网络安全防火墙技术论文

电子商务安全技术的发展和应用

摘要：随着电子商务日益成为国民经济的亮点，Internet逐渐发展成为电子商务的最佳载体。然而互联网充分开放，不设防护的特点使加强电子商务的安全问题日益紧迫。在电子商务的交易中，经济信息、资金都要通过网络传输，交易双方的身份也需要认证，因此，电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定的运行。防火墙技术、数据加解密技术、数字签名、身份认证和安全电子商务的国际规等。

关键字：安全技术防火墙数据加密

防火墙技术

1.防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，如路由器、网关等。它对两个或多个网络之间传输的数据包和方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。其中被保护的网络称为部网络，另一方则称为外部网络或公用网络，它能有效地控制部网络与外部网络之间的访问及数据传送，从而达到保护部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。所有来自Internet的传输信息或你发电子商务资料库的信息都必须经过防火墙。这样防火墙就起到了保护诸如电子、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:

(1)过滤进、出网络的数据；

(2)管理进、出网络的访问行为；

(3)封堵某些禁止行为；

(4)记录通过防火墙的信息容和活动；

(5)对网络攻击进行检测和告警；

国际标准化组织的计算机专业委员会根据网络开放系统互连7层模型制定了一个网络安全体系结构，用来解决网络系统中的信息安全问题，如表1所示

2.防火墙的基本准则:未被允许的就是禁止的。

基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种相当安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使用的方便性，用户所能使用的围大大受到限制。

防火墙是实现安全访问控制的，因此按照OSI／RM，防火墙可以在OSI／RM7层中的5层设置，如图1所示：

防火墙从功能上来分通常由以下几部分组成，如图2所示

人机接口

访问控制策略审计安全管理数据加密

网络互联设备

图2防火墙体系结构

目前，从概念上来讲，防火墙技术主要分为9种：

（1）包过滤（Packet filter）防火墙技术，又称筛选路由器（Screening router）或网络层防火墙（Network level firewall），它是对进出部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据信息为基础，比如IP数据包源地址、IP数据包目的地址、封装协议类型（TCP、UDP、ICMP等）、TCP／IP源端口号、TCP／IP目的端口号、ICMP报文类型等，当一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过，相当于此数据包所要到达的网络物理上被断开，起到了保护部网络的作用。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。

（2）应用层网关级（Application level gatewav）防火墙技术，又称代理（Proxy），它由两部分组成：代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种，它是把筛选路由器技术和软件代理技术结合在一起，由筛选路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，如图3所示

（3）双宿主机（Dual-homed host）技术防火墙技术，又称堡垒主机（Bastion

host），它的结构如图4所示，采用主机取代路由器执行安全控制功能，故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在部网络和外部网络之间进行寻径，如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的部网络与外部网络之间的通信，而与它相连的部网络和外部网络仍可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据，这样就保证部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但部网络与外部网络之间却不能传递信息，从而达到保护部网络的作用。

(4)网络地址转换技术。

防火墙利用NAT技术能透明地对所有部地址做转换,使得外部网络无法了解部网络的部结构,同时允许部网络使用自己编的ＩＰ源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

(5)Internet网关技术。

由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。

图5 Internet／Intranet防火墙配置

在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是部DNS 服务器,主要处理部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构部向Internet提供的部分DNS信息。

在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙运行。在Finger服务器中,对外部访问,防火墙只提供可由部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP服务器要对所有进、出防火墙的做处理,并利用映射与标头剥除的方法隐除部的环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

(6)安全服务器网络(SSN)。

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一网卡将对外服务器作为一个独立网络处理,对外服务器既是部网络的一部分,又与部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与部网之间也有防火墙的保护,而DMZ只是一种在、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,部网络仍会处于防火墙的保护之