防火墙技术的应用

防火墙技术的应用（精选8篇）

防火墙技术的应用 篇1

防火墙技术的应用

作 者：郭 丽 指导老师：李争艳

摘 要：为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析，阐述了防火墙的几种技术及其应用模式。最后，详细介绍了防火墙的应用设计。

关键词：防火墙；防火墙技术；防火墙应用模式；防火墙应用设计 防火墙概述

防火墙是设置在不同网络（如可信任的企业内部网络与不可信任的外部公共网络）或者不同网络安全域之间的一系列部件（包括软件和硬件）的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口，能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流，从而对所受保护的网络提供信息安全服务。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，它有效地监控了所要保护的内部网和外部公共网络之间的任何活动，用于确定网络哪些内部服务允许外部访问，以及内部网络主机访问哪些外部服务等，从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同，从某种意义来说，防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一，它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间，执行网络安全策略，以有效地阻止来自外界的网络攻击，保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点：内部和外部的所有网络数据流必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙本身应该坚固安全可靠。

第1页(共14页)2 防火墙技术

防火墙技术分为包过滤，代理，NAT，状态监测等几种技术。2.1 包过滤技术

包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用，对具有安全意识的网络管理者来说，包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解，以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用，简要地比较了IP包过滤和其它的网络安全方法如应用级网关，描述了包过滤在每一个包中检查什么，及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题，说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感，并对这些问题提出解决方案。

这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时，对提供好的可能的服务给他们的用户感兴趣的人)，站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣，而不是设法管辖内部的人，并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务，而不是防止内部的人有意地或恶意地暗中破坏安全措施。

包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问，而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的，从而提高策略被正确和彻底的实现的可能性。或多或少的，包过滤是完成所有这些目的的一种机制，但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。

为了网络安全，包过滤的一般的可供选择的方法包括用网络访问保护

第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问，然后尝试去保护具有网络访问权的每一台机器一般是不切实际的，没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关，诸如被AT&T, DEC和其他几个机构使用的那些，通常也是不切实际的。因为它们为了到达外部主机，要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的，内部主机的用户简直是不幸的，而且不能到达过去的应用网关。

在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包，那么它将被送到它的目的地，好像路由不曾发生。如果路由器决定拒绝或丢弃一个包，那么该包仅仅被丢弃，好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明)，路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息)，或只是假装不曾收到该包。另外，本文中，入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包，有时用于从过滤器路由器(在内部网络边缘，内部网络和外部网络之间)的观点谈到包，或用于涉及包经过的路由器接口。一个包在它到外部网络的路上，对于过滤路由器来说，可能看来是入站的，但从内部网络作为一个整体来说，该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的，它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地，一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说，入站接口是在包出现的过滤路由器上的接口，而出站接口是包将经由它出去的接口，如果它不被应用过滤规则拒绝的话。2.2代理技术

具有因特网访问功能的主机代替其它主机完成与因特网的通信，这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务，尽管它看起来像是对所有的主机提供服务。

代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器

第3页(共14页)交谈，而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求，应决定哪个请求可以传送，那个可以不考虑。如果一个请求是许可的，代理服务器就会代表客户与真正的服务器交谈，继而将客户请求传达给真实服务器，并将真实服务器的应答返回给客户。代理服务对用户是透明的，用户与代理服务器交谈就像与真实服务器交谈一样；而对真实服务器米说，它是于一个运行于代理服务器主机上的用户交谈，而并不知道用户的真实所在。代理技术有如下特点：

（1）代理服务允许用户直接地访问因特网服务

使用双宿主主机方式，用户需要在访问任何因特网服务之前连入这个主机，通常这样做很不方便，会使一些用户变得很沮丧，以至于是他们在防火墙周围寻找通道。使用代理服务，用户会认为他们是在直接与因特网服务器进行交流。

当然，后台仍会有更多程序在运行，但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时，它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机，或者通过一个堡垒主机和屏蔽路由器系统。（2）代理服务可以优化日志服务

因为代理服务器可以优先选择协议，所以它们允许日志服务以一种特殊有效的方式运行。例如，一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答，来代替记录所有传送的数据，这样会产生一个小的多也有用的多的日志。

（3）代理服务滞后于非代理服务

尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务，但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后，通常要经过一个明显的延迟，它的代理服务器才会出现，滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时，难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务，那么在找到合适的代理软件之前，将不得不把它置于防火墙之外，这等于打开了潜在的安全缺口。

（4）不同的服务可能要求不同的服务器

第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议，以判断什么是允许的，什么是不允许的，并且它还得扮演两个角色，对真实服务器来说它是用户，对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。

根据所用的代理软件的不同，配置的难易程度也大不相同，在一个地方容易做的事情可能在其它地方非常困难。例如，容易配置的服务器通常实用性比较差，它们之所以可以比较容易地配置，是因为它们限制了各种使用条件，这些条件可能是正确的，也可能根本不适合你的站点。（5）代理服务对用户的限制比较多

代理服务器通常要求对用户和使用过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制，代理服务就不能像非代理服务运行得那样好，它们往往可能曲解协议，而且也缺少一定的灵活性。2.3 NAT技术

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

NAT的工作过程如图1所示：

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。

图1 NAT工作过程

在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。2.4状态监测技术

这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术，它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的，与之类似的有其他厂商联合发展的“深度包检测”（Deep Packet Inspection）技术。这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则做出安全决策。

“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上，进一步发展了“会话过滤”功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行，这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了一个会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8000，那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000，否则这个数据包就被拦截，而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，这个会话状态就会被丢弃。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。

由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施（市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已）。

3防火墙的应用模式

由于网络拓扑结构和安全需求等方面的差异，在使用防火墙构建网络安全防护系统时，其应用模式可能是千差万别的。总的来说，比较典型的防火墙应用模式有4种。

3.1屏蔽路由器（Screened Route）

这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常，防火墙功能由路由器提供（在路由器上增加一个防火墙模块），该路由器设置在内部网与internet之间，根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中，防火墙功能也可以用单独的防火墙设备或主机来实现，设置在内部网与路由器之间。参见图2：

内部网

屏蔽

路由器

INTERNET

图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快，冈络性能损失较小，易于实现，费用较低、它的缺点是安全性比较脆弱，尤其是分组过滤型防火墙，容易被人侵者攻破，进而入侵内部网。3.2双宿主机网关（Dual Homed Gateway）

这种应用模式采用单一的代理服务型防火墙来实现。通常，防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机（Bastion Host），而具有两个网络接口的堡垒。主机称为双宿主机（Dual Home）。这种应用模式由双宿主机充当内部网与internet之间的网关，并在其上运行代理服务器软件，受保护的内部网与Internet之间不能直接建立连接，必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3：

内部网

堡垒

主机

INTERNET

图3 双宿主机网关

这种应用模式的安全性略好一些。但仍然比较脆弱，因为堡垒主机是惟一的安全屏障，一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关（Screened Host Gateway）

这种应用模式采用双重防火墙来实现，一个是屏蔽路由器，构成内部网的第一道安全屏障；另一个是堡垒主机．构成内部网的第二道安全屏障。参见图4：

内部网

堡垒 主机 屏蔽 路由器

INTERNET

图4 屏蔽主机网关

屏蔽路由器基于下列规则过滤分组流：堡垒主机是内部网惟一的系统，允许外部用户与堡垒主机建立连接，并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障，并且是由两种不同的防火墙构成的，可以优势互补和相互协调。因此，具有较高的第8页(共14页)安全性，并且比较灵活。

3.4屏蔽子网网关（Screened Subnet Gateway）

这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网，在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器，堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统，但要受到屏蔽路由器过滤规则的限制。参见图5：

屏蔽子网

内部网

堡垒 主机

堡垒主机

屏蔽 路由器

INTERNET

图5 屏蔽子网网关

在这种应用模式中，内部服务器设有三道安全屏障：两个屏蔽路由器和堡垒主机，入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机，这显然是相当困难的。因此，具有更高的安全性，比较适合保护大型的网络，但成本也比较高。防火墙的应用设计

根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的，必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求，完整的网络安全体系应当包括防护、检测、响应和管理等各个环节，不是单靠某一种安全技本来解决的，也要形成一个动态的安全防护系统。其中，防火墙是整个网络安全体系的基础和关键环节，也是一种常用的安全防护技术，它作为第一道安全屏障最容易受到人侵者的攻击。因此，除了防火墙本身应具有较好的安全防护能力之外，防火墙的应用方案设计也是十分重要的。

第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析

根据网络应用性质，可以将网络应用环境分成3种：开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的，其安全解决方案也有所不同。

（1）开放的网络应用环境：在开放的网络应用环境中，网络服务和信息内容向internet上的所有用户完全开放，如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题，它所面临的安全风险是拒绝服务（Dos）篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范，包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息，使用“补丁”程序来阻塞系统安全漏洞，使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低，防火墙的作用是次要的，必要时可采用屏蔽路由器模式。

（2）专用的网络应用环境：在专用的网络应用环境中，网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的，他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题，主要是用防火墙等技术来防范；后者属于信息安全问题，主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。

在这种网络应用环境中，一般要在内部网与Internet之间设置防火墙，并通过安全规则来控制外部用户对内部网资源（如Web服务器和其他服务器）的访问。根据网络服务的安全要求，选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外，还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。

（3）内部的网络应用环境：在内部的网络应用环境中，内部网与Internet是物理隔离的，网络服务器没置在内部网，只允许内部用户通过内部网访问网络服务器，这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问，窃取和泄露机密信息等。其防范措施主要侧重

第10页(共14页)于解决内部用户对内部网的攻击问题，如采用VLAN、访问控制、安全审计和安全管理等防范措施。

由于不同的网络应用环境所面临的安全风险是各不相同的，不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点，减少盲目性。4.2网络安全系统设计

在上述的4种防火墙应用模式中，每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中，应当根据网络应用系统的安全需求来构造网络安全体系。

在安全要求不高的情况下，一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下，有利于降低系统费用，简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下，可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。

例如：在基于屏蔽子网网关应用模式构建的网络安全系统中，必须将内部网划分为3个子网：内部子网、屏蔽子网与外部网（如Internet）。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器，一个位于内都子网和屏蔽子网之间的内部屏蔽路由器；另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网，而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上，而不能到达外部网。这样内部网和外部网之间不能直接通信，双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区，所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。

第11页(共14页)

图6 网络安全系统结构

内部屏蔽路由器还应当提供网络地址翻译器（NAT）功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的，可见的只是代理服务器的公用IP地址。这样，在屏蔽内部子网结构的同时，还解决了公用IP地址短缺问题。

对于各种对外开放的网络服务器，如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet，在屏蔽子网上设置一个堡垒主机，提供代理服务器功能。这样，既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等，又防止了外部用户攻击内部网，篡改数据或破坏系统。在这种网络安全体系结构中，入侵者想要攻击内部网，必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。

合理地配置防火墙可以防御多种网络攻击，例如：

（1）在防火墙中配置多块网卡，不同的网卡对应于不同的网段，通过将网卡与对应网段绑定，可以防御IP地址欺骗的攻击。

（2）在防火墙中阻塞ICMP报文，只允许某些类型（如回应请求类型）的ICMP报文通过，可以防御“Ping Of death”之类的攻击。

（3）在防火墙中阻塞ActiveX和Java Applets程序，可以防御恶意程序对内部主机进行攻击。

（4）在防火墙中使用NAT功能，所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址，不仅可以使内部主机共享有限的 Internet IP地址，而且能够隐藏内部网络信息。

（5）在防火墙中使用认证功能，可以对主机地址、网卡地址和主机名进行认证，还可以对用户身份进行认证，例如采用口令认证、RADIUS认证以及硬件参与认证等，可以防御地址欺骗、身份假冒等攻击。

另外，对于处于不同地理位置上的内部网通过Internet交换信息时，可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下，应当在屏蔽子网设置一个VPN网关，两个内部网之间通过VPN网关建立一个安全的传输隧道，实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙，而在建立VPN隧道时，双方的身份是经过认证的，都是可信的用户。

第12页(共14页)4.3安全策略设计

在图6所示的网络安全系统结构中，设有3个防火墙：外部分组过滤器（由外部屏蔽路由器提供）、内部分组过滤器（由内部屏蔽路由器提供）和代理服务器（由堡垒主机提供）。根据网络应用的安全需求，必须分别为它们设计安全策略和规则。

（1）外部分组过滤器：外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器（如 Web服务器、FTP服务器等），允许外部用户连接安全代理服务器。每次连接都要产生日志记录，供以后安全审计使用。

（2）内部分组过滤器：内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能，使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络（如Internet）。

（3）代理服务器：代理服务器的缺省规则为禁止听有连接．它允许内部用户访向外部网络的web站点，并提供代理功能，对所代理的连接进行安全检查，禁止内部用户访问非法站点，并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量，发送者、接收者，甚至内容进行检查，并产生日志记录。它在代理 Telnet和 FTP内部服务器时，要求验证用户的身份，允许合法用户以规定的权限上载和下载服务器中的文件，并产生日志记录。

为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作，一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后，便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时，应当及时修改防火墙的安全策略，避免可能产生的安全漏洞。在防火墙工作过程中，可以通过管理软件监视防火墙的日志信息，定期进行安全审计，及时发现系统可能存在的安全漏洞，入侵者的攻击行为以及其他违反安全规则的行为，为网络安全管理提供决策依据。结束语

第13页(共14页)本论文主要研究防火墙技术的应用，从防火墙的简单概述展开，描述了防火墙的四种技术，防火墙的应用模式。最后，阐述了防火墙的应用设计。旨在展望网络安全，即防火墙技术的未来状况。

参 考 文 献

[1] 蔡皖东.网络与信息安全[M].西安：西北工业大学出版社，2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报：计算机科学技术版，2003，38（4）：21-33.[3] 蒋建春，冯登国.网络入侵检测技术原理与技术[M].北京：国防工业出版社，2005.[4] 陆楠.现代网络技术[M].西安：西安电子科技大学出版社，2003.[5] 刘克龙，蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报：计算机科学技术版，2005，46（6）：11-14.[6] 张凡，李丹灵.网络信息安全的真相[J].深圳大学学报：计算机科学技术版，2006，24（5）：12-19.[7] 陈功富.现代计算机网络技术[M].北京：电子工业出版社，2005.[8] 邓吉，柳靖.黑客防攻实战详解[M].北京：电子工业出版社，2006.[9] 郭鑫.防黑档案[M].北京：电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社，2004.[11]邓亚平.计算机网络安全[M].北京：人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14页(共14页)

防火墙技术的应用 篇2

迈入新世纪,计算机技术迅速普及,人类的生活与互联网联系日益紧密,互联网、计算机已成为生活工作的一部分。人类对网络的依赖度明显增加,与此同时计算机网络面临越来越多的安全威胁,计算机病毒、木马、黑客攻击、信息入侵等都威胁信息安全,近年来网络安全事件频发,其中部分事件造成了较大的社会影响,如棱镜门、好莱坞××门等,给谷歌、苹果等网络巨头企业带来的十分深远的负面影响[1]。保障网络安全已成为网络领域重点研究课题。防火墙技术是最基本的防护措施,是一种虚拟的网络隔离技术,可将内部网络、外部网络进行虚拟隔离,以抵御来自外界的侵入。本次研究试简要概述网络安全与防火墙技术的应用研究进展。

1 网络安全与防火墙概述

1.1 网络安全

网络安全是指用户在使用网络过程中,能够对硬软件系统进行保护,防止信息泄露、硬件破坏、网络故障等一系列问题,保障系统正常运行。网络安全教育保密性、数据完整性、信息可控性、可用性、信息可审查性等特征,对于网络管理使用与管理者而言,保障信息能够被正常访问、存储、读写、控制、传输,拒绝非法用户操作,保证信息安全。

1.2 防火墙

防火墙是由软件与硬件设备共同组成的防护系统,主要由服务访问规则、验证规则、验证工具、包过滤和应用网关四个部分构成,其主要作用在于在对象网络与外部网络之间建立一个网关,以保障内部网络安全。防护墙是网络中的虚拟关卡,可控制内外网之间的数据传输,具有安全屏障、强化安全策略、审计监控网络、防止内部信息泄露、监测报警网络攻击五大基本功能。防火墙主要可分为包过滤路由器防火墙与代理服务网关防火墙两种类型。自上世纪80 年代,第一代防火墙便被推出,至今已推出了五代,第四代防火墙即基于动态包过滤技术防火墙,后发展成为动态监视及术后防火墙,第五代防火强势具有安全操作系统的防火墙。

2 国内外网络防火墙发展技术与面临的主要挑战

2.1 国内外网络防火墙技术

国内外已成功开发了多种防火墙系统,是集密码、安全、软件、安全协议等多种技术一体的防护系统。当前,网络安全环境复杂,但具有影响力的防火墙系统产品仍较少,国内拥有知识产权的防火墙系统影响力仍较小。目前,国内比较优秀的防火墙系统包括铱讯Web应用防护系统、深空Web应用防火墙系统、江民防火墙、风云防火墙,不同防火墙各有优劣,功能也不尽相同。

2.2 面临挑战

当前,网络安全形势严峻,网络攻击往往是主动的,而网络防火墙防御是被动的,防火墙的发展已远远跟不上攻击发展速度,许多潜在的黑客、骇客都严重威胁网络安全。目前主要网络威胁包括:①对Web2.0 攻击,在Web2.0 时代,越来越丰富的应用给攻击提供了多种途径[2];②针对性攻击,黑客的攻击越来越具有针对性,贼难防白日的俗语同样适用于网络环境,黑客针对性的攻击往往针对薄弱点,而防火墙设计是一个费时费力的过程,被动的防御往往无法抵挡针对性的攻击;③金融行业木马数量质量不断增加,黑客的攻击往往有明显的经济犯罪目的,金融行业是黑客的重点攻击领域,也是获得经济收入的最方便的途径,但与此同时往往也易造成更大的经济损失,可以设想若一个银行总机数据流失,很可能造成巨大的社会影响;④僵尸网络越来越庞大,黑客往往拥有庞大的的僵尸网络,无疑为网络安全部门追踪黑客攻击行为平添了许多困难[3]。

3 防火墙的发展趋势

当前,为应对越来越严峻的网络安全形势,许多企业机构都加大相关投入,极大的推动了防火墙技术发展,目前国内外广泛采用第五代防火墙技术,在未来新一代的网络防火墙发展趋势应包括:①智能化,智能化是未来一切科技行业的发展主流趋势,网络安全、信息都是动态的,网络面临的攻击也是不可预测的,智能技术是应对这些问题的可行措施,智能技术可赋予网络防火墙智能化信息识别、攻击识别甚至漏洞自我修复能力;②分布式技术,网络的开放性越来越深入,时间各地的网络联系越来越紧密,分布式系统是实现对不同区域内计算机进行分区安全管理的必经之路,可提高防护效率,降低运行成本;③模块化,网络技术模块化越来越明显,网络威胁、用户需求具有许多共性的特征,网络扩展、升级维护模块化推动了防火墙技术模块化[4];④系统化,当前互联网系统性整合趋势明显,尽管同样呈区域分化,区域网络同样存在共同特征,面临同一类网络攻击,这边要求能够有一种可满足整个网络系统安全管理需求的防火墙;⑤深入应用,网络安全应用层越来越完善,并向深入发展,安全防护也需向深入发展,如个人的网络应用呈现多元化发展趋势,娱乐、金融、办公等应用对网络安全的需求与安全风险不尽相同,这些都要求防火墙能够适用于某个应用的安全管理[5]。

4 基于网络安全的防火墙应用

4.1 网络基本功能实现

安全域配置、接口配置、路由配置、DNA配置等都属于网络安全基本设置,防火墙能够保证以上网络基本功能的实现,保障安全。以安全域配置为论,当前网络域已呈多样化发展,包括信任域、不信任域、DMZ域、用户自己设置的域等,网络防火墙能够通过这些域对其他域进行控制与检测,审查流量。以VLAN配置为例,当防火墙接收信号显示为tag包时,便会自动寻找匹配的vlan接口,防火墙能够确保识别接收信号的准确性。

4.2 反入侵

反入侵技术是当前最受欢迎的防火墙技术,可进行入侵拦截,并对肆意侵入的信息进行追踪查找反应解决。主机IDS、网络IDS、网络节点IDS是当前反侵入技术三种IDS技术。其中主机IDS被安装在每一台需保护的机器上,可对主机内部进行筛查监管,网络IDS可审查网络中走过的各类数据包,节点IDS可监察机密节段网络数据。

4.3 人工黑名单

人工黑名单是通过人为的在防火墙设置拦截目标,针对不同骚扰进行有效拦截的一种方法。基本操作如下:#blackhole add210.40.20.35/32 add-for-test(阻止IP地址为210.40.20.35 的主机)

#blackhole list(显示所有被阻止IP)

[1]192.168.20.151/32(blackhole 1)

[2]192.168.20.152/32(bh2)

#freeze add 210.40.0.1 25 10.0.0.2 53 tcp 3600(添加一条IDS阻止配置界面如下)。通过以上操作可实现对某一个IP的主机访问进行拦截。

4.4 流量监管

防火墙可实现对目标网络与其他网络之间的流量监控甚至控制,但在面对大型网络时便没有这项功能,以阻止高流量攻击[6]。

4.5 日志设置

防火墙一般支持日志支持功能,可通过某些行为动作进行监控,从而选择出具有威胁的行为,进行针对性的监管。

4.6 防止信息外泄

防火墙还可设计防止信息外泄功能,系统管理员可对内部网络进行针对性的隔离,重新划分网络,限制局部重点或敏感网络安全问题。

5 小结

防火墙是网络安全的第一道防线,一个网络管理者在选择或设计防火墙时,需了解自身的需求,设置基本的防火墙功能,遵循“除非明确允许,否则就禁止”的原则,从机构的安全策略着手,增加或改变防火墙设置策略,利用先进认证方法、过滤技术、服务代理等技术,实现对网络的全面管理。

参考文献

[1]袁爱军.国内企业网络信息安全风险分析[J].中国石油和化工标准与质量,2011.

[2]陈霜霜.计算机网络安全的研究与探讨[J].科技信息,2011.

[3]彭沙沙,张红梅,卞东亮.计算机网络安全分析研究[J].现代电子技术,2012.

[4]于颖.探讨防火墙技术发展趋势[J].信息系统工程,2014.

[5]陈幼雷,王张宜,张焕国.个人防火墙技术的研究与探讨[J].计算机工程与应用,2002.

浅谈办公网络中防火墙技术的应用 篇3

关键词：办公网络；防火墙技术；网络安全

中图分类号：TP393.082

办公自动化网络以其便利性和开放性普遍的应用于人们的日常办公中，但是正是由于开放性导致了其遭遇黑客入侵、病毒感染的风险。一旦处理不好，可能导致企业机密泄露、数据丢失等风险。而防火墙技术却能为办公网络提供一个良好的屏障，本文重点从数据过滤、服务器代理设计、防火墙系统拓扑结构设计等角度探讨和分析防火墙技术。

1 关于防火墙技术

1.1 基本概念

防火墙主要是防范网络外部的危险传到受保护的内部网络。防火墙逻辑上既为分离器和分析器，又可作限制器；但立足于物理视角，一般防火墙主要由路由器及主机等一些硬件类设备及各种不同的软件组合构成的，防火墙不同、其实现的方式也可以不同；就其实质而言，通常防火墙就是用来对网络的数据、资源及其用户的信誉进行保护的一种保护性的设施；就其技术层面而言，通常防火墙就是控制对网络进行访问的控制技术，也是一个保护的门槛，能够管控输入和输出两方面的信息传输，切实防范内部某个网络和不安全的外部网络进行沟通和交流。

1.2 基本原理分析

通常防火墙按先前明确的原则和规范对防火墙经过的数据流进行控制和监测。那些有授权的才能够让数据许可经过，同时要随时对服务器中的相应数据的源起、通信的总量以及任何希望进入网络的人员的目的与动机进行记录，以便于管理员完成好跟踪与检测等相关工作。除此以外，通常防火墙还应当具有阻止渗透的特定性功能。

1.3 功能简介

通常防火墙需要具有的主要功能有如下四类，一是阻止网络的非正常用户入侵入到网络内部；二是可以方便快捷地网络具有的安全性进行监测，同时随时地发出警报；三是能够具有对地质网络的变换进行调整的功能，能够把数量限定的IP类地址和内部网络IP类地址进行静动态联系，用来缓解网络地址的有限性矛盾；四是防火墙能够隔开内部的网络，和某一网段独立地连接起来，利用此网段对FTP与WWW两种服务器进行部署，将其当作向外部公布信息资源的地方。这就是通常在技术视角下会提到停火区，即DMZ区。

1.4 关于防火墙类型

通常防火墙主要可以分成过滤数据包类、服务代理类及复合类等三种类型。通常过滤数据包类防火墙工作于网络层与传输层，所以还被称作筛选型路由器或者网络类防火墙，主要是针对网络中单个的传输数据包实施相应的控制，依照接收数据包IP类的目的地址和源地址情况、UDP/TCP的目标与源起端口号情况、网络ICMP类消息情况以及数据包当中的协议的种类与标志等各类参数，将其与事先用户设置的控制管理访问内容做对比，来对数据内容是不是符合事前设定安全要求和标准做出判断，在此基础上进行过滤操作，研究相关数据包是进行转发还是进行丢弃。而服务代理类的防火墙还被称作应用类的防火墙，就是在主机上通过运行服务代理类程序，围绕特定性应用程序或用户直接提供相应的服务功能。服务代理类防火墙最为核心的是其主机上设置防火墙的代理类服务器部分，主要是帮助用户实现TCP、IP协议相应的功能。代理类服务器从实质上说是将两个不同网络相连接，用来达到网络特定性的应用目标的网关。对于复合类防火墙因为在网络的安全方面的要求较高，一般情况下需要将服务代理和过滤数据包的服务体系的功能与特点相结合，在此基础上建立复合类防火墙体系，其主机通常被称作是堡垒型主机。各种不同类别的防火墙均具有各自不同技术优点和不足，目前防火墙方面的单一产品完全无法适应网络应用要求的更高的安全水平，因此把现有各类防火墙应用技术相互结合，以便建立多层级、混合型防火墙体系，能够增强网络防火墙在灵活性与安全性方面的性能。

2 内部办公网防火墙体系设计

2.1 内部办公网防火墙体系的设计总体思路

2.1.1 建立内网的安全性对策

首先，在内部网络的安全要求上最重要是对任何没能经过允许的各类服务进行禁止。其次，在内部网的另一条安全原则是让未明令禁止的各项服务运行，于是防火墙在发送此类信息的过程当中逐项对未经许可的服务进行滤除。

2.1.2 明确过滤数据的原则要求

一方面，要处理IP类数据包的头部信息；另一方面，设计出过滤数据包的原则和要求，一般情况下，应当确定并实施过滤数据包原则的基本内容，进而作出具体性的要求设定。

2.1.3 加强对服务代理进行设计

代理类服务器当接收到网络外部节点提交的请求服务的时候，若接受到这一请求，则代理类服务器马上和实际的服务器建立相应的连接关系。服务代理的相关工作发生在应用的层面，所以能够利用网络安全密码、验证身份、跟踪审计、登录日志等各類网络技术，确保内部网安全运行，以便解决好过滤数据时求救应对的矛盾问题。

2.1.4 对防火墙体系统拓扑类结构进行设计

第一，设计网络防火墙体系的拓扑类结构必须确定出需要保护的这一办公网在安全运行上的级别要求。第二，最后在明确网络防火墙体系的拓扑类结构进，必须综合考虑该体系在安全措施上的实施、升级、维护、改造、重点资源信息保护及体系安全的管理成本等有关方面的因素。

2.1.5 对模块的功能进行定义并分散施行

网络防火墙通常是各类功能组合模块构成的，各种功能性模块主要包括代理类、过滤数据包、网络域名类、网络认证类等服务器及通信情况的监控器，这些模块是通过路由器与主机独立地实现功能的，而对模块功能分散进行处理，能够降低其实施过程的难度系数，但却增强了体系的可靠程度。

2.1.6 关于对维护和管理防火墙的工作方案

维护防火墙应当随时审计网络访问情况的记录，从中查找和发现网络中非法性的访问与入侵的有关情况。以此为基础全面评估防火墙在安全管理方面的相关情况，如果需要还应当做出必要的改进和完善。而管理防护墙是要按照网络安全对策措施及网络中拓扑类结构出现变动的情况，及时升级和修改防火墙的硬件与软件等方面的相关内容级。

2.2 网络数据包类防火墙的典型的设计方法

过滤数据包类防火墙的相关工作处在DOD类网络的层面，其核心的技术为逐个对通过网络防火墙的各类数据包均实施审查操作，同时分析数据包当中所含有的IP类的目的地址和源地址情况UDP/TCP的目标与源起端口号情况、网络ICMP类消息情况以及封装数据包的协议种类等，当判断同体系事前确定的网络安全对策是不是相符合以后，从而决定是不是让这些数据包通过、进入网络。

设计过滤数据包原则要求主要包含两方面的内容：一是有关服务的各种安检原则要求；二是对不同服务的安检原则要求。

3 结束语

网络防火墙技术虽然有着比较多的优势，然而也存在一些不足之处，特别是在网络安全上还会留下部分隐患。同时，设定防火墙也无法实现毕其功于一役，设定安全管理人员完成防火墙设定之后造成不能放松管理，应该时时具有居安思危的意识，努力把其他的一些安全防御技术与防火墙配合使用，以增强网络信息的安全性，使网络用户能更加放心地享用网络资源。

参考文献：

[1]王颖.论目前计算机网络安全所面临的威胁及防范措施[J].消费电子.

[2]史长琼，吴丹，肖瑞强.能抵抗拒绝服务攻击且高效的RFID安全认证协议[J].计算机工程与应用.

防火墙技术在电子商务中的应用 篇4

目 录

目录............................................................................(1)内容摘要.........................................................................(2)关键词..........................................................................(2)正文............................................................................(2)

一、电子商务的概念及交易问题.....................................................(2)

（一）、什么是电子商务............................................................(2)(二)、电子商务的交易过程.................................................(2)

二、电子商务中的信息安全问题、特性及威胁...............................(3)(一)、电子交易的安全概念、安全特性.........................................(3)

（二）、电子商务中的信息安全问题及威胁.....................................(4)

三、防火墙的技术与体系结构.............................................(6)

四、防火墙的简介与使用的益处.........................................(6)

五、防火墙常用技术和性能......................................................（11）

六、结论........................................................................(14)参考文献........................................................................(14)

浅谈防火墙技术在电子商务中的应用

内容摘要：防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障，受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术，讨论了建立网上安全信任机制的基础。

关键词：防火墙

电子商务

应用 正文:

一、电子商务的概念及交易问题(一)什么是电子商务

电子商务源于英文Electronic Commerce，简写为EC。是指一个机构利用信息和技术手段，改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系，从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务；本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下，电子商务的含义已不仅仅是单纯的电子购物，电子商务以数据（包括文本、声音和图像）的电子处理和传输为基础，包含了许多不同的活动（如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务）。它涉及产品（消费品和工业品）和服务（信息服务、财务与法律服务）；它包含了使用Internet和Web技术进行的所有的商务活动。

(二)、电子商务的交易过程

企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。

(1)交易前的准备

买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品，准备购货款，制订购货计划，进行货源的市场调查和分析，反复进行市场查询，通过交换信息来比较价格和条件，了解各个卖方国家的贸易政策，反复修改购货计划和进货计划，确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划，再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品，进行全面的市场调查和分析，了解各个买方国家的贸易政策，制订各种销售策略和销售方式，制作广告进行宣传，召开商品新闻发布会，利用Internet和各种电子商务网络发布商品广告等手段扩大影响，寻找贸易伙伴和交易机会，扩大贸易范围和商品所占市场的份额。

参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等，买卖双方都少不了要为电子商务交易做好准备。

(2)交易谈判和签订贸易合同

买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判，将双方磋商的结果做成文件，即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法，经过认真谈判和磋商后，将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定，合同双方可以利用电子数据交换(EDI)进行签约，也可以通过数字签名等方式签约。

(3)办理交易进行前的手续

买卖双方从签订合同到开始履行合同要办理各种手续，这也是双方在交易前的准备过程。交易中要涉及到有关各方，即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换，直到办理完一切手续、商品开始发货为止。

(4)交易合同的履行和索赔

这一阶段是从买卖双方办完所有各种手续之后开始，卖方要备货、组货，进行报关、保险、取证、信用卡等手续，然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物，金融机构和银行也按照合同，处理双方收付款、并进行结算，出具相应的银行单据等，当买方收到所购的商品，整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时，需要进行违约处理的工作，受损方按贸易合同有关条款向违约方进行索赔。

二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性

电子商务安全是一个系统概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面：(1)有效性，因为交易对于交易双方都是一件十分严肃的事情，双方都对交易的信息认可。(2)保密性，即要求交易的信息只有交易双方知道，第三方不能通过网络获得。(3)完整性，包括过程的完整和数据资料的完整。(4)交易者身份的确定性，这是信用的前提。(5)交易的不可否认性，要求在交易信息的传输过程中为参与交易的个人，企业和国家提供可靠的标识。数据的安全主要包括数据的完整，不受损坏，不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换，保证交易不得中断。

虽然各种有效的手段可以保证电子商务的基本安全，但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题，那么如何加强电子商务的安全呢？

防火墙可以保证对主机和应用安全访问，保证多种客户机和服务器的安全性，保护关键部门不受到来自内部和外部的攻击，为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。

与传统商务相比，电子商务具有许多特点：

其一，电子商务是一种快速、便捷、高效的交易方式。在电子商务中，信息的传递通过网络完成，速度很快，可以节省宝贵的交易时间。

其二，电子商务是在公开环境下进行的交易，其可以在全球范围内进行交易。由于借助互联网，这就使得经济交易突破了空间的限制；公开环境下的信息公开，使所有的企业可以平等地参与市场竞争。

其三，在电子商务中，电子数据的传递、编制、发送、接收都由精密的电脑程序完成，更加精确、可靠。

（二）、电子商务中的信息安全问题及威胁

1、电子商务的安全问题。总的来说分为二部分：一是网络安全，二是商务安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安 全，工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕 传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。

在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：

(1)窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

(2).恶意代码。它们将继续对所有的网络系统构成威胁，并且，其数量将随着Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大。

(3)篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

(4)假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

(5)恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段，可以将威胁归纳为四种基本类型：无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲，对外部威胁，安全性强调防御；对内部威胁，安全性强调威慑。

(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序，它采用了独特的设计，可以在受到某个事件触发时，复制自身，并感染计算机。如果在病毒可以通过某个外界来源进入网络时，网络才会感染病毒。

(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果，从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。

(3)攻击。目前已经出现了各种类型的网络攻击，它们通常被分为三类：探测式攻击，访问攻击和拒绝服务（DOS）攻击。a.探测式攻击实际上是信息采集活动，黑客们通过这种攻击搜集网络数据，用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议（FTP）功能等网络领域的漏洞，以访问电子邮件账号、数据库和其他保密信息。c.DOS 攻击可以防止用户对于部分或者全部计算机系统的访问。

(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息，甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。

(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的，但是它可能会浪费接收者的时间和存储空间，带来很多麻烦。

因此，随着电子商务日益发展和普及，安全问题显得异常突出，解决安全问题已成为我国电子商务发展的当务之急。

三、防火墙的技术与体系结构

（一）、什么是防火墙

防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰，防止内部受到外部的非法攻击。本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信，只允许授权的通讯。

（二）、使用防火墙的益处

(1)保护脆弱的服务

通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。

(2)集中的安全管理

防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

(3)控制对系统的访问

防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Mail Server和Web Server。

(4)策略执行

防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。

(5)增强的保密性

使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。防火墙可以提供统计数据，来判断可能的攻击和探测。并且，防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据。

四、防火墙的简介与使用的益处

（一）、防火墙的简介

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。

防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。

防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。

从理论上说，有两种类型的防火墙：应用层防火墙和网络层防火墙

它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。

（1）应用层防火墙

应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

（2）网络层防火墙

这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件类型，软件在电脑上运行并监控，其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实在。

（二）、防火墙的体系结构

防火墙对于企业网络的防御系统来说，是一个不可缺少的基础设施。在选择防火墙防火墙时，我们首先考虑的就是需要一个什么结构的产品，防火墙发展到今天，很多产品已经越来越象是一个网络安全的工具箱，工具的多少固然很重要，但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。

防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术，从实现上分，又可以分为简单包过滤和状态检测的包过滤两种。

简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，比如当你在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，在99年以前国外的防火墙市场上就已经不存在了，但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术，从这点上可以说，国内产品的平均技术水准至少比国外落后2到3年。

状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。

顺便提一下免费软件中的包过滤技术，比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析，虽然它们提供了对TCP状态位的检查，但是由于没有跟踪TCP的状态，所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table，从其名称就可以看出，它在进行过滤时建立了一个用来记录状态信息的Table，已经具备了状态检测技术的基本特征。

包过滤结构的最大的优点是部署容易，对应用透明。一个产品如果保护功能十分强大，但是不能加到你的网络中去，那么这个产品所提供的保护就毫无意义，而包过滤产品则很容易安装到用户所需要控制的网络节点上，对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙，由于采用了网桥技术，几乎可以部署在任何的以太网线路上，而完全不需要改动原来的拓扑结构。

包过滤的另一个优点是性能，状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。

但是对于防火墙产品来说，毕竟安全是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护，而大量的网络攻击是利用应用系统的漏洞实现的。

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能直接与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。

对于使用代理防火墙的用户来说，在得到安全性的同时，用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性，这个缺陷几乎可以说是天生的，因为它只有位于应用会话的中间环节，才会对会话进行控制，而几乎所有的应用协议在设计时都不

认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合，需要为每一个支持的应用协议实现专门的功能，所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议，要么放弃防火墙，要么放弃应用。特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理结构的防火墙，而这种情况在企业内部网进行安全区域分割是尤其明显。

代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上，其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说，这是很难接受的性能。

代理防火墙的技术发展远没有包过滤技术活跃，比较一下几年以前的TIS和现在的代理类型的商用产品，在核心技术上几乎没有什么变化，变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性，很多代理防火墙同时也提供了状态检测包过滤的能力，当用户遇到防火墙不能支持的应用协议时，就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起，所以混合型的产品通常更难于配置，也很难真正的结合两者的长处。

状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构，其基本的原理是在防火墙外部仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据是以“流”的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能。

“流过滤”的另一个优势在于性能，完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，“流过滤”结构几乎是唯一的选择。

防火墙技术发展这么多年，已经成为了网络安全中最为成熟的技术，是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过，事实上，任何一个

安全产品或技术都不能提供永远的安全，因为网络在变化，应用在变化，入侵的手段在变化。对于防火墙来说，技术的不断进步才是真实的保障。

五、防火墙常用技术和性能

（一）、防火墙的四种基本类型

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。

（1）、包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

（2）、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。

网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

（3）、代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

（4）、监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

（二）、防火墙的选择

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:（1）总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

（2）防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

（3）管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

（4）可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

（5）防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。

六、结论

随着电子商务的不断发展，安全是保证电子商务健康有序发展的关键因素，防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。

七、参考文献

1、《电子商务》 翟才喜 杨敬杰主编 东北财经大学出版社 2002.2

防火墙技术的应用 篇5

我不怕 outpost防火墙应用攻略防火墙技术

。经常上网的朋友大都有过被 、病毒攻击的经历，于是自己的一些诸如邮箱账号、qq密码、论坛账号等重要数据就存在被窃取的危险。而在更多的情况下，则往往会发生系统不断重启、黑屏甚至系统瘫痪等现象。

为了防止这些恶意攻击，一款好用的防火墙自然必不可少，比如大家所熟知的“天网防火墙”、“瑞星个人防火墙”、“诺顿防火墙”等。不过今天我要给大家介绍一款小巧易用而功能又很强大的工具，它便是“outpost firewall”。它除了能够预防来自cookies、广告、电子邮件病毒、后门木马、间谍软件、广告软件和其他 internet潜在的危险外，还可以利用插件去让功能得到进一步拓展，使该款产品更加超值。

一、outpost firewall的基本应用方法

将该防火墙安装后，软件会要求进行“自动配置个人防火墙规则”，一般选择“自动配置防火墙规则”即可;而在下一步的“网络配置”中，一般可以选择“使用自动配置规则”，当完成这些后，必须重新启动操作系统。

步骤1重启系统后，它就开始发挥作用了，在启动过程中若某个程序需要连接网络，那么便会弹出有关为该程序创建规则的对话框。在该对话框中，我们可以从对话框的标题名称或者页面上的程序名称，了解到该程序到底为何种程序。

防火墙规则设置

步骤2如果该程序值得信任，用户也对它非常了解，那么只要点选“允许这个应用程序的所有动作”选项，就可以让该程序顺利通过防火墙的验证;若是用户得知该程序具有一定的危害性，那么不妨点选“挡截这个应用程序的所有动作”选项，这种该程序就不会再与网络发生连接关系。

步骤3若是用户对该程序不甚了解，那么不妨单击“本次允许”或“本次挡截”按钮，去临时允许或拦截该程序的联网动作。当了解了该程序的具体属性及作用后，便可为其设置永久性的动作。当设置完成后，单击“确定”按钮即可。

二、更改防火墙运行模式

之所以会弹出上述创建规则对话框，这是因为“outpost firewall”默认的运行模式是“规则向导模式”。如果你对频频弹出的创建规则对话框感到厌烦，那么不妨双击系统中的防火墙图标打开其主界面，依次打开主菜单“选项→运行模式”选项命令，在弹出的对话框中便可更改防火墙的运行模式。

更改运行模式

其中单击“禁用模式”选项，便可让防火墙失去作用，当前系统便不会受到防火墙的任何防护;单击“允许大部分通讯模式”选项，那些没有被禁止的通讯都可允许出入本机系统;单击“禁止大部分通讯模式”选项，则可让所有没有被允许的通讯禁止出入本机系统;而单击“停止通讯模式”，就可以使本机与网络的连接完全断开。

三、为程序“量身定做”通讯方式

在选择防火墙的运行模式时，我们发现“允许的通讯”和“禁止的通讯”这些表述，那么到底在哪里才能设定这些“允许的通讯”和“禁止的通讯”呢?为了便于说明，我们以禁止和允许qq应用程序进行通讯为例。

1、禁止qq通讯

步骤1在开启的主界面中，依次打开“选项→应用程序”选项命令，在出现的对话框中选中“禁止的应用程序”选项。

防火墙技术的应用 篇6

从林火预防、扑救、调查及绘图等方面分析了GPS技术在森林防火中的应用现状及意义,并展望了GPS在森林防火中的.应用前景.

作 者：魏国良 游玮 WEI Guo-liang YOU Wei 作者单位：魏国良,WEI Guo-liang(青海大学,农牧学院,青海,西宁,810003)

游玮,YOU Wei(山阳县林业局,陕西,山阳,726400)

高校校园网防火墙技术的应用研究 篇7

1 网络安全

1.1 安全隐患

目前的高校的校园网大都是利用Internet技术构建并与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇各类攻击的风险。

(1)校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇互联网攻击的风险;(2)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁,比如常用的操作系统,无论Windows还是Unix等几乎都存在或多或少的安全漏洞,正是由于漏洞的存在,才让黑客有了可乘之机;(3)来自校园网络内部的安全隐患也不容忽视,且大多数校园网用户的安全意识淡薄,具体表现在:密码设置过于简单;不经常用杀毒软件扫描和删除病毒;不对杀毒软件和防火墙软件进行及时更新;使用移动存储介质时不事先用杀毒软件进行扫描;(4)随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;(5)大多数网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,入侵就很难避免。

上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。对此,一套安全的防护策略颇为重要。

1.2 解决方法

1.2.1 防火墙技术

防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它位于两个网络之间执行控制策略的系统,用来限制外部非法用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。利用防火墙可以将校园网络和Internet分开,在防火墙中设置网络通信时的访问控制尺度,只有防火墙允许访问的用户和数据能进入校园网络内部,同时将不允许的用户与数据拒之门外,最大限度地阻止黑客访问校园网络,防止他们随意更改、移动甚至删除网络的重要信息。同时配置智能信息过滤系统,既过滤掉外部不良信息的访问,又杜绝内部不良信息的泛滥。

1.2.2 入侵检测技术

入侵检测是防火墙的合理补充。防火墙属于静态的安全防御技术,对于网络日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动地对付网络攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等等,提高了校园网信息安全基础结构的完整性。

1.2.3 合理地划分VLAN、绑定IP地址和MAC地址

根据学校行政办公、教育教学、图书馆、实验室、附属医院的职能将校园网划分成不同的VLAN,把各部门或实验室有效地隔离开。由于一个VLAN内部的广播和单播流量不会转发到其他VLAN中,所以有助于控制网络流量,提高网络的安全性。同时,对学校内使用静态IP地址上网的机器进行IP地址和MAC地址的绑定,这可以解决校园网内IP地址盗用的问题。

1.2.4 建立多层次的病毒防护体系

建立多层次的病毒防护体系这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:(1)定时对网络进行杀毒;(2)对每台计算机都开启病毒监控;(3)经常对服务器和客户机的杀毒软件进行升级。

2 防火墙

防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。防火墙技术作为内部网络与外部网络之间的第一道安全屏障,能阻挡来自外部网络的入侵,对校园网的安全具有特殊的意义。根据防火墙的功能及采用的机制的不同。可将防火墙分为以下几种类型:包过滤防火墙、代理服务器防火墙、状态检测防火墙。

2.1 包过滤防火墙

在遵守TCP/IP协议的网络中,数据是分解为不同的IP包进行传输的。包过滤防火墙截获每个通过它的IP包,并进行安全检查。如果通过检查,就把该包正常转发出去,否则就阻止该包通过。包过滤的优点是:—个过滤路由器能协助保护整个网络,数据包过滤对用户透明:过滤路由器速度快、效率高、价格低;缺点在于只能根据数据包的来源、目标和端口等网络信息进行判断,不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略,不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。

2.2 代理服务器防火墙

代理服务器防火墙是工作在OSI的最高层,即应用层,掌握着应用系统中可用作安全决策的全部信息。代理服务器防火墙是校园内部网与外部网的隔离点,通过对每种应用服务编制专门的代理程序,起着监视和隔绝应用层通信流的作用。校园网络内部所有的主机向外的访问请求,都被代理服务器截获,在请求主机的身份得到确认后,代理服务器将代表内部主机将访问请求转发给外部的服务器,同时,也将外部的服务器的应答转交给内部的主机。代理服务器防火墙的优点是安全性较高,对付基于应用层的侵入和病毒都十分有效。但是也有其不足的地方,主要表现在以下3方面:(1)容易成为校园网络向外访问的瓶颈;(2)对系统的整体性能有较大的影响,代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性:(3)工作于应用层,对DoS攻击等基于底层协议漏洞的攻击无抵抗。

2.3 状态检测防火墙

状态监视防火墙安全特性非常好,它结合了包过滤防火墙和代理服务器防火墙的优点。比包过滤防火墙更加安全,比代理服务器防火墙能提供更好的性能。现在的防火墙产品大多数都是状态检测防火墙。在状态检测防火墙中,维护着一个状态表,状态表中记录着所有的网络连接的会话信息。通过对状态表应用安全策略来控制通过防火墙的所有流量。当一个连接开始时,将该连接的会话信息记录在状态表中,如果安全策略允许该连接,则转发连接的流量,返回的流量要与状态表中已存在的会话信息进行比较,如果不匹配,则丢弃掉这个连接。状态检测防火墙一般有几个接口,一个用来连接校园网络,称为内部接口;一个用来连接公用网络,称为外部接口;一个用来连接一些向公用网络提供服务的服务器,称为DMZ接口。内部接口的安全级别最高,外部接口的安全级别最低,DMZ接口的安全级别处在内部接口和外部接口之间。

3 应用

在比较几种防火墙性能的基础上结合自身校园网的特点,采用DCFW-1800多功能防火墙,涵盖了防火墙的技术和特性,具有防止黑客攻击的能力。根据校园网的需求和安全级别的要求(如网络层安全或应用层安全,可以灵活选择包过滤或应用代理等)选择功能特性。防火墙本身具有防黑客的功能,而且由于防火墙本身自带多个以太网口,可以同时连接多个子网段,加上防火墙本身的访问规则设定即可对学校各部门局域网之间的访问进行控制。另外防火墙本身作为网关设备,可以对所有网络内部的计算机进行管理,比如IP和MAC地址绑定可以将内部计算机的IP地址与本身的网卡MAC地址进行捆绑,当一台计算机的IP更改为其他IP后防火墙将制止它的访问,保障网络照常运行。这样就不需要学校管理人员一台一台去检查计算机的IP了。

由于网络资源多样化,其中有很多不良信息是不希望学生访问的,管理人员只要将常见的不良信息站点添加到过滤规则中或者添入关键字即可屏蔽掉这些不良站点。通过防火墙具有地址映射功能,可以将内部网络的一台服务器映射为合法IP地址从而提供相应的服务,而且防火墙都可以将日志定向到日志服务器上,将网络访问的细节记录下来。当用户有违规操作(比如访问了没有过滤掉的不良信息站点)时,可以通过日志查看工具查看,做到有据可查,同时还可以根据日志信息完善防火墙的配置规则。

这样,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则:(2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击;(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用:(4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录;(5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

4 结语

防火墙作为网络安全体系的基础和核心控制设备,是设置在被保护网络和外部网络之间的一道屏障,在网络安全中具有举足轻重的地位。由于互联网中有大量的攻击工具,网络安全不可能单靠防火墙来实现。所以为了保障校园网的安全,还需要结合其他安全技术的使用,也不能忽视用户安全教育、提高管理人员技术素养等方面的工作,这就需要长期的努力以及对校园网安全技术功能的完善不断的追求。

摘要：随着互联网技术的发展和网络使用范围的日益广泛,校园网已在广大高校普及,而安全保密工作越来越成为校园网建设中的关键技术,针对当前校园网应用中所遇到的问题进行研究,运用防火墙技术保护校园网络安全和信息安全,从而达到有效保护校园网内部网络安全的目的。

关键词：高校校园网,网络安全技术,防火墙

参考文献

[1]张涛.网络安全管理技术.清华大学出版社,2005.

[2]Marcus Goncalves,宋书民,朱智强,徐开勇,等,译.防火墙技术指南[M].机械工业出版社,2002.

[3]曾湘黔.网络安全与防火墙技术[M].重庆:重庆大学出版社,2005.

防火墙技术的应用 篇8

关键词：计算机；网络安全；防火墙技术

中图分类号：TP393.08

由于计算机的应用，推进网络信息的进步，社会加强对计算机网络的应用力度，增加网络安全维护的压力。根据计算机网络的应用环境，充分发挥防火墙技术的优势，保障计算机网络资源的安全价值。防火墙技术的更新速度比较快，完全适应于现代计算机网络的发展，表现出可靠优势，为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。

1 分析防火墙技术

防火墙技术的原理：按照预设条件监控计算机网络内的流通信息，对流通信息执行授权和限制服务，主动记录关联信息，分析信息的具体来源，明确发生在网络系统内的每一项交互信息，预防外部攻击。

防火墙技术的属性：（1）筛选安全防护策略，确保安全策略能够通过防火墙的防护体系；（2）完整记录信息活动，检测攻击行为，及时提供报警和限制服务；（3）容纳全部信息，维护整体计算机网络。

2 计算机网络系统的安全攻击

计算机网络系统位于信息环境中，网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此，分析计算机网络系统的安全攻击，如下：

2.1 IP攻击

攻击者选择攻击目标群，设置IP攻击路径。首先攻击者向目标主机发送安全信息，获取主机信任，锁定攻击目标，通过信息模式发送虚假IP，当IP欺骗计算机网络安全的保护措施后，虚假IP转化为多项攻击行为，读取用户信息，篡改服务项目，同时安置在用户难以发现的位置，准备随时进行非法攻击。

2.2 拒绝服务

拒绝服务的攻击利用系统漏洞，攻击者向计算机发送攻击数据包，导致主机瘫痪，不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点，攻击者不定时、不定向的发送攻击数据包，计算机无法承担高负荷的数据存储，快速进入停滞或休眠状态，即使用户发送服务请求，计算机因失去服务能力，不能处理用户请求，完全陷入拒绝服务的状态，此时服务器处于正常接收状态，用户只能觉察到服务器不工作，实质已经呈现被攻击状态，丧失服务能力。

2.3 端口攻击

计算机包含多项端口，如：远程、协议、共享等端口，为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响，针对比较常用的端口实行防火墙处理，其余均未实行防护措施。计算机在投入运行时，大部分端口处于开放状态，为攻击者提供硬性攻击路径，攻击木马在端口处的攻击处于零防御状态，所以用户需要关闭不常用端口，切断攻击路径，同时利用防火墙技术检测，防止遗漏端口保护。

2.4 程序攻击

计算机网络运行程序起初设计时，为满足功能需求，采用辅助程序，被称为“后门”，辅助程序具有通道特性，在程序设计完成后需要关闭，但是编程人员并没有关闭辅助程序，攻击者攻击某项运行程序时，首先检测是否留有后门，一旦检测到很容易攻入程序内部，强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患，必须采用恰当的防火墙技术，才可避免程序攻击。

3 防火墙技术在计算机网络安全中的应用

防火墙技术主要隔离计算机网络的内网与外网，形成稳定的保护途径，有效识别外部攻击，具体分析如下：

3.1 代理服务器的应用

代理服务器是防火墙技术的一类，服务器为网络系统提供代理服务，代替真实网络完成信息交互[2]。例如：计算机网络信息由内网传输到外网时，自身携带IP信息，如果IP被外网攻击者解析并跟踪，很容易将病毒或木马带入内网，病毒攻击内网后窃取数据，利用代理服务器，为交互信息提供虚拟的IP，以此隐藏真实IP，外部攻击者只能解析虚拟IP，不会获取任何真实信息，保护内网信息。代理服务器起到中转作用，控制两网信息的交互过程。代理服务器在账号管理、信息验证等方面具有明显的应用优势，在安全性能方面要求较高，满足计算机网络的安全需求。代理服务器的构建比较严谨，必须在应用网关的条件下，才能实现信息保护，所以此类防火墙技术虽然防护能力高，但是运用复杂，用户使用时，最主要的是通过网关提供稳定的网络性能，营造优质的网络保护环境。

3.2 包过滤技术的应用

包过滤技术具有信息选择的特点，此类技术获取传输信息后比对原有的安全注册表，判斷传输信息是否安全。以网络传输的目的IP为例，分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP，解析目的IP的数据包，数据包内包含目的IP的源信息，能够作为标志信息，包过滤技术将数据包与用户安全注册表进行对比，识别数据内是否含有攻击信息，确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径，控制由内到外的信息传输，在由外到内的传输过程内，不仅发挥控制作用，还会提供限制功能，包过滤技术既可以应用在计算机主机上，又可以应用在路由器上，所以包过滤技术又分为开放、封闭两种应用方式，主要根据计算机网络安全的实际情况选择，提供对应服务。包过滤技术受到端口限制并不能实现全网保护，所以兼容能力偏低。

3.3 复合技术的应用

复合技术体现综合防护的优势，防火墙融合代理和包过滤两类技术，体现更稳定的防护方式，弥补防火墙技术的不足之处。基于代理与包过滤的参与下，防火墙技术逐步形成系统性的保护类型，保障防火墙技术的灵活性[4]。目前，防火墙技术表现出混合特性，复合体现代理与包过滤的双向优势，最主要的是以此两类技术为主，融入多项安全技术，结合分析计算机网络安全的运行实际，确保防火墙技术在计算机网络受到攻击危险时，可以快速提供防御服务，体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御，防止外网攻击，主动监测内网信息。复合防护方式有：（1）提供认证机制，确保网络交互的所有信息处于安全约束的状态，形成动态过滤的防护方式；（2）主动隐藏内部信息，形成智能化的感应方式，一旦出现网络攻击，立即采取报警提示；（3）加强交互保护的能力，发挥复合技术的优点，有利于提升防护价值，确保实时维护。

4 结束语

计算机网络应用规模逐步扩大，促使网络运行面临严重的安全问题，科学利用防火墙技术，解决计算机网络中的安全问题，有效保护网络安全。防火墙技术在计算机网络安全发展的过程中，体现出变革与更新特性，实时保护计算机网络系统，避免计算机遭遇外网攻击，确保内网环境的安全。由此可见：防火墙技术在计算机网络安全中占据重要地位。

参考文献：

[1]防火墙技术在网络安全中的应用[J].科技资讯，2012（09）：23.

[2]网络安全与防火墙技术的研究[J].网友世界，2011（25）：13-15.

[3]浅析防火墙技术在网络安全中的应用[J].云教育，2013（14）：112.

[4]防火墙技术与现代网络安全防范体系的关系[J].现代计算机，2012（05）：108.