防火墙技术在财务管理系统中的应用（杨洪利）.pdf

《防火墙技术在财务管理系统中的应用（杨洪利）.pdf》由会员分享，可在线阅读，更多相关《防火墙技术在财务管理系统中的应用（杨洪利）.pdf（2页珍藏版）》请在咨信网上搜索。

炼 油 与 化 工 R E F I N I N G A N D C H E M I C A L I N D U S T R Y 第 2 0 卷 防火墙技术在财务管理系统中的应用 杨洪 利 ( 大庆石化公司培训 中心 ， 黑龙江 大庆 1 6 3 7 1 1 ) 财务管理系统作为大庆石化局域网的子网络是基于 T C P I P协议并采用了 I n t e me t 的通信标准和 We b信息流通 模式的I n t r a n e t 系统。 它具有开放性， 因而使用极其方便。 但 开放性却带来了系统入侵、 病毒入侵等安全问题。 一旦安全 问题得不到很好的解决， 就可能出现商业秘密泄漏、 设备损 坏、 财务数据丢失、 财务系统瘫痪等严重后果 ， 给正常的财 务管理工作造成极大的负面影响。因此企业财务管理需要 一个更安全的网络 系统I lJ 。 目前局域网络存在的安全隐患主要有黑客恶意攻击、 病毒感染等。 在这众多的安全隐患中， 黑客恶意攻击和病毒 感染的威胁最大 ， 造成的破坏也最大。 所 以财务管理系统应 该 以防范黑客为主。 针对局域网中存在的众多隐患， 信息管理部门实施了 安全防御措施， 其中包括防火墙技术、 数据加密技术、 认证 技术等， 其中应用最为广泛 、 实用性最强 、 效果最好的就是 防火墙技术。文中就放火墙技术在财务管理信息系统中的 应用进行 了探讨。 1 防火墙技术 1 1 防火墙的基本概念 防火墙是保护内部网络安全的一道防护墙。从理论上 讲，网络防火墙是用来防止外部网上的各类危险程序传播 到某个受保护网内，财务上主要用于保护计算机和服务器 不受攻击， 确保数据安全。 从逻辑上讲， 防火墙是分离器、 限 制器和分析器； 从物理角度看 ， 各个防火墙的物理实现方式 可以有所不同， 但它通常是 1 组硬件设备( 路由器、 主机) 和 软件的多种组合； 而从本质上看防火墙是 1 种保护装置， 用 来保护网络数据、 资源和用户的声誉； 从技术上来说， 网络 防火墙是 1 种访问控制技术，在某个机构的网络和不安全 的网络之间设置障碍， 阻止对信息资源的非法访问， 所以防 火墙是一道门槛 ， 控制进 出 2个方向的通信， 防火墙主要 用来保护安全网络免受来 自不安全网络的入侵。如安全网 络可能是企业的内部网络 ， 不安 全网络是因特网 ， 当然 ， 防 火墙不 只是用于某个 网络与 因特网的隔离 ，也可用于内部 网络中的部门网络之间的隔离口 I。 1 2 防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则， 监控所有通过防火墙 的数据流 ， 只允许授权的数据通过 ， 同 时记录有关的联接来源 、服务器提供的通信量以及试图闯 入者的任何企图， 以方便管理员的监测和跟踪， 并且防火墙 本身也必须能够免于渗透。 1 3 防火墙的功能 防火墙具有 4种功能。( 1 ) 能够防止非法用户进入内 部网络。 ( 2 ) 可以很方便地监视网络的安全性， 并报警。 ( 3 ) 可以作为部署 N A T ( N e t w o r k A d d r e s s T r a n s l a t i o n ， 网络地址 变换) 的地点 ， 利用 N A T技术， 将有限的 I P地址动态或静 态地与内部的 I P地址对应起来， 用来缓解地址空间短缺的 问题。( 4 ) 可以连接到 1 个单独的网段上， 从物理上和内部 网段隔开， 并在此部署 www 服务器和 F I P服务器， 将其 作为向外部发布内部信息的地点。 从技术角度来讲， 就是所 谓的停火 区( D MZ ) 。 1 4 防火墙的分类 ( 1 ) 过滤型防火墙， 又称筛选路由器( S c r e e n i n g r o u t e r ) 或网络层防火墙( N e t w o r k l e v e l fi r e w a l 1 ) ， 它工作在网络层 和传输层。 它基于单个数据包实施网络控制， 根据所收到的 数据包的源 I P地址 、 目的 I P地址、 T C P U D P源端 口号及目 标端口号、 I C MP消息类型、 数据包出入接口、 协议类型和数 据包中的各种标志等为参数，与用户预定的访问控制表进 行比较， 决定数据是否符合预先制定的安全策略， 决定数据 包的转发或丢弃 ， 即实施过滤。目前大庆石化公司财务管理 系统使用的就是过滤型防火墙 。 ( 2 ) 代理服务器型防火墙。代理服务器型防火墙通过 在主机上运行代理的服务程序，直接对特定的应用层进行 服务， 因此也称为应用型防火墙。 其核心是运行于防火墙主 机上的代理服务器进程， 它代替网络用户完成特定的T C P I P功能。1 个代理服务器实际上是 1 个为特定网络应用而 连接 2 个 网络的网关 。 ( 3 ) 复合型防火墙。 由于对更高安全性的要求， 通常把 数据包过滤和代理服务系统的功能和特点综合起来，构成 复合型防火墙系统。所用主机称为堡垒主机，负责代理服 务。 各种类型的防火墙都有其各自的优缺点。 当前的防火墙 产品 己不再是单一的包过滤型或代理服务 器型防火墙 ， 而 是将各种安全技术结合起来， 形成混合的多级防火墙， 以提 高防火墙的灵活性和安全性。混合型防火墙一般采用 7种 技术： 动态包过滤； 内核透明技术； 用户认证机制； 内容和策略感知能力； 内部信息隐藏； 智能 日志 、 审计 和实时报警； 防火墙的交互操作性。 2 财务管理系统的防火墙设计 2 1 防火墙 系统的总体设计思想 2 1 1设计防火墙系统的拓扑结构在确定防火墙系统的 拓扑结构时， 首先必须确定被保护网络的安全级别， 财务数 2 0 0 9年 第 1 期 杨洪利肪 火墙技 术在 财务管理 系统 中的应用 6 3 据在企业属于非常重要的核心数据。 从整个系统的成本、 安 全保护的实现、 维护、 升级 、 改造以及重要的资源的保护等 方面进行考虑， 以决定防火墙系统的拓扑结构。 2 1 2 制定网络安全策略在实现过程中， 没有允许的服务 是被禁止的， 没有被禁止的服务都是允许的， 因此网络安全 的第 1 条策略是拒绝一切未许可的服务。防火墙封锁所有 信息流， 逐一完成每项许可的服务； 第 2条策略是允许一切 没有被禁止的服务 ， 防火墙转发所有的信息， 逐项删除被禁 止 的服务 。 2 1 3 确定包过滤规则包过滤规则是以处理 I P包头信息 为基础 ， 设计在包过滤规则时， 一般先组织好包过滤规则， 然后再进行具体设置。 2 1 4 设计代理服务代理服务器接受外部网络节点提出 的服务请求， 如果此请求被接受 ， 代理服务器再建立与实服 务器的连接。由于它作用于应用层，故可利用各种安全技 术， 如身份验证、 日志登录 、 审计跟踪 、 密码技术等， 来加强 网络安全l性， 解决包过滤所不能解决的问题。 2 1 5 严格定义功能模块。 分散实现防火墙由各种功能模 块组成 ， 如包过滤器、 代理服务器 、 认证服务器、 域名服务 器、 通信监控器等。 这些功能模块最好由路由器和单独的主 机实现， 功能分散减少了实现的难度， 增加了可靠程度。 2 1 6 防火墙维护和管理方案的考虑防火墙的日常维护 是对访问记录进行审计 ， 发现入侵和非法访问情况。 据此对 防火墙的安全性进行评价， 需要时进行适当改进 ， 管理工作 要根据网络拓扑结构的改变或安全策略 的变化 ，对 防火墙 进行硬件和软件的修改和升级。通过维护和管理进一步优 化其性能， 以保证网络极其信息的安全性。 3 数据包防火墙设计 数 据 包 过 滤 防 火 墙 工 作 于 D O D ( D e p a r t me n t o f D e n s e ) 模型的网络层 ， 其技术核心是对是流经防火墙每个 数据包进行审查，分析其包头中所包含的源地址、目的地 址、封装协议 ( T C P ， U D P 、 I C M P ，I P T u n n e l 等) 、 T C P U D P 源端 口号和目的端口号 、 输人输出接口等信息， 确定其是否 与系统预先设定的安全策略相匹配，以决定允许或拒绝该 数据包的通过。 从而起到保护内部网络的作用， 这一过程就 称为数据包过滤。 3 1 与服 务有关的安全检查规则 这 类安全检查 是根据特 定服务 的需要 来决定是 否允 许相关 的数据包被传输 。这类 服务包括 www，F F P ， T e l n e t ， S M T P等。 现以 www包过滤为例， 来分析这类数据 包过滤 的实现 。 WWW 数据包采用 T C P或 U D P协 议 ， 其端 口为 8 0 ， 设 置安全规则为允许内部网络用户对 I n t e r n e t 的 www 访 问，而限制 I n t e r n e t 用户仅能访问内部网部的 www 服务 器 ， ( 假定其 I P地址为 l 0 1 1 4 9 6 8 ) 。 要实现上述 www安全规则， 设置 www数据包过滤 为， 在防火 e t h 0端仅允许目的地址为内部网络 www服务 器地址数据包通过 ， 而在防火墙 e t h 1 端允许所有来 自内部 网络 www数据包通过， 其应用序列为： # De fi n e HT r P p a c k e t s ； # 允许 I n t e me t 客户的Www包访问 www 服务器； s b i n i p c h a i n s- A i n p u t p t c p s 0 0 0 0 0 1 0 2 4 ：一 d 1 0 1 1 4 9 6 8 3 2 w w w- i e t h 0 - j A C C E P T ； s b i n i p c h a i n s A i n p u t P t c p S 0 0 0 O fl 1 0 2 4 ： - d 1 1 0 1 1 4 9 6 8 3 2 w w w i e t h 0 - j AC C E P T ； #允许 www 服 务器 回应 I n t e r n e t 客户的 wwW 访问 请求； s bi n i p c h a i n s- A i n p ut -pt c p -s l O 1 1 4 9 68 32 www： - d 0 0 0 0 0 1 0 2 4 ： 一 i e t h l - j A C C E PT ； s bi n i pc h a i n s A i np utp ud p S 1 0 1 1 49 68 32 www： 一 d 0 0 0 0 0 1 0 2 4 ： - i e t h l - j A C C E PT 。 显然， 设置此类数据过滤的关键是限制与服务相应的 目地地址和服务端 口。与此相似 ，可以建立起与 F T P ， T e l n e t ， S M T P等服务有关的数据包检查规则。 3 2 与服务无关的安全检查规 则 这类安全规则是通过对路由表 、数据包的特定 I P选 项和特定段等内容的检查来实现的， 主要包括 3项内容。 ( 1 )数据包完整性检查：安全规则为拒绝不完整数据 包进入 I p c h a i n s 本身并不具备碎片过滤功能，实现完整性 检查的方法是利用 R E D H A T ，在编译其 内核时设定 I P； a l w a y s d e f r a y m e n t s s e t t o v 。 R E D H A T检查进人的数据包 的完整性， 合并片段而抛弃碎片。 ( 2 )源地址 I P欺骗 ： 安全规则为拒绝从外部传输来的 数据包伪装成来 自某一内部网络主机 ，以期能渗透到内部 网络中要实现这一安全规则，设置拒绝数据包过滤规则 为，在防火墙 e t h 0端拒绝 1 P源地址为内部网络地址的数 据包通过。 ( 3 ) 源路由欺骗：安全规则为拒绝从外部传输来的数 据包包含 自行指定 的路由信息 ，实现的方法也是借助 R E D HA T的路由功能，拒绝来自外部的包含源路由选项的 数据包。 4 结束语 防火墙技术优点众多， 但也并非万无一失。管理人员 在设定防火墙后千万不可麻痹大意， 而应居安思危， 将防火 墙与其他安全防御技术配合使用， 才能达到应有的效果。 参考文献 ： 1 张哗， 刘玉莎肪 火墙技术的研究与探讨 M 计算机系统应用， 2 0 0 6： 6 8 7 5 2 王丽艳 浅谈防火墙技术与防火墙 系统设计 J 辽宁工学院 学报 ， 2 0 0 7 ( 1 1 ) ： 2 8 3 3 3 郭伟 数据包过滤技术与防火墙 的设计 J 江汉大学学报， 2 0 0 5 ( 7 ) ： 2 4 2 6