1、防火墻技術在電子商務中的應用目 錄目錄(1)內容摘要(2)關鍵詞(2)正文(2)一、電子商務的概念及交易問題(2)（一）、什么是電子商務(2)(二)、電子商務的交易過程(2)二、電子商務中的信息安全問題、特性及威脅(3)(一)、電子交易的安全概念、安全特性(3)（二）、電子商務中的信息安全問題及威脅(4)三、防火墻的技術與體系結構(6)四、 防火墻的簡介與使用的益處(6)五、防火墻常用技術和性能（11）六、結論(14)參考文獻(14)淺談防火墻技術在電子商務中的應用內容摘要：防火墻技術作為保證電子商務活動中信息安全的第一道有效屏障，受到越來越多的關注。本文介紹了電子商務的概念、電子商務的交易過

2、程、交易過程中的信息安全問題及威脅、重點介紹了電子商務交易系統(tǒng)的防火墻技術，討論了建立網上安全信任機制的基礎。關鍵詞：防火墻 電子商務 應用正文:一、 電子商務的概念及交易問題(一) 什么是電子商務電子商務源于英文Electronic Commerce，簡寫為EC。是指一個機構利用信息和技術手段，改變其和供應商、用戶、員工、合作伙伴、管理部門的互動關系，從而使自己變成為機動響應、快速響應、有效響應的響應性機構。電子商務的核心是商務；本質上是創(chuàng)造更多商機、提供更好商業(yè)服務的一種電子交易智能化手段。眼下，電子商務的含義已不僅僅是單純的電子購物，電子商務以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸

3、為基礎，包含了許多不同的活動（如商品服務的電子貿易、數(shù)字內容的在線傳輸、電子轉賬、商品拍賣、協(xié)作、在線資源利用、消費品營銷和售后服務）。它涉及產品（消費品和工業(yè)品）和服務（信息服務、財務與法律服務）；它包含了使用Internet和Web技術進行的所有的商務活動。(二)、電子商務的交易過程企業(yè)間電子商務交易過程大致可以分為交易前準備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個階段。(1)交易前的準備買賣雙方和參與交易的雙方在這一階段所作的簽約前的準備活動。買方根據(jù)自己要買的商品，準備購貨款，制訂購貨計劃，進行貨源的市場調查和分析，反復進行市場查詢，通過交換信息來比較價格和條件

4、，了解各個賣方國家的貿易政策，反復修改購貨計劃和進貨計劃，確定和審批購貨計劃。利用Internet和各種電子商務網絡尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃，再按計劃確定購買商品的種類、規(guī)格、數(shù)量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品，進行全面的市場調查和分析，了解各個買方國家的貿易政策，制訂各種銷售策略和銷售方式，制作廣告進行宣傳，召開商品新聞發(fā)布會，利用Internet和各種電子商務網絡發(fā)布商品廣告等手段擴大影響，尋找貿易伙伴和交易機會，擴大貿易范圍和商品所占市場的份額。參加交易的其他各方如中介、銀行金融機構、信用卡、商檢系統(tǒng)、海關系統(tǒng)、保險、稅務系統(tǒng)、

5、運輸公司等，買賣雙方都少不了要為電子商務交易做好準備。(2)交易談判和簽訂貿易合同 買賣雙方在這一階段利用電子商務系統(tǒng)對所有交易細節(jié)在網上談判，將雙方磋商的結果做成文件，即以書面文件形式和電子文件形式簽訂貿易合同。交易雙方可以利用現(xiàn)代電子通信設備和通信方法，經過認真談判和磋商后，將雙方在交易中的權利、所承擔的義務、所購買商品的種類、數(shù)量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進行簽約，也可以通過數(shù)字簽名等方式簽約。 (3)辦理交易進行前的手續(xù) 買賣雙方從簽訂合同到開始履行合同要辦理各種

6、手續(xù)，這也是雙方在交易前的準備過程。交易中要涉及到有關各方，即可能要涉及到中介、銀行金融機構、信用卡、商檢系統(tǒng)、海關系統(tǒng)、保險、稅務系統(tǒng)、運輸公司等與交易有關的各方。買賣雙方要利用EDI與有關各方進行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。 (4)交易合同的履行和索賠 這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進行報關、保險、取證、信用卡等手續(xù)，然后賣方將所購商品交付給運輸公司包裝、起運、發(fā)貨。買賣雙方可以通過電子商務服務器跟蹤發(fā)出的貨物，金融機構和銀行也按照合同，處理雙方收付款、并進行結算，出具相應的銀行單據(jù)等，當買方收到所購的商品，整個交易

7、過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時，需要進行違約處理的工作，受損方按貿易合同有關條款向違約方進行索賠。二、 電子商務中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性電子商務安全是一個系統(tǒng)概念，不僅與計算機系統(tǒng)結構有關，還與電子商務應用的環(huán)境、人員素質和社會因素有關。其中交易的安全又是電子商務發(fā)展的核心和關鍵問題。交易對安全性的要求有如下幾個方面：(1)有效性，因為交易對于交易雙方都是一件十分嚴肅的事情，雙方都對交易的信息認可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網絡獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確

8、定性，這是信用的前提。(5)交易的不可否認性，要求在交易信息的傳輸過程中為參與交易的個人，企業(yè)和國家提供可靠的標識。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運行的可靠性要求保證電子商務參與者能在交易的過程始終能與交易對象進行信息資金的交換，保證交易不得中斷。雖然各種有效的手段可以保證電子商務的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務安全仍然是一個令人頭痛的問題，那么如何加強電子商務的安全呢？防火墻可以保證對主機和應用安全訪問，保證多種客戶機和服務器的安全性，保護關鍵部門不受到來自內部和外部的攻擊，為通過Internet與遠程訪問的雇員、客戶、供應商提供安全渠道。與傳統(tǒng)

9、商務相比，電子商務具有許多特點：其一，電子商務是一種快速、便捷、高效的交易方式。在電子商務中，信息的傳遞通過網絡完成，速度很快，可以節(jié)省寶貴的交易時間。其二，電子商務是在公開環(huán)境下進行的交易，其可以在全球范圍內進行交易。由于借助互聯(lián)網，這就使得經濟交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場競爭。其三，在電子商務中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。（二）、電子商務中的信息安全問題及威脅1、電子商務的安全問題?？偟膩碚f分為二部分：一是網絡安全，二是商務安全。計算機網絡安全的內容包括：計算機網絡設備安全，計算機網絡系統(tǒng)安全，數(shù)據(jù)

10、庫安 全，工作人員和環(huán)境等。其特征是針對計算機網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞 傳統(tǒng)商務在Internet上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性，完整性， 可鑒別性，不可偽造性和不可依賴性。在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網絡上以明文形式傳送，入侵者在數(shù)據(jù)包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，

11、可以找到信息的規(guī)律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。(2).惡意代碼。它們將繼續(xù)對所有的網絡系統(tǒng)構成威脅， 并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大。(3)篡改信息。當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。(5)惡意破壞。由于攻擊者可以接入網絡，則可能對

12、網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。2、電子商務面臨的安全威脅。根據(jù)攻擊能力的組織結構程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結構的內部和外部威脅與有組織結構的內部和外部威脅。一般來講，對外部威脅，安全性強調防御；對內部威脅，安全性強調威懾。(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序，它采用了獨特的設計，可以在受到某個事件觸發(fā)時，復制自身，并感染計算機。如果在病毒可以通過某個外界來源進入網絡時，網絡才會感染病毒。(2)惡意破壞程序。網站會提供一些軟件應用的開發(fā)而變得更加活潑。這些應用可以實現(xiàn)動畫和其他一些特殊效果，從而

13、使網站更具有吸引力和互動性。惡意破壞程序是指會導致不同程度破壞的軟件應用或者 Java 小程序。(3)攻擊。目前已經出現(xiàn)了各種類型的網絡攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（DOS）攻擊。a.探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網絡數(shù)據(jù)，用于以后進一步攻擊網。b.訪問攻擊用于發(fā)現(xiàn)身份認證服務、文件傳輸協(xié)議（FTP）功能等網絡領域的漏洞，以訪問電子郵件賬號、數(shù)據(jù)庫和其他保密信息。c. DOS 攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問。(4)數(shù)據(jù)阻截。通過任何類型的網絡進行數(shù)據(jù)傳輸都可能會被未經授權的一方截取。犯罪分子可能會竊聽通信信息，甚至更改被傳輸

14、的數(shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。(5) 垃圾信件。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經申請的廣告信息的行為。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。因此，隨著電子商務日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務發(fā)展的當務之急。三、 防火墻的技術與體系結構（一）、什么是防火墻防火墻是一個或一組在兩個網絡之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護內部網絡資源不被可疑人侵擾，防止內部受到外部的非法攻擊。本質上，它遵從的是一種允許或阻止業(yè)務來往的網絡通信安全機制,也就是提供

15、可控的過濾網絡通信，只允許授權的通訊。（二）、使用防火墻的益處(1)保護脆弱的服務通過過濾不安全的服務，防火墻可以極大地提高網絡安全和減少子網中主機的風險。例如，防火墻可以禁止NIS、NFS服務通過，防火墻同時可以拒絕源路由和ICMP重定向封包。(2)集中的安全管理防火墻對企業(yè)內部網實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內部網絡系統(tǒng)，而無須在內部網每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。(3)控制對系統(tǒng)的訪問防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁

16、止訪問另外的主機。例如，防火墻允許外部訪問特定的MailServer和WebServer。(4)策略執(zhí)行防火墻提供了制定和執(zhí)行網絡安全策略的手段。未設置防火墻時，網絡安全取決于每臺主機的用戶。(5)增強的保密性使用防火墻可以阻止攻擊者獲取攻擊網絡系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。并且，防火墻可以記錄和統(tǒng)計通過防火墻的網絡通訊，提供關于網絡使用的統(tǒng)計數(shù)據(jù)。四、 防火墻的簡介與使用的益處（一）、防火墻的簡介一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。防火墻同時可以保護網絡免受基于路由的攻擊

17、。防火墻是為防止非法訪問或保護專用網絡而設計的一種系統(tǒng)。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網用戶訪問接入互聯(lián)網的專用網絡。所有的數(shù)據(jù)在進入或離開內部網絡時都要經過防火墻，防火墻會檢查每個數(shù)據(jù)包，并且阻止那些不符合指定安全標準的數(shù)據(jù)包。一般來說，配置防火墻是為了防止外部無權限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網絡。更復雜的防火墻能夠阻止從外部到內部的流量，但允許內

18、網用戶更自由的與外部交流。防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能；它們經常為管理員提供關于已處理過的流量類型和數(shù)值的摘要。這是個非常重要的“點”，因為阻止點在網絡中的作用相當于警衛(wèi)保衛(wèi)財產。從理論上說，有兩種類型的防火墻：應用層防火墻和網絡層防火墻它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個安全區(qū)到另一個安全區(qū)所采用的機制。國際標準化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網絡分成七層，每一層都為上一層服務。更重要的是要認識到轉發(fā)機制所在的層次越低，防火墻的檢查就越少。（1）應用層防火墻應用

19、層防火墻通常是代理服務器運行的主機，它不允許網絡之間直接的流量，并在流量通過時做詳細的記錄和檢查。由于代理應用程序只是防火墻上運行的軟件，所以可在這做大量的記錄和訪問控制。應用層防火墻可用于網絡地址轉換，是因為在應用程序有效地偽裝初始連接的來源之后流量可以從一邊進入，另一邊出去。在某些情況下，有一個應用程序的方式可能會影響防火墻的性能，并可能會使防火墻降低透明度。早期的應用層防火墻對終端用戶不是特別透明，并且還可能需要進行一些培訓。然而，許多現(xiàn)代應用層防火墻是完全透明的。與網絡層防火墻相比，應用層防火墻趨于提供更細化的審計報告，實行更保守的安全模型。（2）網絡層防火墻這種類型決定了它的判定一般

20、是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統(tǒng)意義上的網絡層防火墻，因為它不能做出復雜的判斷，如數(shù)據(jù)包的發(fā)送目標和來源?，F(xiàn)代的網絡層防火墻變得更復雜得多，并且會隨時關注通過防火墻的連接狀態(tài)的信息。另一個重要的不同于許多網絡層防火墻的是它們可使流量直接通過，因此在使用時，你需要一個有效分配的IP地址塊，或者是專用網絡地址塊。網絡層防火墻的發(fā)展很迅速，對于用戶來說幾乎是透明的。未來的防火墻將處于應用層防火墻和網絡層防火墻之間。網絡層防火墻可能會逐漸意識到經過它們的信息，應用層防火墻可能會變得越來越透明。最終將會是一種在數(shù)據(jù)通過時進行記錄和檢查的快速分組篩選系統(tǒng)。在邏輯上，

21、防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運行并監(jiān)控，其實硬件型也就是芯片里固化了的軟件，但是它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實在。（二） 、防火墻的體系結構防火墻對于企業(yè)網絡的防御系統(tǒng)來說，是一個不可缺少的基礎設施。在選擇防火墻防火墻時，我們首先考慮的就是需要一個什么結構的產品，防火墻發(fā)展到今天，很多產品已經越來越象是一個網絡安全的工具箱，工具的多少固然很重要， 但系統(tǒng)

22、的結構卻是一個起決定性作用的前提。因為防火墻的結構決定了這些工具的組合能力，決定了當你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上。 防火墻的基本結構可以分為包過濾和應用代理兩種。包過濾技術關注的是網絡層和傳輸層的保護，而應用代理則更關心應用層的保護。 包過濾是歷史最久遠的防火墻技術，從實現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。 簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產品都提供這樣的功能，所以如果你已經有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產品。由于這類技術不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的，比如當你在這樣的產品上配置了

23、僅允許從內到外的TCP訪問時，一些以TCP應答包的形式進行的攻擊仍然可以從外部通過防火墻對內部的系統(tǒng)進行攻擊。簡單包過濾的產品由于其保護的不完善，在99年以前國外的防火墻市場上就已經不存在了，但是目前國內研制的產品仍然有很多采用的是這種簡單包過濾的技術，從這點上可以說，國內產品的平均技術水準至少比國外落后2到3年。 狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網絡會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產品，尤其是在一些規(guī)則復雜的大型網絡上。 順便提一下

24、免費軟件中的包過濾技術，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術能力的網絡管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現(xiàn)的原理上分析，雖然它們提供了對TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進行過濾時建立了一個用來記錄狀態(tài)信息的Table，已經具備了狀態(tài)檢測技術的基本特征。 包過濾結構的最大的優(yōu)點是部署容易，對應用透明。一個產品如果保護功能十分強大，但是不能加到你的網絡中去，那么這個產品所提供的保護就毫無意義，而包過濾產品則

25、很容易安裝到用戶所需要控制的網絡節(jié)點上，對用戶的應用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網橋技術，幾乎可以部署在任何的以太網線路上，而完全不需要改動原來的拓撲結構。 包過濾的另一個優(yōu)點是性能，狀態(tài)檢測包過濾是各種防火墻結構中在吞吐能力上最具優(yōu)勢的結構。 但是對于防火墻產品來說，畢竟安全是首要的因素，包過濾防火墻對于網絡控制的依據(jù)仍然是IP地址和服務端口等基本的傳輸層以下的信息。對于應用層則缺少足夠的保護，而大量的網絡攻擊是利用應用系統(tǒng)的漏洞實現(xiàn)的。 應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術，最初的代表是TIS工具包，

26、現(xiàn)在這個工具包也可以在網絡上免費得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經應用層的代理轉發(fā)，訪問者任何時候都不能直接與服務器建立直接的TCP連接，應用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應用協(xié)議的代理防火墻提供了豐富的應用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網絡層和傳輸層行為，而應用代理則是規(guī)范了特定的應用協(xié)議上的行為。 對于使用代理防火墻的用戶來說，在得到安全性的同時，用戶也需要付出其它的代價。代理技術的一個主要的弱點是缺乏對應用的透明性，這個缺陷幾乎可以說是天生的，因為它只有位于應用會話的中間環(huán)節(jié)，才會對會話進行控制，而幾乎所

27、有的應用協(xié)議在設計時都不認為中間應該有一個防火墻存在。這使得對于許多應用協(xié)議來說實現(xiàn)代理是相當困難的。代理防火墻通常是一組代理的集合，需要為每一個支持的應用協(xié)議實現(xiàn)專門的功能，所以對于使用代理防火墻的用戶來說經常遇到的問題是防火墻是不支持某個正在使用的應用協(xié)議，要么放棄防火墻，要么放棄應用。特別是在一個復雜的分布計算的網絡環(huán)境下，幾乎無法成功的部署一個代理結構的防火墻，而這種情況在企業(yè)內部網進行安全區(qū)域分割是尤其明顯。 代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務接口之上，其對每個訪問實例的處理代價和資源消耗接近于Web服務器的兩倍。這使得應用代理防

28、火墻的性能通常很難超過45Mbps的轉發(fā)速率和1000個并發(fā)訪問。對于一個繁忙的站點來說，這是很難接受的性能。 代理防火墻的技術發(fā)展遠沒有包過濾技術活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產品，在核心技術上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時為了克服代理種類有限的局限性，很多代理防火墻同時也提供了狀態(tài)檢測包過濾的能力，當用戶遇到防火墻不能支持的應用協(xié)議時，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結合在一起，所以混合型的產品通常更難于配置，也很難真正的結合兩者的長處。 狀態(tài)檢測包過濾和應用代理這兩種技術目前仍然是防火墻市場中普遍采用的主流技術，但兩種技術正

29、在形成一種融合的趨勢，演變的結果也許會導致一種新的結構名稱的出現(xiàn)。我們在NetEye防火墻中以狀態(tài)檢測包過濾為基礎實現(xiàn)了一種我們暫時稱之為“流過濾”的結構，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對于任何一個被規(guī)則允許的訪問在防火墻內部都存在兩個完全獨立的TCP會話，數(shù)據(jù)是以“流”的方式從一個會話流向另一個會話，由于防火墻的應用層策略位于流的中間，因此可以在任何時候代替服務器或客戶端參與應用層的會話，從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網橋的模式下實現(xiàn)完全的對郵

30、件的存儲轉發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能。 “流過濾”的另一個優(yōu)勢在于性能，完全為轉發(fā)目的而重新實現(xiàn)的TCP協(xié)議棧相對于以自身服務為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個能夠支持幾千個，甚至數(shù)萬個并發(fā)訪問，同時又有相當于代理技術的應用層防護能力的系統(tǒng)，“流過濾”結構幾乎是唯一的選擇。 防火墻技術發(fā)展這么多年，已經成為了網絡安全中最為成熟的技術，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術的進步卻從來沒有停止過，事實上，任何一個安全產品或技術都不能提供永遠的安全，因為網絡在變化，應用在變化，入侵的手段在變化。對于防火墻來說，技

31、術的不斷進步才是真實的保障。五、 防火墻常用技術和性能（一）、防火墻的四種基本類型根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換NAT、代理型和監(jiān)測型。（1）、包過濾型 包過濾型產品是防火墻的初級產品,其技術依據(jù)是網絡中的分包傳輸技術。網絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際

32、情況靈活制訂判斷規(guī)則。 包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 （2）、網絡地址轉化NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

33、在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不

34、需要用戶進行設置，用戶只要進行常規(guī)操作即可。 （3）、代理型 代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵

35、測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。（4）、監(jiān)測型 監(jiān)測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網絡系統(tǒng)的

36、攻擊中,有相當比例的攻擊來自網絡內部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產品雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。實際上,作為當前防火墻產品的主流趨勢,大多數(shù)代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用

37、具有更大的優(yōu)勢。由于這種產品是基于應用的,應用網關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。（二） 、防火墻的選擇網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術，就其產品的主流趨勢而言，大多數(shù)代理服務器（也稱應用網關）也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規(guī)模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。安裝防火墻的基本原則是:只要