1、防火墻技術(shù)在電子商務(wù)中的應(yīng)用目 錄目錄(1)內(nèi)容摘要(2)關(guān)鍵詞(2)正文(2)一、電子商務(wù)的概念及交易問題(2)（一）、什么是電子商務(wù)(2)(二)、電子商務(wù)的交易過程(2)二、電子商務(wù)中的信息安全問題、特性及威脅(3)(一)、電子交易的安全概念、安全特性(3)（二）、電子商務(wù)中的信息安全問題及威脅(4)三、防火墻的技術(shù)與體系結(jié)構(gòu)(6)四、 防火墻的簡(jiǎn)介與使用的益處(6)五、防火墻常用技術(shù)和性能（11）六、結(jié)論(14)參考文獻(xiàn)(14)淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用內(nèi)容摘要：防火墻技術(shù)作為保證電子商務(wù)活動(dòng)中信息安全的第一道有效屏障，受到越來越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過

2、程、交易過程中的信息安全問題及威脅、重點(diǎn)介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機(jī)制的基礎(chǔ)。關(guān)鍵詞：防火墻 電子商務(wù) 應(yīng)用正文:一、 電子商務(wù)的概念及交易問題(一) 什么是電子商務(wù)電子商務(wù)源于英文Electronic Commerce，簡(jiǎn)寫為EC。是指一個(gè)機(jī)構(gòu)利用信息和技術(shù)手段，改變其和供應(yīng)商、用戶、員工、合作伙伴、管理部門的互動(dòng)關(guān)系，從而使自己變成為機(jī)動(dòng)響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機(jī)構(gòu)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機(jī)、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購(gòu)物，電子商務(wù)以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸

3、為基礎(chǔ)，包含了許多不同的活動(dòng)（如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費(fèi)品營(yíng)銷和售后服務(wù)）。它涉及產(chǎn)品（消費(fèi)品和工業(yè)品）和服務(wù)（信息服務(wù)、財(cái)務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進(jìn)行的所有的商務(wù)活動(dòng)。(二)、電子商務(wù)的交易過程企業(yè)間電子商務(wù)交易過程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個(gè)階段。(1)交易前的準(zhǔn)備買賣雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動(dòng)。買方根據(jù)自己要買的商品，準(zhǔn)備購(gòu)貨款，制訂購(gòu)貨計(jì)劃，進(jìn)行貨源的市場(chǎng)調(diào)查和分析，反復(fù)進(jìn)行市場(chǎng)查詢，通過交換信息來比較價(jià)格和條件

4、，了解各個(gè)賣方國(guó)家的貿(mào)易政策，反復(fù)修改購(gòu)貨計(jì)劃和進(jìn)貨計(jì)劃，確定和審批購(gòu)貨計(jì)劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿意的商品和商家。然后修改并最后確定和審批購(gòu)貨計(jì)劃，再按計(jì)劃確定購(gòu)買商品的種類、規(guī)格、數(shù)量、價(jià)格、購(gòu)貨地點(diǎn)和交易方式等。而賣方則對(duì)自己所銷售的商品，進(jìn)行全面的市場(chǎng)調(diào)查和分析，了解各個(gè)買方國(guó)家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進(jìn)行宣傳，召開商品新聞發(fā)布會(huì)，利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴(kuò)大影響，尋找貿(mào)易伙伴和交易機(jī)會(huì)，擴(kuò)大貿(mào)易范圍和商品所占市場(chǎng)的份額。參加交易的其他各方如中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、

5、運(yùn)輸公司等，買賣雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。(2)交易談判和簽訂貿(mào)易合同 買賣雙方在這一階段利用電子商務(wù)系統(tǒng)對(duì)所有交易細(xì)節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法，經(jīng)過認(rèn)真談判和磋商后，將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購(gòu)買商品的種類、數(shù)量、價(jià)格、交貨地點(diǎn)、交貨期、交易方式和運(yùn)輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進(jìn)行簽約，也可以通過數(shù)字簽名等方式簽約。 (3)辦理交易進(jìn)行前的手續(xù) 買賣雙方從簽訂合同到開始履行合同要辦理各種

6、手續(xù)，這也是雙方在交易前的準(zhǔn)備過程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機(jī)構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險(xiǎn)、稅務(wù)系統(tǒng)、運(yùn)輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進(jìn)行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。 (4)交易合同的履行和索賠 這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進(jìn)行報(bào)關(guān)、保險(xiǎn)、取證、信用卡等手續(xù)，然后賣方將所購(gòu)商品交付給運(yùn)輸公司包裝、起運(yùn)、發(fā)貨。買賣雙方可以通過電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物，金融機(jī)構(gòu)和銀行也按照合同，處理雙方收付款、并進(jìn)行結(jié)算，出具相應(yīng)的銀行單據(jù)等，當(dāng)買方收到所購(gòu)的商品，整個(gè)交易

7、過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時(shí)，需要進(jìn)行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進(jìn)行索賠。二、 電子商務(wù)中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性電子商務(wù)安全是一個(gè)系統(tǒng)概念，不僅與計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會(huì)因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。交易對(duì)安全性的要求有如下幾個(gè)方面：(1)有效性，因?yàn)榻灰讓?duì)于交易雙方都是一件十分嚴(yán)肅的事情，雙方都對(duì)交易的信息認(rèn)可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡(luò)獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確

8、定性，這是信用的前提。(5)交易的不可否認(rèn)性，要求在交易信息的傳輸過程中為參與交易的個(gè)人，企業(yè)和國(guó)家提供可靠的標(biāo)識(shí)。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運(yùn)行的可靠性要求保證電子商務(wù)參與者能在交易的過程始終能與交易對(duì)象進(jìn)行信息資金的交換，保證交易不得中斷。雖然各種有效的手段可以保證電子商務(wù)的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個(gè)令人頭痛的問題，那么如何加強(qiáng)電子商務(wù)的安全呢？防火墻可以保證對(duì)主機(jī)和應(yīng)用安全訪問，保證多種客戶機(jī)和服務(wù)器的安全性，保護(hù)關(guān)鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠(yuǎn)程訪問的雇員、客戶、供應(yīng)商提供安全渠道。與傳統(tǒng)

9、商務(wù)相比，電子商務(wù)具有許多特點(diǎn)：其一，電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中，信息的傳遞通過網(wǎng)絡(luò)完成，速度很快，可以節(jié)省寶貴的交易時(shí)間。其二，電子商務(wù)是在公開環(huán)境下進(jìn)行的交易，其可以在全球范圍內(nèi)進(jìn)行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟(jì)交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場(chǎng)競(jìng)爭(zhēng)。其三，在電子商務(wù)中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。（二）、電子商務(wù)中的信息安全問題及威脅1、電子商務(wù)的安全問題?？偟膩碚f分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)

10、庫(kù)安 全，工作人員和環(huán)境等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性，完整性， 可鑒別性，不可偽造性和不可依賴性。在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患：(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，

11、可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。(2).惡意代碼。它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅， 并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來也更加便利，因此，造成的破壞也就越大。(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)

12、網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來講，對(duì)外部威脅，安全性強(qiáng)調(diào)防御；對(duì)內(nèi)部威脅，安全性強(qiáng)調(diào)威懾。(1)病毒。病毒是由一些不正直的程序員所編寫的計(jì)算機(jī)程序，它采用了獨(dú)特的設(shè)計(jì)，可以在受到某個(gè)事件觸發(fā)時(shí)，復(fù)制自身，并感染計(jì)算機(jī)。如果在病毒可以通過某個(gè)外界來源進(jìn)入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)才會(huì)感染病毒。(2)惡意破壞程序。網(wǎng)站會(huì)提供一些軟件應(yīng)用的開發(fā)而變得更加活潑。這些應(yīng)用可以實(shí)現(xiàn)動(dòng)畫和其他一些特殊效果，從而

13、使網(wǎng)站更具有吸引力和互動(dòng)性。惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊，它們通常被分為三類：探測(cè)式攻擊，訪問攻擊和拒絕服務(wù)（DOS）攻擊。a.探測(cè)式攻擊實(shí)際上是信息采集活動(dòng)，黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進(jìn)一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件賬號(hào)、數(shù)據(jù)庫(kù)和其他保密信息。c. DOS 攻擊可以防止用戶對(duì)于部分或者全部計(jì)算機(jī)系統(tǒng)的訪問。(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸都可能會(huì)被未經(jīng)授權(quán)的一方截取。犯罪分子可能會(huì)竊聽通信信息，甚至更改被傳輸

14、的數(shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截?cái)?shù)據(jù)。(5) 垃圾信件。垃圾信件被廣泛用于表示那些主動(dòng)發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請(qǐng)的廣告信息的行為。垃圾信件通常是無害的，但是它可能會(huì)浪費(fèi)接收者的時(shí)間和存儲(chǔ)空間，帶來很多麻煩。因此，隨著電子商務(wù)日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國(guó)電子商務(wù)發(fā)展的當(dāng)務(wù)之急。三、 防火墻的技術(shù)與體系結(jié)構(gòu)（一）、什么是防火墻防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制,也就是提供

15、可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。（二）、使用防火墻的益處(1)保護(hù)脆弱的服務(wù)通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。(2)集中的安全管理防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。(3)控制對(duì)系統(tǒng)的訪問防火墻可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁

16、止訪問另外的主機(jī)。例如，防火墻允許外部訪問特定的MailServer和WebServer。(4)策略執(zhí)行防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。(5)增強(qiáng)的保密性使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測(cè)。并且，防火墻可以記錄和統(tǒng)計(jì)通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。四、 防火墻的簡(jiǎn)介與使用的益處（一）、防火墻的簡(jiǎn)介一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊

17、。防火墻是為防止非法訪問或保護(hù)專用網(wǎng)絡(luò)而設(shè)計(jì)的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進(jìn)入或離開內(nèi)部網(wǎng)絡(luò)時(shí)都要經(jīng)過防火墻，防火墻會(huì)檢查每個(gè)數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。這有助于防止“黑客”從機(jī)器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)

18、網(wǎng)用戶更自由的與外部交流。防火墻非常重要因?yàn)樗梢蕴峁﹩我坏淖柚裹c(diǎn),在這一點(diǎn)上可以采取安全和審計(jì)措施。防火墻提供了一個(gè)重要的記錄和審計(jì)功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個(gè)非常重要的“點(diǎn)”，因?yàn)樽柚裹c(diǎn)在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財(cái)產(chǎn)。從理論上說，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個(gè)安全區(qū)到另一個(gè)安全區(qū)所采用的機(jī)制。國(guó)際標(biāo)準(zhǔn)化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識(shí)到轉(zhuǎn)發(fā)機(jī)制所在的層次越低，防火墻的檢查就越少。（1）應(yīng)用層防火墻應(yīng)用

19、層防火墻通常是代理服務(wù)器運(yùn)行的主機(jī)，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時(shí)做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運(yùn)行的軟件，所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因?yàn)樵趹?yīng)用程序有效地偽裝初始連接的來源之后流量可以從一邊進(jìn)入，另一邊出去。在某些情況下，有一個(gè)應(yīng)用程序的方式可能會(huì)影響防火墻的性能，并可能會(huì)使防火墻降低透明度。早期的應(yīng)用層防火墻對(duì)終端用戶不是特別透明，并且還可能需要進(jìn)行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計(jì)報(bào)告，實(shí)行更保守的安全模型。（2）網(wǎng)絡(luò)層防火墻這種類型決定了它的判定一般

20、是基于源地址、目的地址及獨(dú)立IP包中的端口。一個(gè)簡(jiǎn)單的路由器就是一個(gè)傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因?yàn)樗荒茏龀鰪?fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來源。現(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會(huì)隨時(shí)關(guān)注通過防火墻的連接狀態(tài)的信息。另一個(gè)重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時(shí)，你需要一個(gè)有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對(duì)于用戶來說幾乎是透明的。未來的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會(huì)逐漸意識(shí)到經(jīng)過它們的信息，應(yīng)用層防火墻可能會(huì)變得越來越透明。最終將會(huì)是一種在數(shù)據(jù)通過時(shí)進(jìn)行記錄和檢查的快速分組篩選系統(tǒng)。在邏輯上，

21、防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測(cè)，也可以是軟件類型，軟件在電腦上運(yùn)行并監(jiān)控，其實(shí)硬件型也就是芯片里固化了的軟件，但是它不占用計(jì)算機(jī)CPU處理時(shí)間，可以功能作的非常強(qiáng)大處理速度很快，對(duì)于個(gè)人用戶來說軟件型更加方便實(shí)在。（二） 、防火墻的體系結(jié)構(gòu)防火墻對(duì)于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個(gè)不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時(shí)，我們首先考慮的就是需要一個(gè)什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個(gè)網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要， 但系統(tǒng)

22、的結(jié)構(gòu)卻是一個(gè)起決定性作用的前提。因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場(chǎng)合需要一個(gè)系統(tǒng)聲稱提供的功能的時(shí)候是不是真的能夠用得上。 防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護(hù)，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護(hù)。 包過濾是歷史最久遠(yuǎn)的防火墻技術(shù)，從實(shí)現(xiàn)上分，又可以分為簡(jiǎn)單包過濾和狀態(tài)檢測(cè)的包過濾兩種。 簡(jiǎn)單包過濾是對(duì)單個(gè)包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購(gòu)買一個(gè)簡(jiǎn)單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對(duì)TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了

23、僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式進(jìn)行的攻擊仍然可以從外部通過防火墻對(duì)內(nèi)部的系統(tǒng)進(jìn)行攻擊。簡(jiǎn)單包過濾的產(chǎn)品由于其保護(hù)的不完善，在99年以前國(guó)外的防火墻市場(chǎng)上就已經(jīng)不存在了，但是目前國(guó)內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡(jiǎn)單包過濾的技術(shù)，從這點(diǎn)上可以說，國(guó)內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國(guó)外落后2到3年。 狀態(tài)檢測(cè)的包過濾利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話的狀態(tài)，對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)。因而提供了更完整的對(duì)傳輸層的控制能力。同時(shí)由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測(cè)包過濾的性能也明顯優(yōu)于簡(jiǎn)單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。 順便提一下

24、免費(fèi)軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強(qiáng)技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實(shí)現(xiàn)的原理上分析，雖然它們提供了對(duì)TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡(jiǎn)單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進(jìn)行過濾時(shí)建立了一個(gè)用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測(cè)技術(shù)的基本特征。 包過濾結(jié)構(gòu)的最大的優(yōu)點(diǎn)是部署容易，對(duì)應(yīng)用透明。一個(gè)產(chǎn)品如果保護(hù)功能十分強(qiáng)大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個(gè)產(chǎn)品所提供的保護(hù)就毫無意義，而包過濾產(chǎn)品則

25、很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點(diǎn)上，對(duì)用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動(dòng)原來的拓?fù)浣Y(jié)構(gòu)。 包過濾的另一個(gè)優(yōu)點(diǎn)是性能，狀態(tài)檢測(cè)包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢(shì)的結(jié)構(gòu)。 但是對(duì)于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對(duì)于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對(duì)于應(yīng)用層則缺少足夠的保護(hù)，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實(shí)現(xiàn)的。 應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個(gè)歷史比較長(zhǎng)的技術(shù)，最初的代表是TIS工具包，

26、現(xiàn)在這個(gè)工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略的要求。針對(duì)各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說，狀態(tài)檢測(cè)包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。 對(duì)于使用代理防火墻的用戶來說，在得到安全性的同時(shí)，用戶也需要付出其它的代價(jià)。代理技術(shù)的一個(gè)主要的弱點(diǎn)是缺乏對(duì)應(yīng)用的透明性，這個(gè)缺陷幾乎可以說是天生的，因?yàn)樗挥形挥趹?yīng)用會(huì)話的中間環(huán)節(jié)，才會(huì)對(duì)會(huì)話進(jìn)行控制，而幾乎所

27、有的應(yīng)用協(xié)議在設(shè)計(jì)時(shí)都不認(rèn)為中間應(yīng)該有一個(gè)防火墻存在。這使得對(duì)于許多應(yīng)用協(xié)議來說實(shí)現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個(gè)支持的應(yīng)用協(xié)議實(shí)現(xiàn)專門的功能，所以對(duì)于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個(gè)正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個(gè)復(fù)雜的分布計(jì)算的網(wǎng)絡(luò)環(huán)境下，幾乎無法成功的部署一個(gè)代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進(jìn)行安全區(qū)域分割是尤其明顯。 代理的另一個(gè)無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對(duì)每個(gè)訪問實(shí)例的處理代價(jià)和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防

28、火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個(gè)并發(fā)訪問。對(duì)于一個(gè)繁忙的站點(diǎn)來說，這是很難接受的性能。 代理防火墻的技術(shù)發(fā)展遠(yuǎn)沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時(shí)為了克服代理種類有限的局限性，很多代理防火墻同時(shí)也提供了狀態(tài)檢測(cè)包過濾的能力，當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時(shí)，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長(zhǎng)處。 狀態(tài)檢測(cè)包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場(chǎng)中普遍采用的主流技術(shù)，但兩種技術(shù)正

29、在形成一種融合的趨勢(shì)，演變的結(jié)果也許會(huì)導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們?cè)贜etEye防火墻中以狀態(tài)檢測(cè)包過濾為基礎(chǔ)實(shí)現(xiàn)了一種我們暫時(shí)稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對(duì)于任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)是以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵

30、件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能。 “流過濾”的另一個(gè)優(yōu)勢(shì)在于性能，完全為轉(zhuǎn)發(fā)目的而重新實(shí)現(xiàn)的TCP協(xié)議棧相對(duì)于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個(gè)能夠支持幾千個(gè)，甚至數(shù)萬個(gè)并發(fā)訪問，同時(shí)又有相當(dāng)于代理技術(shù)的應(yīng)用層防護(hù)能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。 防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進(jìn)步卻從來沒有停止過，事實(shí)上，任何一個(gè)安全產(chǎn)品或技術(shù)都不能提供永遠(yuǎn)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對(duì)于防火墻來說，技

31、術(shù)的不斷進(jìn)步才是真實(shí)的保障。五、 防火墻常用技術(shù)和性能（一）、防火墻的四種基本類型根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、代理型和監(jiān)測(cè)型。（1）、包過濾型 包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際

32、情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。 （2）、網(wǎng)絡(luò)地址轉(zhuǎn)化NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

33、在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不

34、需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。 （3）、代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵

35、測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。（4）、監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的

36、攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用

37、具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。（二） 、防火墻的選擇網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢(shì)而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。安裝防火墻的基本原則是:只