第一篇:防火墙技术在企业财务管理系统中的应用
防火墙技术在企业财务管理系统中的应用
2010-06-10 09:02:02 作者:韩晓 来源:万方数据 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据 关键词: 防火墙企业防火墙防火墙功能信息安全代理服务器
目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。
1、防火墙技术
1.1防火墙的基本概念
防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。
1.2防火墙的工作原理
防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
1.3防火墙的功能
防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署www.xiexiebang.com)原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
第二篇:防火墙技术在电子商务中的应用
防火墙技术在电子商务中的应用
目 录
目录............................................................................(1)内容摘要.........................................................................(2)关键词..........................................................................(2)正文............................................................................(2)
一、电子商务的概念及交易问题.....................................................(2)
(一)、什么是电子商务............................................................(2)(二)、电子商务的交易过程.................................................(2)
二、电子商务中的信息安全问题、特性及威胁...............................(3)(一)、电子交易的安全概念、安全特性.........................................(3)
(二)、电子商务中的信息安全问题及威胁.....................................(4)
三、防火墙的技术与体系结构.............................................(6)
四、防火墙的简介与使用的益处.........................................(6)
五、防火墙常用技术和性能......................................................(11)
六、结论........................................................................(14)参考文献........................................................................(14)
浅谈防火墙技术在电子商务中的应用
内容摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术,讨论了建立网上安全信任机制的基础。
关键词:防火墙
电子商务
应用 正文:
一、电子商务的概念及交易问题(一)什么是电子商务
电子商务源于英文Electronic Commerce,简写为EC。是指一个机构利用信息和技术手段,改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系,从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务;本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下,电子商务的含义已不仅仅是单纯的电子购物,电子商务以数据(包括文本、声音和图像)的电子处理和传输为基础,包含了许多不同的活动(如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务)。它涉及产品(消费品和工业品)和服务(信息服务、财务与法律服务);它包含了使用Internet和Web技术进行的所有的商务活动。
(二)、电子商务的交易过程
企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。
(1)交易前的准备
买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品,准备购货款,制订购货计划,进行货源的市场调查和分析,反复进行市场查询,通过交换信息来比较价格和条件,了解各个卖方国家的贸易政策,反复修改购货计划和进货计划,确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划,再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品,进行全面的市场调查和分析,了解各个买方国家的贸易政策,制订各种销售策略和销售方式,制作广告进行宣传,召开商品新闻发布会,利用Internet和各种电子商务网络发布商品广告等手段扩大影响,寻找贸易伙伴和交易机会,扩大贸易范围和商品所占市场的份额。
参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等,买卖双方都少不了要为电子商务交易做好准备。
(2)交易谈判和签订贸易合同
买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判,将双方磋商的结果做成文件,即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法,经过认真谈判和磋商后,将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定,合同双方可以利用电子数据交换(EDI)进行签约,也可以通过数字签名等方式签约。
(3)办理交易进行前的手续
买卖双方从签订合同到开始履行合同要办理各种手续,这也是双方在交易前的准备过程。交易中要涉及到有关各方,即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换,直到办理完一切手续、商品开始发货为止。
(4)交易合同的履行和索赔
这一阶段是从买卖双方办完所有各种手续之后开始,卖方要备货、组货,进行报关、保险、取证、信用卡等手续,然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物,金融机构和银行也按照合同,处理双方收付款、并进行结算,出具相应的银行单据等,当买方收到所购的商品,整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时,需要进行违约处理的工作,受损方按贸易合同有关条款向违约方进行索赔。
二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性
电子商务安全是一个系统概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面:(1)有效性,因为交易对于交易双方都是一件十分严肃的事情,双方都对交易的信息认可。(2)保密性,即要求交易的信息只有交易双方知道,第三方不能通过网络获得。(3)完整性,包括过程的完整和数据资料的完整。(4)交易者身份的确定性,这是信用的前提。(5)交易的不可否认性,要求在交易信息的传输过程中为参与交易的个人,企业和国家提供可靠的标识。数据的安全主要包括数据的完整,不受损坏,不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换,保证交易不得中断。
虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?
防火墙可以保证对主机和应用安全访问,保证多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。
与传统商务相比,电子商务具有许多特点:
其一,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
其二,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。
其三,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
(二)、电子商务中的信息安全问题及威胁
1、电子商务的安全问题。总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安 全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕 传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
(1)窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2).恶意代码。它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet 的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大。
(3)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(4)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(5)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。
(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。
(3)攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DOS)攻击。a.探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。c.DOS 攻击可以防止用户对于部分或者全部计算机系统的访问。
(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。
(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
因此,随着电子商务日益发展和普及,安全问题显得异常突出,解决安全问题已成为我国电子商务发展的当务之急。
三、防火墙的技术与体系结构
(一)、什么是防火墙
防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰,防止内部受到外部的非法攻击。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
(二)、使用防火墙的益处
(1)保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
(2)集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
(3)控制对系统的访问
防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
(4)策略执行
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。
(5)增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。防火墙可以提供统计数据,来判断可能的攻击和探测。并且,防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据。
四、防火墙的简介与使用的益处
(一)、防火墙的简介
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。
防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。
一般来说,配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量,但允许内网用户更自由的与外部交流。
防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能;它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”,因为阻止点在网络中的作用相当于警卫保卫财产。
从理论上说,有两种类型的防火墙:应用层防火墙和网络层防火墙
它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织(ISO)开放系统互联(OSI)模型把网络分成七层,每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低,防火墙的检查就越少。
(1)应用层防火墙
应用层防火墙通常是代理服务器运行的主机,它不允许网络之间直接的流量,并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件,所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换,是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入,另一边出去。
在某些情况下,有一个应用程序的方式可能会影响防火墙的性能,并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明,并且还可能需要进行一些培训。然而,许多现代应用层防火墙是完全透明的。与网络层防火墙相比,应用层防火墙趋于提供更细化的审计报告,实行更保守的安全模型。
(2)网络层防火墙
这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙,因为它不能做出复杂的判断,如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多,并且会随时关注通过防火墙的连接状态的信息。
另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过,因此在使用时,你需要一个有效分配的IP地址块,或者是专用网络地址块。网络层防火墙的发展很迅速,对于用户来说几乎是透明的。
未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息,应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测,也可以是软件类型,软件在电脑上运行并监控,其实硬件型也就是芯片里固化了的软件,但是它不占用计算机CPU处理时间,可以功能作的非常强大处理速度很快,对于个人用户来说软件型更加方便实在。
(二)、防火墙的体系结构
防火墙对于企业网络的防御系统来说,是一个不可缺少的基础设施。在选择防火墙防火墙时,我们首先考虑的就是需要一个什么结构的产品,防火墙发展到今天,很多产品已经越来越象是一个网络安全的工具箱,工具的多少固然很重要,但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。
防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。
包过滤是历史最久远的防火墙技术,从实现上分,又可以分为简单包过滤和状态检测的包过滤两种。
简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果你已经有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,在99年以前国外的防火墙市场上就已经不存在了,但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术,从这点上可以说,国内产品的平均技术水准至少比国外落后2到3年。
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。
顺便提一下免费软件中的包过滤技术,比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析,虽然它们提供了对TCP状态位的检查,但是由于没有跟踪TCP的状态,所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table,从其名称就可以看出,它在进行过滤时建立了一个用来记录状态信息的Table,已经具备了状态检测技术的基本特征。
包过滤结构的最大的优点是部署容易,对应用透明。一个产品如果保护功能十分强大,但是不能加到你的网络中去,那么这个产品所提供的保护就毫无意义,而包过滤产品则很容易安装到用户所需要控制的网络节点上,对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙,由于采用了网桥技术,几乎可以部署在任何的以太网线路上,而完全不需要改动原来的拓扑结构。
包过滤的另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。
但是对于防火墙产品来说,毕竟安全是首要的因素,包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护,而大量的网络攻击是利用应用系统的漏洞实现的。
应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,最初的代表是TIS工具包,现在这个工具包也可以在网络上免费得到,它是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能直接与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。
对于使用代理防火墙的用户来说,在得到安全性的同时,用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性,这个缺陷几乎可以说是天生的,因为它只有位于应用会话的中间环节,才会对会话进行控制,而几乎所有的应用协议在设计时都不
认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合,需要为每一个支持的应用协议实现专门的功能,所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议,要么放弃防火墙,要么放弃应用。特别是在一个复杂的分布计算的网络环境下,几乎无法成功的部署一个代理结构的防火墙,而这种情况在企业内部网进行安全区域分割是尤其明显。
代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上,其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说,这是很难接受的性能。
代理防火墙的技术发展远没有包过滤技术活跃,比较一下几年以前的TIS和现在的代理类型的商用产品,在核心技术上几乎没有什么变化,变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性,很多代理防火墙同时也提供了状态检测包过滤的能力,当用户遇到防火墙不能支持的应用协议时,就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起,所以混合型的产品通常更难于配置,也很难真正的结合两者的长处。
状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势,演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构,其基本的原理是在防火墙外部仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能。
“流过滤”的另一个优势在于性能,完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说,消耗资源更少而且更加高效,如果你需要一个能够支持几千个,甚至数万个并发访问,同时又有相当于代理技术的应用层防护能力的系统,“流过滤”结构几乎是唯一的选择。
防火墙技术发展这么多年,已经成为了网络安全中最为成熟的技术,是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过,事实上,任何一个
安全产品或技术都不能提供永远的安全,因为网络在变化,应用在变化,入侵的手段在变化。对于防火墙来说,技术的不断进步才是真实的保障。
五、防火墙常用技术和性能
(一)、防火墙的四种基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(1)、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)、代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
(二)、防火墙的选择
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:(1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(2)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(3)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(4)可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
(5)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
六、结论
随着电子商务的不断发展,安全是保证电子商务健康有序发展的关键因素,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
七、参考文献
1、《电子商务》 翟才喜 杨敬杰主编 东北财经大学出版社 2002.2
2、《中国电子商务年鉴》2003 卷
第三篇:ERP系统在企业财务管理中的应用(1,2)
ERP系统在企业财务管理中的应用(1)在财务管理日趋细化、的要求日渐提升的今
天,传统的财务管理系统已经难以适应当今的激烈竞争的社会。从内部来说,随着社会消费水平的增长。客户对于商品的选择从满足基本需求到追求个性化需求,为了适应这个需求趋势,企业同样要改变其生产模式,必须探求新的方法以解决新经济环境中提出的新问题。ERP所提供的新的工作平台是应对这些挑战的必备条件之一,它能全盘掌握企业信息,并能清晰地提供决策所需资料的数据处理系统。ERP在企业财务管理中的应用,将帮助企业的财务领导在理念、技术、方法的运用等多方面进行革新。但是任何事物都有其两面性,ERP系统的运用自然有其优势,但是在运用过程中也应该注意相关问题。
一、ERP环境下财务管理系统与传统财务管理系统的差异以及存在的优势
ERP系统实现了企业物流、资金流以及信息流的综合集成管理,具有集成度高、信息处理及时等优点。同传统的财务管理系统存在着诸多差异。
首先,会计科目不同。在ERP系统中,会计科目由集团总部进行统一设置,分公司以及子公司无权进行修改,可以保证数据的准确性,财务数据是按业务发生的性质进行统一组织的,有利于系统编制合并报表。对于往来类和成本费用类科目,可采用辅助核算模式,突破了传统财务管理系统设置多级明细科目的思路,更有利于进行数据集成控制。
其次,数据范围和采集方式不同。由于实施了财务业务一体化,会计信息质量得到改善,信息集成不仅减少了数据的重复录入,更重要的是信息集成有效改善了会计信息质量,使会计信息的相关性提高了。另外采集和处理的信息相当广泛,它不仅采集和处理财务信息,而且还采集和处理非财务信息,供各相关部门享用,数据的一致性可以消除数据的重复和冗余。
再次,会计凭证生成方式以及会计信息输出方式不同。不同ERP系统中,业务部门完成诸如采购入库和销售等工作的同时,财务系统中会自动根据预先设置,生成相应的会计凭证,会计人员则可直接进行审核,如发现错误则通知业务人员进行修正。这样可保证发生业务的同时,财务情况也能同时反应。在会计信息输出过程中,它将大部分业务数据都是以原始的、未经处理的方式存放,大部分处理是记录业务的个体特征和属性,分类、汇总、余额计算都放在查询输入过程,可方便进行组合查询,准确生成所需财务报告数据,比传统的财务管理系统处理数据更为简单方便。
总之,ERP财务系统节约了会计凭证的生成时间,能及时查询和汇总子公司或分公司业务和财务信息;缩短了财务会计报表的生成时间,内部报表和分析报告形式更加多样化了;提高了会计信息的可靠性,一定程度上减少了舞弊行为。同时,财务业务一体化,也为财务管理与控制的开展奠定了基础,能够将资金控制点设置到业务流程的各个环节,真正实现节约资金、提高资金利用效率。
二、ERP环境下财务管理的应用应该注意的问题
ERP环境下的财务管理系统实现了企业物流、资金流以及信息流的综合集成管理,具有集成度高、信息处理及时等优点,但是ERP财务管理系统也有其自身的特点,因此财务人员在应用时也应该注意,保证ERP系统在企业中的良好运用:
1、要注意初始数据的正确性
ERP财务系统属于数据集成系统,具有正面的积极作用,信息处理及时、集成度高,减少了重复录入的工作量。但是从另一方面来说,采用ERP系统下数据录入途径唯一,大部分财务数据直接来自于销售、采购、生产等业务子系统,财务人员无法控制原始数据的正确性,一旦原始数据出现错误,就将影响所有信息使用者。
(1)对于采购系统,ERP采购管理作为整个ERP的一部分,对外它联系各级供应商,对内它连接设计部门、生产部门和财务部门等,直接涉及物流、资金流以及信息流的传递,对公司整个管理起到了非常重要的作用。采购部门的原始数据是否合理,直接影响着整个系统的运行,影响到成本的核算以及销售系统中应收应付工作,一个基本点出现错误,就会牵一发而动全身,直接影响着总账系统,报表系统,因此,采购系统的业务数据的准确性直接关系到以后财务数据的录入工作,需要密切注意,毕竟采购是整个系统的初始关键环节。
(2)对于成本控制系统,企业计算成本目前一般采用作业成本法进行计算,作业成本法的产生最初是为了提高制造费用向产品分配的精确性,因而作业成本核算的难点主要是制造费用分配到作业形成作业成本以及作业成本向目标产品的分配。ERP系统中的作业成本计算并不那么简单,用信息系统来实现它是比较复杂的成本归集和分配的过程。在ERP作业成本控制系统中,计算作业成本要输入某特定期间的资源成本、成本动因数量、产出量和其他数据。资源成本的数据可以从ERP系统中的财务系统中取得,对于无法从财务系统中取得的数据可以手工输入,这样系统具有更大的灵活性。
成本动因是资源成本向作业,作业成本向成本目标分配的依据,所以成本动因数据的准确性直接关系到作业成本计算结果的准确性,因此,在ERP成本控制系统中,影响着整个企业的成本控制过程,初始数据是否合理直接影响着整个系统的财务数据是否正确,成本计算是否合理,也就影响着销售系统的运行,进而影响到总账系统、财务报表系统,因此,财务人员在输入或者调取数据时,一定要注意数据的准确性,尽量避免失误,保证整个ERP财务系统有效运行。
(3)对于销售系统,应付账款是企业处理从发票审核、批准,支付到检查和对账的业务,应付账款系统同ERP其他系统有着密切的联系,采购系统录入的采购发票可以传入应付账款管理子系统,通过应付账款子系统进行应付账款的核算,应收账款系统录入的销售发票和其他应收单据同样可以直接与应付账款管理
子系统进行应付冲应收的核算,应付账管理子系统生成的往来账款凭证可以传递到总账系统。现金管理系统与应付账款管理子系统中的应付票据可以进行相互传递。从应付账款系统可以看出应付账款系统与各个系统等有着密切的联系。同理,对于应收账款,销售系统录入的销售发票可以传入应收账款管理子系统;采购系统录入的采购发票可以直接与应收管理子系统进行应收冲应付的核算,应付系统录入的采购发票和其他应付单据同样可以直接与应收管理子系统进行应收冲应付的核算;应收管理子系统生成的往来款凭证可以传递到总账系统;现金管理系统与应收管理子系统中的应收票据可以进行相互传递。销售系统中应收应付账款控制着企业的成本以及收入,是整个企业财务系统的核心环节,应收账款系统同应付账款密切相联系,同时它们同采购系统、总账系统、现金管理系统密切联系,构成一个完整的财务供应链体系,因此,如果初始环节的数据出现错误,就会使整个资金链条断裂,在运用过程中必须注意这样的问题。
为了保证财务初始数据的正确性,企业可以采用多种方式加以控制,可以加强内部各个部门的及时沟通,要关注数据的准确性问题,减少出差错的概率,要注意时刻保留纸质原始凭证,在对账过程中,要及时同原始凭证进行核对,要保证两套账本保持一致,最大限度的保证数据的准确性。
2、要注意整个企业内部财务控制的有效性
在传统的财务管理方式下,大多存在的是手工方式的财务控制行为,而目前的ERP财务系统改变了原有的财务运作模式,企业固有的财务控制流程必然随着ERP的引进而发生变化,如果在实施ERP系统的过程中没有充分考虑企业所需要的财务控制环节以及方法,就会不可避免的存在内部财务控制缺失的风险。在原有的财务管理模式下,出纳只有权限查看与银行存款以及现金相关的账簿,毕竟都是原始记账凭证,只要有人进行管理,严格内部控制,就会使企业整个内部控制系统保持有效。在ERP系统下,账簿查询仅仅是一个查询功能,在计算机操作环境下运行,输入不同的科目作为查询条件就可以查询到各个相关科目的账簿信息,如果在引进的过程中忽略或者系统不支持科目的数据权限控制,那么出纳就可以通过整个系统查询到其他会计科目的信息,在这种情况下,财务内部控制就会失效。因此,在运用的过程中,必须密切关注这一内容,分析手工状态下的内部控制如何运行,然后财务部门要全面整理系统启用以前的内部财务控制制度,保证内部财务控制整体有效运行。
3、要注意财务人员分工以及权限的设置问题
ERP坏境下的财务管理系统要求对现有会计业务流程进行重组,是一种管理创新,同时它也对会计工作提出了新的要求。首先,财务人员必须具有一定的电脑知识和操作能力才能胜任此项工作。其次,在ERP环境下,财务人员的角色发生变化,在计算机操作系统下,会计人员直接处理的业务逐渐减少,但是需要接触到整个系统中的各个环节,要学会处理好整个系统,保证会计信息的准确性,另外,财务人员还需要利用整个系统进行财务分析。在这种情况下,企业就要注意一系列问题,ERP系统改变了财务人员的工作与权限,这就有可能阻碍ERP的实施进程,对此,财务人员应该积极学习计算机操作系统,而不能对此有所抵触。其次,企业加强财务人员的培训,掌握ERP系统的基本操作、运用技巧以及ERP
理念的财务人员也很可能会流失,这部分掌握ERP系统的复合型人才的流失,短期内不会对企业产生重大的影响,但是对于培训费用来说对企业可是一笔很大的损失。
因此,企业必须密切注意这一点,在做好相关培训的同时,也要充分发挥他们的价值,要让财务人员的工作重心逐步转移,企业管理者要对分工的变化以及权限的配置问题同财务人员及时沟通,避免出现人才流失的情况。企业管理人员要及时记录在ERP实施过程中所积累的经验知识,要及时存档管理,在人才出现大量流动时不令企业陷入被动的局面。
三、结论
通过ERP系统在财务管理中的应用为整个企业的财务管理带来了便利,ERP财务系统使企业的组织结构扁平,信息沟通更加合理,实施后的效果不仅体现在工作效率的提高,更多的是体现员工的意识理念上跟上了现代企业的管理模式,为企业升级发展奠定了坚实的基础。但是任何事物都有其两面性,在ERP财务系统为企业带来便利的同时,我们也要密切注意应用过程中存在的问题,保证ERP财务系统发挥它的最大效用。
第四篇:ERP财务系统在企业财务管理中的应用
ERP财务系统在企业财务管理中的应用
会计信息系统在现代企业经营、决策中发挥着重要作用,也越来越成为企业决策者的关注点,为了能够全盘掌握企业经营状况与资源有效利用,整合业务流程,获得及时资讯,企业资源规划系统(ERP)应运而生。ERP是将企业所有资源进行整合集成管理,实现企业内外部的数据共享,从而使信息资源更好的为企业所用的管理系统。
ERP是以财务会计管理为核心,优化企业管理中的各项业务流程,使企业资源达到优化和整合。在整个ERP管理链中,财务会计作为链条的末端起着反映业务事项货币价值的作用。企业业务流程管理的目的是有效监控企业战略目标的执行,确保企业战略目标的实现,它应具有工作流程自动化和企业多部门之间业务无缝集成的特点。
ERP系统对企业财务管理的影响:
1、ERP扩大了财务管理的内涵:传统意义上的财务管理主要指对资金、设备等有形资产的管理,而缺乏对人力资源等无形资产的计量。在现代企业中,人力资源管理越来越被管理者所重视,企业资产中以知识为基础的人力资源等无形资产所占比重大大提高,但传统的财务核算型软件无法将人力资源管理融入到企业管理中去,使得企业管理者在进行财务决策时也很难将这部分无形资产结合起来,ERP系统除了财务管理系统外,有效地将人力
资源管理融入到企业管理中,丰富了财务管理的内容。
第五篇:防火墙技术的应用
防火墙技术的应用
作 者:郭 丽 指导老师:李争艳
摘 要:为了保护计算机、服务器和网络资源免遭攻击破坏, 提出了防火墙技术是当前比较流行而且是比较可行的一种网络安全防护技术。本论文从实际应用的角度对防火墙的应用问题进行了探讨分析,阐述了防火墙的几种技术及其应用模式。最后,详细介绍了防火墙的应用设计。
关键词:防火墙;防火墙技术;防火墙应用模式;防火墙应用设计 防火墙概述
防火墙是设置在不同网络(如可信任的企业内部网络与不可信任的外部公共网络)或者不同网络安全域之间的一系列部件(包括软件和硬件)的组合。它是不同网络或网络安全域之间信息和数据的唯一出入口,能够根据网络管理人员制定的网络安全策略控制出入网络的各种数据信息流,从而对所受保护的网络提供信息安全服务。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,从某种意义来说,防火墙实际上代表了一个网络的访问控制原则。防火墙技术是计算机网络安全领域中最为关键和有效的技术之一,它设置在相对安全的内部网和相对不安全的而又具有大量资源和信息的外部网之间,执行网络安全策略,以有效地阻止来自外界的网络攻击,保护内部网络正常运行以及资源和信息的安全。通过以上分析我们可以看出防火墙从理论上应该具有下列特点:内部和外部的所有网络数据流必须经过防火墙;只有符合安全策略的数据流才能通过防火墙;防火墙本身应该坚固安全可靠。
第1页(共14页)2 防火墙技术
防火墙技术分为包过滤,代理,NAT,状态监测等几种技术。2.1 包过滤技术
包过滤工作在网络层和逻辑链路层之间。日益增多的众多IP路由产品正使包过滤成为一种改善网络安全的工具。如果恰当使用,对具有安全意识的网络管理者来说,包过滤是一种有用的工具。但它的有效利用需要对它的实际能力和缺点的充分了解,以及对用于过滤器的特定协议的特点的充分了解。首先检查包过滤作为一种网络安全度量的效用,简要地比较了IP包过滤和其它的网络安全方法如应用级网关,描述了包过滤在每一个包中检查什么,及涉及包过滤时的通用应用协议的特性。然后鉴别和检查了许多当前包过滤实现中出现的一些共同问题,说明这些问题怎样不费力地破坏网络管理者的意图并导致一种虚假的安全感,并对这些问题提出解决方案。
这里把包过滤看作一种实现网络安全策略的机制。需要考虑的事项是来自站点或网络管理者的观点(他们是那些在维持他们的站点或网络足够的安全时,对提供好的可能的服务给他们的用户感兴趣的人),站点或网络管理者的观点必定和服务提供者或路由器供应商所有的观点不一样(他们感兴趣的是提供网络服务或产品给用户)。始终假定站点管理者通常对于阻止外面的人进入更感兴趣,而不是设法管辖内部的人,并假定目的是阻止外而的人侵入和内部的人偶尔接触到有价值的数据或服务,而不是防止内部的人有意地或恶意地暗中破坏安全措施。
包过滤能被用于实现各种不同的网络安全策略。这些策略的第一个目的通常在于防止未经授权的网络访问,而没有阻碍授权的访问。未经授权的访问和授权的访问的定义在不同机构有很大的不同。第二个目的通常为机制在执行用户了解和安全措施的应用程序认识方面是透明的。另一个目的是机制对于配置和维护是简单的,从而提高策略被正确和彻底的实现的可能性。或多或少的,包过滤是完成所有这些目的的一种机制,但这只能通过对于它的优势和缺点的透彻地了解及它的实际能力的小心运用来达到。
为了网络安全,包过滤的一般的可供选择的方法包括用网络访问保护
第2页(共14页)每一台机器和使用应用网关。以全有或全无(一种非常粗糙的包过滤形式)为基础允许网络访问,然后尝试去保护具有网络访问权的每一台机器一般是不切实际的,没有几个站点有办法去保护并监控每一台需要偶然的网络访问的机器。应用网关,诸如被AT&T, DEC和其他几个机构使用的那些,通常也是不切实际的。因为它们为了到达外部主机,要求内部主机运行改良(通常被定做或其他方面不是通用的)版本的应用程序(如FTP和Telnet)。如果一个恰当改良版本的应用程序对于一个特定的主机(如适合于个人计算机的改良的Telnet客户机)是不可用的,内部主机的用户简直是不幸的,而且不能到达过去的应用网关。
在这里用到的允许和拒绝同路由和丢弃的意义是相同的。如果路由器决定允许或路由一个包,那么它将被送到它的目的地,好像路由不曾发生。如果路由器决定拒绝或丢弃一个包,那么该包仅仅被丢弃,好像它不曾存在一样。依赖于过滤实现(有时候是过滤说明),路由器可能给被丢弃的包的源主机回送一个ICMP信息(通常为主机不可达信息),或只是假装不曾收到该包。另外,本文中,入站和出站通常用于从受保护网络作为一个整体的观点谈到连接或包,有时用于从过滤器路由器(在内部网络边缘,内部网络和外部网络之间)的观点谈到包,或用于涉及包经过的路由器接口。一个包在它到外部网络的路上,对于过滤路由器来说,可能看来是入站的,但从内部网络作为一个整体来说,该包是出站的。一个出站连接是由内部机器上的客户机发起到外部机器上的服务器的连接。注意:当连接作为一个整体是出站的,它既包括出站包(指那些从内部客户机到外部服务器的)又包括入站包(指那些从外部服务器回到内部客户机的)。同样地,一个入站连接是一个由外部机器上的客户机发起到内部机器上的服务器的连接。对于一个包来说,入站接口是在包出现的过滤路由器上的接口,而出站接口是包将经由它出去的接口,如果它不被应用过滤规则拒绝的话。2.2代理技术
具有因特网访问功能的主机代替其它主机完成与因特网的通信,这就是代理服务。代理只对单个(或很小一部分)主机提供因特网访问服务,尽管它看起来像是对所有的主机提供服务。
代理服务其运行在一个双宿主主机或一个堡垒主机上:一些可以与用户交谈的主机同样也可以与外界交谈。用户的代理程序与这个代理服务器
第3页(共14页)交谈,而不是直接与外部的因特网上的真实的服务器交谈。这个代理服务器接收来自客户的要求,应决定哪个请求可以传送,那个可以不考虑。如果一个请求是许可的,代理服务器就会代表客户与真正的服务器交谈,继而将客户请求传达给真实服务器,并将真实服务器的应答返回给客户。代理服务对用户是透明的,用户与代理服务器交谈就像与真实服务器交谈一样;而对真实服务器米说,它是于一个运行于代理服务器主机上的用户交谈,而并不知道用户的真实所在。代理技术有如下特点:
(1)代理服务允许用户直接地访问因特网服务
使用双宿主主机方式,用户需要在访问任何因特网服务之前连入这个主机,通常这样做很不方便,会使一些用户变得很沮丧,以至于是他们在防火墙周围寻找通道。使用代理服务,用户会认为他们是在直接与因特网服务器进行交流。
当然,后台仍会有更多程序在运行,但它们对于用户来说通常是透明的。当代理服务允许用户通过它们连入因特网时,它们不允许在用户系统和因特网之间直接传送数据包。数据包的传输道路是间接的:或者通过双宿主主机,或者通过一个堡垒主机和屏蔽路由器系统。(2)代理服务可以优化日志服务
因为代理服务器可以优先选择协议,所以它们允许日志服务以一种特殊有效的方式运行。例如,一个FTP代理服务器可以只记录已发出的命令和服务器返回的应答,来代替记录所有传送的数据,这样会产生一个小的多也有用的多的日志。
(3)代理服务滞后于非代理服务
尽管代理软件广泛用于类似FTP和Telnet这些陈旧的简单的服务,但新的或不常用服务的代理软件却较难找到。在一个新的服务出现以后,通常要经过一个明显的延迟,它的代理服务器才会出现,滞后时间的长短主要依赖于为代理而设计的服务器。这时的一个站点在提供一项新的服务时,难以立刻提供相应的代理服务。如果某个内部子系统需要一种新的服务,那么在找到合适的代理软件之前,将不得不把它置于防火墙之外,这等于打开了潜在的安全缺口。
(4)不同的服务可能要求不同的服务器
第4页(共14页)可能需要为每项服务设置不同的代理服务器。因为代理服务器需要理解这个服务所用的协议,以判断什么是允许的,什么是不允许的,并且它还得扮演两个角色,对真实服务器来说它是用户,对代理服务器来说它是真实服务器。挑选、安装和配置所有这些不同的代理服务可能是一项庞大的工程。
根据所用的代理软件的不同,配置的难易程度也大不相同,在一个地方容易做的事情可能在其它地方非常困难。例如,容易配置的服务器通常实用性比较差,它们之所以可以比较容易地配置,是因为它们限制了各种使用条件,这些条件可能是正确的,也可能根本不适合你的站点。(5)代理服务对用户的限制比较多
代理服务器通常要求对用户和使用过程进行限制,每一种限制都有不足之处,人们无法按他们自己的步骤来随心所欲地使用代理服务。由于这些限制,代理服务就不能像非代理服务运行得那样好,它们往往可能曲解协议,而且也缺少一定的灵活性。2.3 NAT技术
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的第5页(共14页)地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
图1 NAT工作过程
在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。2.4状态监测技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是CheckPoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(Deep Packet Inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
“状态监测”技术在保留了对每个数据包的头部、协议、地址、端口、第6页(共14页)类型等信息进行分析的基础上,进一步发展了“会话过滤”功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
3防火墙的应用模式
由于网络拓扑结构和安全需求等方面的差异,在使用防火墙构建网络安全防护系统时,其应用模式可能是千差万别的。总的来说,比较典型的防火墙应用模式有4种。
3.1屏蔽路由器(Screened Route)
这种应用模式采用单一的分组过滤型防火墙或状态检测型防火墙来实现。通常,防火墙功能由路由器提供(在路由器上增加一个防火墙模块),该路由器设置在内部网与internet之间,根据预先设置的安全规则对进人内部网的信息流进行安全过滤。在这种应用模式中,防火墙功能也可以用单独的防火墙设备或主机来实现,设置在内部网与路由器之间。参见图2:
内部网
屏蔽
路由器
INTERNET
图2 屏蔽路由器 第7页(共14页)这种应用模式的优点是数据转发速度快,冈络性能损失较小,易于实现,费用较低、它的缺点是安全性比较脆弱,尤其是分组过滤型防火墙,容易被人侵者攻破,进而入侵内部网。3.2双宿主机网关(Dual Homed Gateway)
这种应用模式采用单一的代理服务型防火墙来实现。通常,防火墙是由一个运行代理服务软件的主机实现的。这种主机称为堡垒主机(Bastion Host),而具有两个网络接口的堡垒。主机称为双宿主机(Dual Home)。这种应用模式由双宿主机充当内部网与internet之间的网关,并在其上运行代理服务器软件,受保护的内部网与Internet之间不能直接建立连接,必 须通过堡垒主机才能进行通信外部用户只能看到堡垒主机。而不能看到内部网的实际服务器和其他资源。受保护网络的所有开放服务必须由堡垒主机上的代理服务软件来实施。参见图3:
内部网
堡垒
主机
INTERNET
图3 双宿主机网关
这种应用模式的安全性略好一些。但仍然比较脆弱,因为堡垒主机是惟一的安全屏障,一旦被人侵者攻破。内部网将失去保护。3.3屏蔽主机网关(Screened Host Gateway)
这种应用模式采用双重防火墙来实现,一个是屏蔽路由器,构成内部网的第一道安全屏障;另一个是堡垒主机.构成内部网的第二道安全屏障。参见图4:
内部网
堡垒 主机 屏蔽 路由器
INTERNET
图4 屏蔽主机网关
屏蔽路由器基于下列规则过滤分组流:堡垒主机是内部网惟一的系统,允许外部用户与堡垒主机建立连接,并且只能通过与堡垒主机建立连接来访问内部网提供的服务。由于这种应用模式设有两道安全屏障,并且是由两种不同的防火墙构成的,可以优势互补和相互协调。因此,具有较高的第8页(共14页)安全性,并且比较灵活。
3.4屏蔽子网网关(Screened Subnet Gateway)
这种应用模式是在内部网与internet之间设置一个独立的屏蔽子网,在内部网与屏蔽子网之间和屏蔽子网与Internet之间都要没置一个屏蔽路由器,堡垒主机连接在屏蔽子网上。堡垒主机是惟一的内部网和Internet都能访问的系统,但要受到屏蔽路由器过滤规则的限制。参见图5:
屏蔽子网
内部网
堡垒 主机
堡垒主机
屏蔽 路由器
INTERNET
图5 屏蔽子网网关
在这种应用模式中,内部服务器设有三道安全屏障:两个屏蔽路由器和堡垒主机,入侵者要入侵内部网必须攻破两个屏蔽路由器和堡垒主机,这显然是相当困难的。因此,具有更高的安全性,比较适合保护大型的网络,但成本也比较高。防火墙的应用设计
根据行业特征和应用性质可将网络系统大致分成校园网、企业网、商务网、金融网、政务网以及军用网等。这些网络系统的安全需求是不相同的,必须采用与其应用性质相适应的安全措施来构建完整的网络安全体系。以满足各种网络系统的安全需求,完整的网络安全体系应当包括防护、检测、响应和管理等各个环节,不是单靠某一种安全技本来解决的,也要形成一个动态的安全防护系统。其中,防火墙是整个网络安全体系的基础和关键环节,也是一种常用的安全防护技术,它作为第一道安全屏障最容易受到人侵者的攻击。因此,除了防火墙本身应具有较好的安全防护能力之外,防火墙的应用方案设计也是十分重要的。
第9页(共14页)防火墙的应用方案设计一般包括安全需求分析、网络安全系统设计和安全策略设计3部分。4.1安全需求分析
根据网络应用性质,可以将网络应用环境分成3种:开放的、专用的和内部的。不同的网络应用环境所面临的安全风险和需求是不同的,其安全解决方案也有所不同。
(1)开放的网络应用环境:在开放的网络应用环境中,网络服务和信息内容向internet上的所有用户完全开放,如连接在Internet上的各种开放的Web服务器等。这种开放的应用环境一般不存在信息内容保密和用户身份验证问题,它所面临的安全风险是拒绝服务(Dos)篡改网页内容以及被非法利用等。这些安全风险需要采用多种安全措施来防范,包括使用接纳控制技术阻止入侵者非法获取系统控制权、使用防火墙技术过滤“有害”的信息,使用“补丁”程序来阻塞系统安全漏洞,使用入侵检测技术来检测和发现网络攻击行为等。这种应用环境的安全要求相对较低,防火墙的作用是次要的,必要时可采用屏蔽路由器模式。
(2)专用的网络应用环境:在专用的网络应用环境中,网络服务和信息内容是半开放的。只允许授权用户通过Internet来访问。这些授权用户是可信任的,他们通常是商业合作伙伴或者本单位的外地员工。这种专用的应用环境所面临的安全风险是假冒合法用户获取信息以及信息传输过程中被非法截获或者篡改等。前者属于网络安全问题,主要是用防火墙等技术来防范;后者属于信息安全问题,主要采用VPN等枝术来解决信息传输过程中的数据机密性和数据完整性问题。
在这种网络应用环境中,一般要在内部网与Internet之间设置防火墙,并通过安全规则来控制外部用户对内部网资源(如Web服务器和其他服务器)的访问。根据网络服务的安全要求,选择适当的防火墙应用模式来建立网络安全防护系统。除了防火墙外,还应当使用VPN技术、基于数字证书的访问控制技术等来解决信息交换安全问题。
(3)内部的网络应用环境:在内部的网络应用环境中,内部网与Internet是物理隔离的,网络服务器没置在内部网,只允许内部用户通过内部网访问网络服务器,这是一种封闭的网络环境。它所面临的安全风险是内部用户的非授权访问,窃取和泄露机密信息等。其防范措施主要侧重
第10页(共14页)于解决内部用户对内部网的攻击问题,如采用VLAN、访问控制、安全审计和安全管理等防范措施。
由于不同的网络应用环境所面临的安全风险是各不相同的,不能一概而论。因此必须针对不同网络应用环境所面临的安全风险采取适当的安全措施来增强系统安全性。在系统安全性、网络性能损失和系统费用等方面寻找一个最佳平衡点,减少盲目性。4.2网络安全系统设计
在上述的4种防火墙应用模式中,每一种应用模式所提供的安全防护能力和系统费用都是不相同的。在网络安全系统设计中,应当根据网络应用系统的安全需求来构造网络安全体系。
在安全要求不高的情况下,一般采用屏蔽路由器或双宿主机网关应用模式来构造网络安全系统。这样在满足系统安全需求前提下,有利于降低系统费用,简化网络管理。在屏蔽路由器或双穴主机网关应用模式不能满足系统安全需求的情况下,可以考虑采用屏蔽主机网关或屏蔽子网网关应用模式。
例如:在基于屏蔽子网网关应用模式构建的网络安全系统中,必须将内部网划分为3个子网:内部子网、屏蔽子网与外部网(如Internet)。不同子网的安全需求是不同的。屏蔽子网网关模式采用了两个屏蔽路由器,一个位于内都子网和屏蔽子网之间的内部屏蔽路由器;另一个位子屏蔽子网与外部网之间的外部屏蔽路由器。从网络体系结构上通过屏蔽子网将内部子网与不可信的外部网隔离开。外部屏蔽路由器的作用是保证外部网发来的数据包只能到达屏蔽子网,而且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上,而不能到达外部网。这样内部网和外部网之间不能直接通信,双方都只能到达屏蔽子网。由于屏蔽子网是内部子网与外部网之间的隔离区,所以屏蔽子网也称为“非军事区”或“停火区”。图6所示是一种基于屏蔽子网网关应用模式的网络安全系统结构。
第11页(共14页)
图6 网络安全系统结构
内部屏蔽路由器还应当提供网络地址翻译器(NAT)功能。NAT允许在内部网络中使用私有IP地址。而私有IP地址在internet中是不可见的,可见的只是代理服务器的公用IP地址。这样,在屏蔽内部子网结构的同时,还解决了公用IP地址短缺问题。
对于各种对外开放的网络服务器,如Web服务器、FTP服务器、E-mail服务器以及DNS服务器等可以放置在屏蔽子网中。为了使内部用户能够仿问Internet,在屏蔽子网上设置一个堡垒主机,提供代理服务器功能。这样,既可以使外部用户能方便浏览开放的信息服务、与内部网用户交换邮件等,又防止了外部用户攻击内部网,篡改数据或破坏系统。在这种网络安全体系结构中,入侵者想要攻击内部网,必须连续地攻破外部分组过滤器、代理服务器和内部分组过滤器等三道防火墙。即使高明的黑客也是相当困难的。
合理地配置防火墙可以防御多种网络攻击,例如:
(1)在防火墙中配置多块网卡,不同的网卡对应于不同的网段,通过将网卡与对应网段绑定,可以防御IP地址欺骗的攻击。
(2)在防火墙中阻塞ICMP报文,只允许某些类型(如回应请求类型)的ICMP报文通过,可以防御“Ping Of death”之类的攻击。
(3)在防火墙中阻塞ActiveX和Java Applets程序,可以防御恶意程序对内部主机进行攻击。
(4)在防火墙中使用NAT功能,所有从防火墙流出的IP数据包的源地址均为防火墙上保留的合法IP地址,不仅可以使内部主机共享有限的 Internet IP地址,而且能够隐藏内部网络信息。
(5)在防火墙中使用认证功能,可以对主机地址、网卡地址和主机名进行认证,还可以对用户身份进行认证,例如采用口令认证、RADIUS认证以及硬件参与认证等,可以防御地址欺骗、身份假冒等攻击。
另外,对于处于不同地理位置上的内部网通过Internet交换信息时,可以采用VPN技术来解决信息传输过程中的数据机密性和数据完整性问题。在这种情况下,应当在屏蔽子网设置一个VPN网关,两个内部网之间通过VPN网关建立一个安全的传输隧道,实现数据安全传输。这意味着可信的外部用户只能迈过VPN隧道穿越内部网的防火墙,而在建立VPN隧道时,双方的身份是经过认证的,都是可信的用户。
第12页(共14页)4.3安全策略设计
在图6所示的网络安全系统结构中,设有3个防火墙:外部分组过滤器(由外部屏蔽路由器提供)、内部分组过滤器(由内部屏蔽路由器提供)和代理服务器(由堡垒主机提供)。根据网络应用的安全需求,必须分别为它们设计安全策略和规则。
(1)外部分组过滤器:外部分组过滤的缺省规则为禁止所有服务。主机规则为允许外部用户访问屏蔽子网中开放的服务器(如 Web服务器、FTP服务器等),允许外部用户连接安全代理服务器。每次连接都要产生日志记录,供以后安全审计使用。
(2)内部分组过滤器:内部分组过滤的缺省规则为禁止所有服务。主机规则为允许内部用户连接屏蔽子网中的主机。每次连接都要产生日志记录。通过地址转换功能,使所有使用内部IP地址的用户都能共用一个合法外都IP地址访问外部网络(如Internet)。
(3)代理服务器:代理服务器的缺省规则为禁止听有连接.它允许内部用户访向外部网络的web站点,并提供代理功能,对所代理的连接进行安全检查,禁止内部用户访问非法站点,并产生日志记录。它还为内部邮件服务器与外部邮件服务器之间的连接提供代理。对邮件的大小、数量,发送者、接收者,甚至内容进行检查,并产生日志记录。它在代理 Telnet和 FTP内部服务器时,要求验证用户的身份,允许合法用户以规定的权限上载和下载服务器中的文件,并产生日志记录。
为了支持防火墙的系统配置、规则设置、日志查看和安全审计等管理操作,一般的防火墙产品都提供一种图形化界面的管理软件。在完成网络体系结构设计和各个防火墙的安全策略设计后,便可以着手配置各个防火墙的系统参数和安全规则。在网络应用和网络体系结构发生变化时,应当及时修改防火墙的安全策略,避免可能产生的安全漏洞。在防火墙工作过程中,可以通过管理软件监视防火墙的日志信息,定期进行安全审计,及时发现系统可能存在的安全漏洞,入侵者的攻击行为以及其他违反安全规则的行为,为网络安全管理提供决策依据。结束语
第13页(共14页)本论文主要研究防火墙技术的应用,从防火墙的简单概述展开,描述了防火墙的四种技术,防火墙的应用模式。最后,阐述了防火墙的应用设计。旨在展望网络安全,即防火墙技术的未来状况。
参 考 文 献
[1] 蔡皖东.网络与信息安全[M].西安:西北工业大学出版社,2004.[2] 魏利华.防火墙技术研究[J].淮阴工业学院学报:计算机科学技术版,2003,38(4):21-33.[3] 蒋建春,冯登国.网络入侵检测技术原理与技术[M].北京:国防工业出版社,2005.[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.[5] 刘克龙,蒙杨.一种新型的防火墙系统[J].淮阴工业学院学报:计算机科学技术版,2005,46(6):11-14.[6] 张凡,李丹灵.网络信息安全的真相[J].深圳大学学报:计算机科学技术版,2006,24(5):12-19.[7] 陈功富.现代计算机网络技术[M].北京:电子工业出版社,2005.[8] 邓吉,柳靖.黑客防攻实战详解[M].北京:电子工业出版社,2006.[9] 郭鑫.防黑档案[M].北京:电子工业出版社.2003.[10]薛静锋.入侵检测技术[M].机械工业出版社,2004.[11]邓亚平.计算机网络安全[M].北京:人民邮电出版社.2004.[12]李涛.网络安全概论[M].北京:电子工业出版社.2004.Application of Firewall technology
Guo Li Abstract:To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words:Firewall;Firewall technology;Firewall application pattern;Firewall using design
第14页(共14页)
点击咨询 