电子商务安全防范解决的方案.doc

北京深万科技有限公司 400-650-6618　010北京市海淀区万柳阳春光华8号楼2层 共 NUMPAGES 11 页 第 PAGE 1 页 电子商务安全防范解决方案 一、防火墙原理　　　作为近年来新兴的保护计算机网络安全技术性措施，防火墙（FireWall）是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，因此对内部的非法访问难以有效地控制，因此，防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。　　　作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。　　　二、防火墙的种类　　　真正意义下的防火墙有两类：一类被称为标准防火墙；一类叫双家网关。标准防火墙系统包括一个Unix工作站，该工作站的两端各按一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。而双家网关则是对标准防火墙的扩充，双家网关又称堡垒主机或应用层网关，它是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。　　　　随着防火墙技术的进步，在双家网关的基础上又演化出两种防火墙配置：一种是隐蔽主机网关；另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关当前也许是一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙当属隐蔽智能网关。所谓隐蔽智能网是将网关隐藏在公共系统之后，它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之上的保护软件来进行的。一般来说，这种防火墙是最不容易被破坏的。　　　从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。　　　1.网络级防火墙　　　一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。　　　防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 2．应用级网关　　　应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。　　　应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Intern