防火墙技术在电子商务中的应用.doc

《防火墙技术在电子商务中的应用.doc》由会员分享，可在线阅读，更多相关《防火墙技术在电子商务中的应用.doc（15页珍藏版）》请在咨信网上搜索。

.. - 防火墙技术在电子商务中的应用 目 录 目录 (1) 容摘要 (2) 关键词 (2) 正文 (2) 一、电子商务的概念及交易问题 (2) 〔一〕、什么是电子商务 (2) (二)、电子商务的交易过程 (2) 二、电子商务中的信息平安问题、特性及威胁 (3) (一)、电子交易的平安概念、平安特性 (3) 〔二〕、电子商务中的信息平安问题及威胁 (4) 三、防火墙的技术与体系构造 (6) 四、防火墙的简介与使用的益处 (6) 五、防火墙常用技术和性能 〔11〕 六、结论 (14) 参考文献 (14) 浅谈防火墙技术在电子商务中的应用 容摘要：防火墙技术作为保证电子商务活动息平安的第一道有效屏障，受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息平安问题及威胁、重点介绍了电子商务交易系统的防火墙技术，讨论了建立网上平安信任机制的根底。 关键词：防火墙 电子商务 应用 正文: 一、 电子商务的概念及交易问题 (一) 什么是电子商务 电子商务源于英文Electronic merce，简写为EC。是指一个机构利用信息和技术手段，改变其和供给商、用户、员工、合作伙伴、管理部门的互动关系，从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务；本质上是创造更多商机、提供更好商业效劳的一种电子交易智能化手段。眼下，电子商务的含义已不仅仅是单纯的电子购物，电子商务以数据〔包括文本、声音和图像〕的电子处理和传输为根底，包含了许多不同的活动〔如商品效劳的电子贸易、数字容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后效劳〕。它涉及产品〔消费品和工业品〕和效劳〔信息效劳、财务与法律效劳〕；它包含了使用Internet和Web技术进展的所有的商务活动。 (二)、电子商务的交易过程 企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。 (1)交易前的准备 买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品，准备购货款，制订购货方案，进展货源的市场调查和分析，反复进展市场查询，通过交换信息来比拟价格和条件，了解各个卖方国家的贸易政策，反复修改购货方案和进货方案，确定和审批购货方案。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货方案，再按方案确定购置商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方那么对自己所销售的商品，进展全面的市场调查和分析，了解各个买方国家的贸易政策，制订各种销售策略和销售方式，制作广告进展宣传，召开商品新闻发布会，利用Internet和各种电子商务网络发布商品广告等手段扩大影响，寻找贸易伙伴和交易时机，扩大贸易围和商品所占市场的份额。 参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等，买卖双方都少不了要为电子商务交易做好准备。 (2)交易谈判和签订贸易合同  买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判，将双方磋商的结果做成文件，即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法，经过认真谈判和磋商后，将双方在交易中的权利、所承当的义务、所购置商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定，合同双方可以利用电子数据交换(EDI)进展签约，也可以通过数字签名等方式签约。  (3)办理交易进展前的手续  买卖双方从签订合同到开场履行合同要办理各种手续，这也是双方在交易前的准备过程。交易中要涉及到有关各方，即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进展各种电子票据和电子单证的交换，直到办理完一切手续、商品开场发货为止。 　　 (4)交易合同的履行和索赔 这一阶段是从买卖双方办完所有各种手续之后开场，卖方要备货、组货，进展报关、保险、取证、信用卡等手续，然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务效劳器跟踪发出的货物，金融机构和银行也按照合同，处理双方收付款、并进展结算，出具相应的银行单据等，当买方收到所购的商品，整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时，需要进展违约处理的工作，受损方按贸易合同有关条款向违约方进展索赔。 二、 电子商务中的信息平安问题、特性及威胁 (一)、电子交易的平安概念、平安特性 电子商务平安是一个系统概念，不仅与计算机系统构造有关，还与电子商务应用的环境、人员素质和社会因素有关。其易的平安又是电子商务开展的核心和关键问题。交易对平安性的要求有如下几个方面：(1)有效性，因为交易对于交易双方都是一件十分严肃的事情，双方都对交易的信息认可。(2)性，即要求交易的信息只有交易双方知道，第三方不能通过网络获得。(3)完整性，包括过程的完整和数据资料的完整。(4)交易者身份确实定性，这是信用的前提。(5)交易的不可否认性，要求在交易信息的传输过程中为参与交易的个人，企业和国家提供可靠的标识。数据的平安主要包括数据的完整，不受损坏，不丧失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进展信息资金的交换，保证交易不得中断。 虽然各种有效的手段可以保证电子商务的根本平安，但是层出不穷的病毒入侵和黑客攻击使得电子商务平安仍然是一个令人头痛的问题，那么如何加强电子商务的平安呢？ 防火墙可以保证对主机和应用平安访问，保证多种客户机和效劳器的平安性，保护关键部门不受到来自部和外部的攻击，为通过Internet与远程访问的雇员、客户、供给商提供平安渠道。 与传统商务相比，电子商务具有许多特点： 其一，电子商务是一种快速、便捷、高效的交易方式。在电子商务中，信息的传递通过网络完成，速度很快，可以节省珍贵的交易时间。 其二，电子商务是在公开环境下进展的交易，其可以在全球围进展交易。由于借助互联网，这就使得经济交易突破了空间的限制；公开环境下的信息公开，使所有的企业可以平等地参与市场竞争。 其三，在电子商务中，电子数据的传递、编制、发送、接收都由精细的电脑程序完成，更加准确、可靠。 〔二〕、电子商务中的信息平安问题及威胁 1、电子商务的平安问题。总的来说分为二局部：一是网络平安，二是商务平安。计算机网络平安的容包括：计算机网络设备平安，计算机网络系统平安，数据库安 全，工作人员和环境等。其特征是针对计算机网络本身可能存在的平安问题，实施网络平安增强方案，以保证计算机网络自身的平安性为目标。商务平安那么紧紧围绕 传统商务在Internet上应用时产生的各种平安问题，在计算机网络平安的根底上，如何保障电子商务过程的顺利进展。即实现电子商务的性，完整性， 可鉴别性，不可伪造性和不可依赖性。 在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的平安性。一般来说商务平安中普遍存在着以下几种平安隐患： (1)窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过屡次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的容，造成网上传输信息泄密。 (2).恶意代码。它们将继续对所有的网络系统构成威胁， 并且，其数量将随着Internet 的开展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大。 (3)篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。 (4)假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。 (5)恶意破坏。由于攻击者可以接入网络，那么可能对网络中的信息进展修改，掌握网上的机要信息，甚至可以潜入网络部，其后果是非常严重的。 2、电子商务面临的平安威胁。根据攻击能力的组织构造程度和使用的手段，可以将威胁归纳为四种根本类型：无组织构造的部和外部威胁与有组织构造的部和外部威胁。一般来讲，对外部威胁，平安性强调防御；对部威胁，平安性强调威慑。 (1)病毒。病毒是由一些不正直的程序员所编写的计算机程序，它采用了独特的设计，可以在受到某个事件触发时，复制自身，并感染计算机。如果在病毒可以通过某个外界来源进入网络时，网络才会感染病毒。 (2)恶意破坏程序。会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果，从而使更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。 (3)攻击。目前已经出现了各种类型的网络攻击，它们通常被分为三类：探测式攻击，访问攻击和拒绝效劳〔DOS〕攻击。a.探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网。b.访问攻击用于发现身份认证效劳、文件传输协议〔FTP〕功能等网络领域的漏洞，以访问电子账号、数据库和其他信息。c. DOS 攻击可以防止用户对于局部或者全部计算机系统的访问。 (4)数据阻截。通过任何类型的网络进展数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息，甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。 (5) 垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子或者利用电子广为发送未经申请的广告信息的行为。垃圾信件通常是无害的，但是它可能会浪费接收者的时间和存储空间，带来很多麻烦。 因此，随着电子商务日益开展和普及，平安问题显得异常突出，解决平安问题已成为我国电子商务开展的当务之急。 三、 防火墙的技术与体系构造 〔一〕、什么是防火墙 防火墙是一个或一组在两个网络之间执行平安访问控制策略的系统,包括硬件和软件,目的是保护部网络资源不被可疑人侵扰，防止部受到外部的非法攻击。本质上，它遵从的是一种允许或阻止业务来往的网络通信平安机制,也就是提供可控的过滤网络通信，只允许授权的通讯。 〔二〕、使用防火墙的益处 (1)保护脆弱的效劳 通过过滤不平安的效劳，防火墙可以极提高网络平安和减少子网中主机的风险。例如，防火墙可以制止NIS、NFS效劳通过，防火墙同时可以拒绝源路由和ICMP重定向封包。 (2)集中的平安管理 防火墙对企业部网实现集中的平安管理，在防火墙定义的平安规那么可以运行于整个部网络系统，而无须在部网每台机器上分别设立平安策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问部网。 (3)控制对系统的访问 防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时制止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server和Web Server。 (4)策略执行 防火墙提供了制定和执行网络平安策略的手段。未设置防火墙时，网络平安取决于每台主机的用户。 (5)增强的性 使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。 防火墙可以提供统计数据，来判断可能的攻击和探测。并且，防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据。 四、防火墙的简介与使用的益处 〔一〕、防火墙的简介 一个防火墙〔作为阻塞点、控制点〕能极提高一个部网络的平安性，并通过过滤不平安的效劳而降低风险。防火墙同时可以保护网络免受基于路由的攻击。 防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策控制〔允许、拒绝、监测〕出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息平安效劳，实现网络和信息平安的根底设施。 防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定平安标准的数据包。 一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客〞从机器登录到你的网络。更复杂的防火墙能够阻止从外部到部的流量，但允许网用户更自由的与外部交流。 防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取平安和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点〞，因为阻止点在网络中的作用相当于警卫保卫财产。 从理论上说，有两种类型的防火墙：应用层防火墙和网络层防火墙 它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个平安区到另一个平安区所采用的机制。国际标准化组织〔ISO〕开放系统互联(OSI)模型把网络分成七层，每一层都为上一层效劳。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。 〔1〕应用层防火墙 应用层防火墙通常是代理效劳器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。 在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进展一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的平安模型。 〔2〕网络层防火墙 这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。 另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的开展很迅速，对于用户来说几乎是透明的。 未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进展记录和检查的快速分组筛选系统。 在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，有效地监控了部网和Internet之间的任何活动，保证了部网络的平安。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件类型，软件在电脑上运行并监控，其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实在。 （二） 、防火墙的体系构造 防火墙对于企业网络的防御系统来说，是一个不可缺少的根底设施。在选择防火墙防火墙时，我们首先考虑的就是需要一个什么构造的产品，防火墙开展到今天，很多产品已经越来越象是一个网络平安的工具箱，工具的多少固然很重要， 但系统的构造却是一个起决定性作用的前提。因为防火墙的构造决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。 防火墙的根本构造可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理那么更关心应用层的保护。 包过滤是历史最长远的防火墙技术，从实现上分，又可以分为简单包过滤和状态检测的包过滤两种。 简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器，那么完全没有必要购置一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，比方当你在这样的产品上配置了仅允许从到外的TCP访问时，一些以TCP应答包的形式进展的攻击仍然可以从外部通过防火墙对部的系统进展攻击。简单包过滤的产品由于其保护的不完善，在99年以前国外的防火墙市场上就已经不存在了，但是目前国研制的产品仍然有很多采用的是这种简单包过滤的技术，从这点上可以说，国产品的平均技术水准至少比国外落后2到3年。 状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规那么表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规那么复杂的大型网络上。 顺便提一下免费软件中的包过滤技术，比拟典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析，虽然它们提供了对TCP状态位的检查，但是由于没有跟踪TCP的状态，所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table，从其名称就可以看出，它在进展过滤时建立了一个用来记录状态信息的Table，已经具备了状态检测技术的根本特征。 包过滤构造的最大的优点是部署容易，对应用透明。一个产品如果保护功能十分强大，但是不能加到你的网络中去，那么这个产品所提供的保护就毫无意义，而包过滤产品那么很容易安装到用户所需要控制的网络节点上，对用户的应用系统那么几乎没有影响。特别是近来出现的透明方式的包过滤防火墙，由于采用了网桥技术，几乎可以部署在任何的以太网线路上，而完全不需要改动原来的拓扑构造。 包过滤的另一个优点是性能，状态检测包过滤是各种防火墙构造中在吞吐能力上最具优势的构造。 但是对于防火墙产品来说，毕竟平安是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和效劳端口等根本的传输层以下的信息。对于应用层那么缺少足够的保护，而大量的网络攻击是利用应用系统的漏洞实现的。 应用代理防火墙可以说就是为防应用层攻击而设计的。应用代理也算是一个历史比拟长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能直接与效劳器建立直接的TCP连接，应用层的协议会话过程必须符合代理的平安策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规了网络层和传输层行为，而应用代理那么是规了特定的应用协议上的行为。 对于使用代理防火墙的用户来说，在得到平安性的同时，用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性，这个缺陷几乎可以说是天生的，因为它只有位于应用会话的中间环节，才会对会话进展控制，而几乎所有的应用协议在设计时都不认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合，需要为每一个支持的应用协议实现专门的功能，所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议，要么放弃防火墙，要么放弃应用。特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理构造的防火墙，而这种情况在企业部网进展平安区域分割是尤其明显。 代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket效劳接口之上，其对每个访问实例的处理代价和资源消耗接近于Web效劳器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说，这是很难承受的性能。 代理防火墙的技术开展远没有包过滤技术活泼，比拟一下几年以前的TIS和现在的代理类型的商用产品，在核心技术上几乎没有什么变化，变化的主要是增加了协议的种类。同时为了克制代理种类有限的局限性，很多代理防火墙同时也提供了状态检测包过滤的能力，当用户遇到防火墙不能支持的应用协议时，就以包过滤的方式让其通过。由于很难将这两者的平安策略结合在一起，所以混合型的产品通常更难于配置，也很难真正的结合两者的长处。 状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的构造名称的出现。我们在NetEye防火墙中以状态检测包过滤为根底实现了一种我们暂时称之为“流过滤〞的构造，其根本的原理是在防火墙外部仍然是包过滤的形态，工作在链路层或IP层，在规那么允许下，两端可以直接的访问，但是对于任何一个被规那么允许的访问在防火墙部都存在两个完全独立的TCP会话，数据是以“流〞的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替效劳器或客户端参与应用层的会话，从而起到了与应用代理防火墙一样的控制能力。比方在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对的存储转发，并实现丰富的对SMTP协议的各种攻击的防功能。　 “流过滤〞的另一个优势在于性能，完全为转发目的而重新实现的TCP协议栈相对于以自身效劳为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，“流过滤〞构造几乎是唯一的选择。 防火墙技术开展这么多年，已经成为了网络平安中最为成熟的技术，是平安管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停顿过，事实上，任何一个平安产品或技术都不能提供永远的平安，因为网络在变化，应用在变化，入侵的手段在变化。对于防火墙来说，技术的不断进步才是真实的保障。 五、防火墙常用技术和性能 〔一〕、防火墙的四种根本类型 根据防火墙所采用的技术不同,我们可以将它分为四种根本类型:包过滤型、网络地址转换—NAT、代理型和监测型。 〔1〕、包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包〞为单位进展传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包〞是否来自可信任的平安站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规那么。 包过滤技术的优点是简单实用,实现本钱较低,在应用环境比拟简单的情况下,能够以较小的代价在一定程度上保证系统的平安。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的平安技术,只能根据数据包的来源、目标和端口等网络信息进展判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子中附带的病毒。有经历的黑客很容易伪造IP地址,骗过包过滤型防火墙。 〔2〕、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在部网络通过平安网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非平安网卡与外部网络连接，这样对外就隐藏了真实的部网络地址。在外部网络通过非平安网卡访问部网络时，它并不知道部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规那么来判断这个访问是否平安。当符合规那么时，防火墙认为访问是平安的，可以承受访问请求，也可以将连接请求映射到不同的部计算机中。当不符合规那么时，防火墙认为该访问是不平安的，不能被承受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进展设置，用户只要进展常规操作即可。 〔3〕、代理型 代理型防火墙也可以被称为代理效劳器,它的平安性要高于包过滤型产品,并已经开场向应用层开展。代理效劳器位于客户机与效劳器之间,完全阻挡了二者间的数据交流。从客户机来看,代理效劳器相当于一台真正的效劳器;而从效劳器来看,代理效劳器又是一台真正的客户机。当客户机需要使用效劳器上的数据时,首先将数据请求发给代理效劳器,代理效劳器再根据这一请求向效劳器索取数据,然后再由代理效劳器将数据传输给客户机。由于外部系统与部效劳器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业部网络系统。 代理型防火墙的优点是平安性较高,可以针对应用层进展侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理效劳器必须针对客户机可能产生的所有应用类型逐一进展设置,大大增加了系统管理的复杂性。 〔4〕、监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进展主动的、实时的监测,在对这些数据加以分析的根底上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用效劳器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自部的恶意破坏也有极强的防作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在平安性上也超越了前两代产品 虽然监测型防火墙平安性上已超越了包过滤型和代理效劳器型防火墙,但由于监测型防火墙技术的实现本钱较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开场使用监测型防火墙。基于对系统本钱与平安技术本钱的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的平安性需求,同时也能有效地控制平安系统的总拥有本钱。 实际上,作为当前防火墙产品的主流趋势,大多数代理效劳器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地防止部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 （二） 、防火墙的选择 网络防火墙技术的作为部网络与外部网络之间的第一道平安屏障，是最先受到人们重视的网络平安技术，就其产品的主流趋势而言，大多数代理效劳器〔也称应用网关〕也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们终究应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司部网络规模较大,并且设置有虚拟局域网(VLAN),那么应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。 安装防火墙的根本原那么是:只要有恶意侵入的可能,无论是部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条: 〔1〕总拥有本钱防火墙产品作为网络系统的平安屏障,其总拥有本钱(TCO)不应该超过受保护网络系统可能遭受最大损失的本钱。以一个非关键部门的网络系统为例,假设其系统中的所有信息及所支持应用的总价值为10万元,那么该部门所配备防火墙的总本钱也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在。如果仅做粗略估算,非关键部门的防火墙购置本钱不应该超过网络系统的建立总本钱,关键部门那么应另当别论。 〔2〕防火墙本身是平安的。作为信息系统平安产品,防火墙本身也应该保证平安,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统部,网络系统也就没有任何平安性可言了。 通常,防火墙的平安性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的平安漏洞。 〔3〕管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的本钱时,不能只简单地计算购置本钱,还必须考虑其总拥有本钱。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的平安产品供给商必须为其用户提供良好的培训和售后效劳。 〔4〕可扩大性。在网络系统建立的初期,由于部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险本钱也会急剧上升,此时便需要增加具有更高平安性的防火墙产品。如果早期购置的防火墙没有可扩大性,或扩大本钱极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在平安水平要求不高的情况下,可以只选购根本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。 〔5〕防火墙的平安性。防火墙产品最难评估的方面是防火墙的平安性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的平安性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测平安产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较时又通过了权威认证机构认证测试的产品。 六、结论 随着电子商务的不断开展，平安是保证电子商务安康有序开展的关键因素，防火墙技术必将在网络平安方面着发挥更加重要的作用和价值。 七、参考文献 1、?电子商务? 翟才喜 敬杰主编 东北财经大学 2002.2 2、?中国电子商务年鉴?2003 卷 . . word.zl-