和激励着我。从课题的选择到项目的最终完成，老师始终给予我细心的指导和不懈的支持，在此谨向肖老师致以诚挚的谢意和崇高的敬意。另外，在校图书馆查找资料的时候，图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最中心的感谢！感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献，如果没有各位学者的研究成果的帮助和启发，我将很难完成本篇论文的写作。感谢我的同学和朋友，在我写论文的过程中给予我了很多相关素材，还在论文的撰写和排版灯过程中提供热情的帮助。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长同学朋友给了我无言的帮助，在这里请接受我诚挚的谢意！由于我的学术水平有限，所写论文难免有不足之处，恳请各位老师和学友批评和指正！【参考文献】1《电子商务》翟才喜杨敬电子工业出版社20XX.22《中国电子商务年鉴》20XX卷3《防火墙体系结构及功能分析》艾军电脑知识与技术20XX.44《防火墙原理入门企业》郑林清华大学出版社20XX.55《防火墙技术分析》王卫平陈文惠朱卫未东北财经大学出版社20XX.7，6《防火墙在网络安全中的应用》白斌，20XX年第35期．7《防火墙包过滤规则问题的研究》高峰，20XX.4.8郑树申．《浅谈网络安全的防火墙技术》9《网络安全与防火墙技术》王睿北京大学出版社20XX.810防火墙原理与技术》阎慧机械工业出版社20XX.211《论电子商务发展前景》滕秀荣科技创新导报，20XX年第31期《我国电子商务发展前景展望》张元慧李少伟，许丽红科技创新导报20XX.9第三篇：数字签名技术在电子商务中的应用公选课论文数字签名技术在电子商务中的应用袁志祥0915034120XX化工程系轻化1班方明学生姓名：学号：所在系部：专业班级：评阅老师：日期：二○一一年六月摘要以互联网为基础的电子商务作为全新的商务活动越来越走向我们的生活，同时它作为一种新的经济增长动力，他推动我国乃至全世界经济的迅速发展，但是以互联网为基础的电子商务，由于网络技术本身的的开放性，共享性等特点使电子商务成为一把双刃剑，它在给人们带来高效.快捷经济的交易的同时也引发了新的问题，那就是安全问题。如何保证网上交易双方信息的有效性，保密性，完整性，认证性和不可抵赖性已成为制约电子商务进一步发展的的制约性问题，在这样的环境下，为保障电子商务的安全，以规范化的程序和科学化的方法，用于识别交易双方身份的数字签名技术得到应用和发展。数字签名技术将信息发送者与信息传递结合起来，用以保障发送发送者所发送的信息在传递过程中的完整性，并可以提供信息发送者的身份的身份认证，以防止信息发送者的身份的抵赖行为的发生，数字签名是实现电子商务的安全核心技术之一。关键词：数字签名；安全交易；电子商务伴随着世界人们生活节奏的加快，各样的信息也发生着日新月异的变化，电子商务成为一种新的交易行为运作在互联网之上，每天都有数以千万计的网民在网上进行着数以百万的各种交易，电子商务作为商务发展的新模式发展前景是十分诱人的，但是由于互联网的高度开放性与电子商务所要求的高度保密性是相互矛盾的，而且互联网本身又没有一个完整的网络安全体制，因此电子商务安全无疑会受到严重的威胁，电子商务交易安全性问题已成为实,现电子商务最迫切研究和解决的问题，电子商务安全交易技术迫切需要发展，数字签名技术作为一种认证技术在信息安全性，有效性，完整性，不可否认性，身份识别等方面发挥着巨大的作用。AbstractInternet-basede-commerceasmoreandmorenewbusinessintoourlives,anditasaneweconomicgrowth,hepushedChinaandtheworld'srapideconomicdevelopment,buttheInternet-basedelectronicBusiness,thetechnologyitselfasanopennetwork,shareandotherfeaturesmakethee-commercetobecomeadouble-edgedsword,itgaverisetoefficient.fasteconomictransactionshascreatednewproblems,andthatissecurity.Howtoensurethevalidityoftheinformationbothonlinetransactions,confidentiality,integrity,authenticationandnon-repudiationhasrestrictedthefurtherdevelopmentoftheconstraintsofe-commerceissues,insuchcircumstances,toprotectthesecurityofe-commerceinordertostandardizeProceduresandscientificmethodsusedtoidentifythepartiestothetransactionasdigitalsignaturetechnologyhasbeenappliedanddeveloped.Digitalsignaturetechnologytosendinformationbycombininginformationdeliveryandtoprotectthetransmissionofinformationsentbythesenderinthetransmissionprocessintegrity,andcanprovideinformationontheidentityofthesenderauthentication,topreventtheidentityofthesenderTheoccurrenceofactsofrepudiation,digitalsignatureistoachieveoneofthecoretechnologyofe-commercesecurity.Keywords:digitalsignat