第一篇：防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

摘要：文中通過分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu)和對網(wǎng)絡(luò)安全的要求，在歸納了防火墻和入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的防御功能的基礎(chǔ)上，提出了將防火墻和入侵檢測系統(tǒng)運用到電力企業(yè)信息網(wǎng)絡(luò)的具體方案，并對相關(guān)技術(shù)和網(wǎng)絡(luò)安全體系的建設(shè)進行了討論。

0 引言

當(dāng)前，電力系統(tǒng)已基本形成了自己的生產(chǎn)過程自動化和管理現(xiàn)代化信息網(wǎng)絡(luò)，并在實際生產(chǎn)和管理中發(fā)揮著巨大的作用。隨著全球信息化的迅猛發(fā)展，電力系統(tǒng)必將加強與外部世界的信息交流，以提高生產(chǎn)和管理效率，開拓更廣闊的發(fā)展空間。然而，網(wǎng)絡(luò)開放也增加了網(wǎng)絡(luò)受攻擊的可能性。與外部網(wǎng)絡(luò)的連接必然面臨外來攻擊的威脅。對于關(guān)系到國計民生的電力系統(tǒng)而言，網(wǎng)絡(luò)安全必須作為一個重大戰(zhàn)略問題來解決。目前，防火墻技術(shù)作為防范網(wǎng)絡(luò)攻擊最基本的手段已經(jīng)相當(dāng)成熟，是抵御攻擊的第一道防線，入侵檢測系統(tǒng)(intrusion detective system，縮寫為IDS)作為新型的網(wǎng)絡(luò)安全技術(shù)，有效地補充了防火墻的某些性能上的缺陷，兩者從不同的角度以不同的方式確保網(wǎng)絡(luò)系統(tǒng)的安全。

本文首先分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu)，并結(jié)合其特點和對網(wǎng)絡(luò)安全的特殊要求，就如何有效地將防火墻和入侵檢測技術(shù)運用到電力企業(yè)信息網(wǎng)絡(luò)中進行探討。1 電力系統(tǒng)的信息網(wǎng)絡(luò)

電力系統(tǒng)的信息網(wǎng)絡(luò)[1]分為兩大模塊：監(jiān)控信息系統(tǒng)(supervisory information system，縮寫為 SIS)和管理信息系統(tǒng)(management information system，縮寫為MIS)。

SIS對生產(chǎn)現(xiàn)場進行實時監(jiān)控，從分布在生產(chǎn)現(xiàn)場的許多點采集數(shù)據(jù)，再由系統(tǒng)中的計算單元進行性能計算、故障診斷等，將結(jié)果存放到實時數(shù)據(jù)服務(wù)器，為生產(chǎn)現(xiàn)場實時提供科學(xué)、準(zhǔn)確的數(shù)據(jù)，以控制整個生產(chǎn)過程。SIS包括CRT監(jiān)控系統(tǒng)、DCS(數(shù)據(jù)通信系統(tǒng))、FCS(現(xiàn)場總線控制系統(tǒng))等子系統(tǒng)。

MIS的功能是實現(xiàn)企業(yè)自動化管理，包括若干子系統(tǒng)，分別實現(xiàn)生產(chǎn)經(jīng)營管理、財務(wù)和人事管理、設(shè)備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統(tǒng)，為管理人員提供智能支持，是企業(yè)管理規(guī)范化、科學(xué)化的基礎(chǔ)。

目前電力系統(tǒng)的信息網(wǎng)絡(luò)一般將SIS和MIS分做同一網(wǎng)絡(luò)中的兩個子網(wǎng)，并分別配置服務(wù)器，兩子網(wǎng)之間用網(wǎng)關(guān)連接，如圖1所示。

DPU(分散過程控制單元)從生產(chǎn)現(xiàn)場采集數(shù)并發(fā)送到高速數(shù)據(jù)網(wǎng)供DCS各工作站分析處理，同時為了保證SIS的網(wǎng)絡(luò)安全，SIS以太網(wǎng)通過網(wǎng)關(guān)與MIS服務(wù)器連接，作為MIS到SIS的入口并管理MIS對SIS的訪問。

SIS和MIS功能各異，對安全的要求也有所不同。SIS由于與現(xiàn)場生產(chǎn)息息相關(guān)，一旦遭到入侵，勢必影響生產(chǎn)甚至造成惡性事故，所以其安全性要求更高。現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)也充分體現(xiàn)了這一特點，對 SIS實施更高級別的保護。

當(dāng)局域網(wǎng)與外部網(wǎng)絡(luò)連接后，MIS要向外界提供服務(wù)，網(wǎng)絡(luò)面臨的威脅將空前廣泛、尖銳，這時原有的安全系統(tǒng)顯然過于單薄，必須在原有基礎(chǔ)上制定更嚴(yán)密、可靠的防御體系。

在安全的操作系統(tǒng)基礎(chǔ)上，防火墻結(jié)合IDS是一種較為理想的解決方案。2 防火墻

防火墻[2]是防范網(wǎng)絡(luò)攻擊最常用的手段，是構(gòu)造安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)工程。它通常被安置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點上，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離，強制所有內(nèi)部與外部之間的相互通信都通過這一節(jié)點，并按照設(shè)定的安全策略分析，限制這些通信，以達到保護內(nèi)部網(wǎng)絡(luò)的目的。

2．1 防火墻的體系結(jié)構(gòu)[3] 構(gòu)造防火墻時通常根據(jù)所要提供的服務(wù)、技術(shù)人員的技術(shù)、工程的性價比等因素采用多種技術(shù)的組合，以達到最佳效果。

目前常見的防火墻體系結(jié)構(gòu)有以下幾種：

a．雙重宿主主機體系結(jié)構(gòu)。在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間配置至少有兩個網(wǎng)絡(luò)接口的雙重宿主主機，接口分別與內(nèi)部、外部網(wǎng)絡(luò)相連，而主機則充當(dāng)網(wǎng)絡(luò)之間的路由器。這樣，內(nèi)部、外部網(wǎng)絡(luò)的計算機之間的IP通信完全被阻隔，只能通過雙重宿主主機彼此聯(lián)系。

b．屏蔽主機體系結(jié)構(gòu)。這種結(jié)構(gòu)的防火墻由路由器和堡壘主機構(gòu)成，路由器設(shè)置在內(nèi)部、外部網(wǎng)絡(luò)之間，實現(xiàn)數(shù)據(jù)包過濾。堡壘主機設(shè)置在內(nèi)部網(wǎng)絡(luò)中，外部網(wǎng)絡(luò)的計算機必須連接到堡壘主機才能訪問內(nèi)部網(wǎng)絡(luò)。

c．屏蔽子網(wǎng)體系結(jié)構(gòu)。利用兩個路由器(內(nèi)部路由器和外部路由器)將內(nèi)部網(wǎng)絡(luò)保護到更深一層，而在兩個路由器之間形成一個虛擬網(wǎng)絡(luò)，稱之為周邊網(wǎng)絡(luò)，堡壘主機連接在周邊網(wǎng)絡(luò)上，通過外部路由器與外部網(wǎng)絡(luò)相連。這樣，如果入侵者突破了外層的防火墻，甚至侵入堡壘主機，內(nèi)部網(wǎng)絡(luò)依然安全。

2．2 電力企業(yè)信息網(wǎng)防火墻的結(jié)構(gòu)設(shè)計

電力系統(tǒng)對安全性的高度要求，企業(yè)信息網(wǎng)絡(luò)的安全問題應(yīng)該予以格外關(guān)注。必須組建科學(xué)、嚴(yán)密的防火墻體系，為企業(yè)內(nèi)部網(wǎng)絡(luò)尤其是內(nèi)部網(wǎng)絡(luò)中的SIS子網(wǎng)提供高度的網(wǎng)絡(luò)安全。

電力企業(yè)內(nèi)部網(wǎng)絡(luò)由兩個安全級別不同的子網(wǎng) MIS和SIS構(gòu)成，其中SIS對安全要求更高，因此它僅向MIS提供服務(wù)而不直接與外部網(wǎng)絡(luò)相連，由 MIS向外界提供服務(wù)?；谶@個特點，防火墻宜采用屏蔽子網(wǎng)的體系結(jié)構(gòu)，如圖2所示。

MIS作為體系中的周邊網(wǎng)，SIS作為內(nèi)部網(wǎng)。設(shè)置兩臺屏蔽路由器，其中外部路由器設(shè)在MIS與外部網(wǎng)絡(luò)之間，內(nèi)部路由器設(shè)在SIS與MIS之間，對進出的數(shù)據(jù)包進行過濾。另外，堡壘主機連接在

MIS中，對外作為訪問的入口，對內(nèi)則作為代理服務(wù)器，使內(nèi)部用戶間接地訪問外部服務(wù)器。

應(yīng)該強調(diào)的是，MIS的堡壘主機極有可能受到襲擊，因為所有對內(nèi)部網(wǎng)絡(luò)的訪問都要經(jīng)過它，因此，在條件允許的情況下，可以在MIS中配置兩臺堡壘主機，當(dāng)一臺堡壘主機被攻擊而導(dǎo)致系統(tǒng)崩潰時，可以由另一臺主機提供服務(wù)，以保證服務(wù)的連續(xù)性。同時，在MIS中配置一臺處理機，與內(nèi)部路由器組成安全網(wǎng)關(guān)，可以作為整個防火墻體系的一部分，控制MIS向SIS的訪問以及對數(shù)據(jù)傳輸進行限制，提供協(xié)議、鏈路和應(yīng)用級保護。網(wǎng)關(guān)還應(yīng)考慮安全操作系統(tǒng)問題，Win2000[4]是一個可行的選擇。盡管可能還存在一些潛在的漏洞，Win2000依然是目前業(yè)界最安全的操作系統(tǒng)之一。由于SIS僅對MIS的固定用戶提供服務(wù)，同時考慮到SIS的安全要求，對網(wǎng)關(guān)的管理可以采取Client／Server方式，這樣雖然在實現(xiàn)上較Browser／Server方式復(fù)雜一些，但卻具有更強的數(shù)據(jù)操縱和事務(wù)處理能力，以及對數(shù)據(jù)的安全性和完整性的約束能力。2．3 防火墻的缺陷

盡管防火墻在很大程度上實現(xiàn)了內(nèi)部網(wǎng)絡(luò)的安全，但它的以下幾個致命的缺陷使得單一采用防火墻技術(shù)仍然是不可靠的。

a．無法防范病毒。雖然防火墻對流動的數(shù)據(jù)包進行嚴(yán)格的過濾，但針對的是數(shù)據(jù)包的源地址、目的地址和端口號，對數(shù)據(jù)的內(nèi)容并不掃描，因此對病毒的侵入無能為力。

b．無法防范內(nèi)部攻擊。從防火墻的設(shè)計思想來看，防范內(nèi)部攻擊從來就不是它的任務(wù)，它在這方面是一片空白。

c．性能上的限制。防火墻只是按照固定的工作模式來防范已知的威脅，從這一點來說，防火墻雖然“勤懇”，但是過于“死板”。

所以，安裝了防火墻的系統(tǒng)還需要其他防御手段來加以充實。3 IDS IDS(入侵檢測系統(tǒng))是一種主動防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，在功能上彌補了防火墻的缺陷，使整個安全防御體系更趨完善、可靠。

3．1 入侵檢測原理與實踐

IDS以檢測及控制[5]為基本思想，為網(wǎng)絡(luò)提供實時的入侵檢測，并采取相應(yīng)的保護措施。它的設(shè)計原理一般是根據(jù)用戶歷史行為建立歷史庫，或者根據(jù)已知的入侵方法建立入侵模式，運行時從網(wǎng)絡(luò)系統(tǒng)的諸多關(guān)鍵點收集信息，并根據(jù)用戶行為歷史庫和入侵模式加以模式匹配、統(tǒng)計分析和完整性掃描，以檢測入侵跡象，尋找系統(tǒng)漏洞。

IDS一般分為基于主機的IDS和基于網(wǎng)絡(luò)的IDS兩種?；谥鳈C的IDS其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，用于保護關(guān)鍵應(yīng)用的服務(wù)器；基于網(wǎng)絡(luò)的IDS輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。目前的入侵檢測產(chǎn)品通常都包括這兩個部件。

在實踐中，IDS一般分為監(jiān)測器和控制臺兩大部分。為了便于集中管理，一般采用分布式結(jié)構(gòu)，用戶在控制臺管理整個檢測系統(tǒng)、設(shè)置監(jiān)測器的屬性、添加新的檢測方案、處理警報等。監(jiān)測器部署在網(wǎng)絡(luò)中的關(guān)鍵點，如內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點、需重點保護的工作站等，根據(jù)入侵模式檢測異常行為，當(dāng)發(fā)現(xiàn)入侵時保存現(xiàn)場，并生成警報上傳控制臺。3．2 在電力企業(yè)信息網(wǎng)中運用IDS 電力企業(yè)的安全涉及國家安全和社會穩(wěn)定，建議盡可能使用國產(chǎn)檢測系統(tǒng)，如北京中科網(wǎng)威“天眼”入侵檢測系統(tǒng)[6]清華紫光Unis入侵檢測系統(tǒng)等，這些產(chǎn)品在技術(shù)上已相當(dāng)成熟，且在不斷升級。

安裝IDS的關(guān)鍵步驟是部署檢測器與控制臺。針對電力企業(yè)網(wǎng)絡(luò)的特點，首先，可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測器(如圖3所示)，以監(jiān)測異常的入侵企圖。在防火墻與MIS之間部署監(jiān)測器，以監(jiān)視和分析MIS與外部網(wǎng)絡(luò)的通信流。然后，分別在MIS和SIS中部署一臺監(jiān)測器，監(jiān)視各子網(wǎng)的內(nèi)部情況；控制臺設(shè)置在MIS中。最后，根據(jù)實際情況為個別需重點保護的服務(wù)器、工作站安裝基于主機的入侵檢測軟件，保護重要設(shè)備。

安裝IDS后，更具挑戰(zhàn)性的工作就是有效地運行IDS。防火墻在測試和設(shè)置后便開始工作了，而 IDS則不同。IDS提供實時檢測需要管理員“實時”地配合，管理員要做好處理各種警報的準(zhǔn)備工作；在系統(tǒng)發(fā)出警報時要判斷是否誤報，正確處理警報，決定是否關(guān)閉系統(tǒng)或是繼續(xù)監(jiān)視入侵者以收集證據(jù)等，都需要管理員就地解決。只有管理員及時采取恰當(dāng)?shù)奶幚矸椒?，才能真正發(fā)揮IDS的功效。4 安全體系的運作與后期擴充

雖然防火墻的防護是被動的，而IDS是實時的，但安全體系(包括各單一主機自身的安全體系)是作為一個整體協(xié)同運作的。目前的主機和網(wǎng)絡(luò)設(shè)備都具有完備的安全審計功能，IDS可以充分利用系統(tǒng)的網(wǎng)絡(luò)日志文件作為必要的數(shù)據(jù)來源，而當(dāng) IDS發(fā)現(xiàn)可疑行為時又需要其他主機或防火墻采取相應(yīng)的保護措施，例如通知防火墻對可疑IP地址發(fā)來的數(shù)據(jù)包進行過濾等。

當(dāng)然，從技術(shù)方面來說，網(wǎng)絡(luò)安全所涉及的范圍是相當(dāng)廣泛的，包括安全的操作系統(tǒng)、防火墻、安全審計、入侵檢測、身份認(rèn)證、信息加密、安全掃描、災(zāi)難恢復(fù)等。防火墻結(jié)合IDS只是形成了安全體系基本內(nèi)容，還需要在系統(tǒng)運行中運用多種技術(shù)不斷充實安全體系的功能，例如在系統(tǒng)中配置掃描器，定期進行風(fēng)險評估和查找漏洞，升級防火墻或者向IDS中添加新的攻擊方式等。同時，任何防御體系都不可能保證系統(tǒng)的絕對安全，必須不斷提高系統(tǒng)管理人員的技術(shù)水平，密切關(guān)注網(wǎng)絡(luò)安全的發(fā)展動態(tài)，及時升級網(wǎng)絡(luò)防御系統(tǒng)，提高系統(tǒng)的防御能力。5 結(jié)語

當(dāng)前，電力企業(yè)正以原有設(shè)施為基礎(chǔ)，構(gòu)建企業(yè)與電力公司、企業(yè)與企業(yè)間的信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全是一個不可忽視的問題。防火墻與入侵檢測技術(shù)相結(jié)合，為網(wǎng)絡(luò)安全體系提供了一個良好的基礎(chǔ)，對保障系統(tǒng)安全發(fā)揮不可忽視的作用。當(dāng)然，完備的安全體系還需要其他多種安全技術(shù)從功能上進一步完善，同時，安全問題不僅是一個技術(shù)問題，也是一個系統(tǒng)工程，需從組織管理、法律規(guī)范等多方面予以支持。H-2002-5

〖關(guān)閉本頁〗

第二篇：防火墻技術(shù)在企業(yè)財務(wù)管理系統(tǒng)中的應(yīng)用

防火墻技術(shù)在企業(yè)財務(wù)管理系統(tǒng)中的應(yīng)用

2010-06-10 09:02:02 作者：韓曉 來源：萬方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù) 關(guān)鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務(wù)器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等，其中應(yīng)用最為廣泛、實用性最強、效果最好的就是防火墻技術(shù)。本文就防火墻技術(shù)在財務(wù)管理信息系統(tǒng)中的應(yīng)用進行較為深入的探討。

1、防火墻技術(shù)

1.1防火墻的基本概念

防火墻是保護內(nèi)部網(wǎng)絡(luò)安全的一道防護墻。從理論上講，網(wǎng)絡(luò)防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護網(wǎng)內(nèi)，財務(wù)上主要用于保護計算機和服務(wù)器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是1組硬件設(shè)備(路由器、主機)和軟件的多種組合，而從本質(zhì)上看防火墻是1種保護裝置，用來保護網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽，從技術(shù)上來說，網(wǎng)絡(luò)防火墻是1種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安壘的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，所以防火墻是一道門檻，控制進出2個方向的通信，防火墻主要用來保護安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的鏈接來源，服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶進入內(nèi)部網(wǎng)絡(luò)；(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡(luò)地址變換)的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來。用來緩解地址空間短缺的問題；(4)可以連接到1個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署www.004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉(zhuǎn)載請務(wù)必注明出處，違者本網(wǎng)將依法追究責(zé)任。

第三篇：防火墻與入侵檢測技術(shù)的聯(lián)動

山西xxxxxxxx學(xué)院

畢 業(yè) 論 文（設(shè)計）

防火墻與入侵檢測技術(shù)的聯(lián)動

———————————————————

論文指導(dǎo)教師姓名：

（職稱）

所在系及專業(yè)名稱： 計算機系計算機網(wǎng)絡(luò)技術(shù)

班級：

論文提交日期： 2011年

月

日 論文答辯日期：

****年**月**日

答辯委員會主席：_____________

評 閱 人：_____________ 年 月 日

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

論文題目：防火墻與入侵檢測技術(shù)的聯(lián)動 專 業(yè)：計算機網(wǎng)絡(luò)技術(shù)

畢 業(yè) 生： 簽名： 指導(dǎo)教師： 簽名：

摘 要

網(wǎng)絡(luò)的迅猛發(fā)展在給人們帶來巨大的便利的同時，也給人們帶來了眾多的煩惱。防火墻與入侵檢測的聯(lián)動，使安全防御體系由靜態(tài)防御升級為動態(tài)防御,提高了網(wǎng)絡(luò)的整體防御能力，體現(xiàn)了網(wǎng)絡(luò)安全的整體性和動態(tài)性，具有重要的研究意義和實用價值。

本文在深入研究和分析現(xiàn)有聯(lián)動模型的基礎(chǔ)上，結(jié)合它們的優(yōu)點，并考慮聯(lián)動系統(tǒng)的可實現(xiàn)性、易用性和可擴展性，設(shè)計并實現(xiàn)了NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測聯(lián)動模型。

本文首先介紹了課題研究的背景，并對目前代表性的聯(lián)動技術(shù)進行了研究。接著根據(jù)聯(lián)動系統(tǒng)的功能組成，分別分析了防火墻技術(shù)、入侵檢測技術(shù)和聯(lián)動技術(shù)，為 NSS 防火墻與入侵檢測聯(lián)動模型的設(shè)計與實現(xiàn)打下了堅實的理論基礎(chǔ)。

其次，本文從功能角度詳細(xì)描述了 NSS 聯(lián)動模型各模塊的詳細(xì)設(shè)計包括各主要模塊的設(shè)計思想、體系結(jié)構(gòu)和具體軟件配置等。

關(guān)鍵詞：防火墻，入侵檢測，聯(lián)動，分析，動態(tài)規(guī)則，SSL

目錄 緒論..............................................................................................................................................4

1.1 研究背景.......................................................................................................................4

1.1.1 網(wǎng)絡(luò)安全現(xiàn)狀...................................................................................................4 1.1.2 本文研究內(nèi)容及結(jié)構(gòu)安排...............................................................................5 防火墻與入侵檢測聯(lián)動技術(shù)分析.........................................................................................6

2.1

防火墻技術(shù)分析............................................................................................................6

2.1.1 防火墻簡介.....................................................................................................6 2.1.2 防火墻關(guān)鍵技術(shù).............................................................................................6 2.1.3 防火墻發(fā)展趨勢.............................................................................................7 2.2 入侵檢測技術(shù)分析.......................................................................................................7

2.2.1 入侵檢測系統(tǒng).................................................................................................7 2.2.2 入侵檢測分析手段.........................................................................................8 2.2.3 入侵檢測系統(tǒng)分類.........................................................................................8 NSS聯(lián)動技術(shù)的設(shè)計與實施分析............................................................................................10 3.1 聯(lián)動產(chǎn)生的背景.......................................................................................................10 3.2 聯(lián)動模型的設(shè)計目標(biāo)和設(shè)計思想...........................................................................10 3.2.1 NSS 聯(lián)動模型的設(shè)計目標(biāo)...........................................................................10 3.2.2 NSS 聯(lián)動模型的設(shè)計思想.............................................................................11 3.3 NSS 聯(lián)動模型的基本設(shè)計.........................................................................................11 3.4 NSS 聯(lián)動模型各模塊的具體設(shè)計.............................................................................12 3.4.1 入侵檢測系統(tǒng)模塊.........................................................................................12 3.4.2 防火墻模塊...................................................................................................13 3.4.3 聯(lián)動模塊.........................................................................................................14 3.4.4 管理控制模塊.................................................................................................15 4 總結(jié)與展望.............................................................................................................................16

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文 緒論

1.1 研究背景

1.1.1 網(wǎng)絡(luò)安全現(xiàn)狀

通信技術(shù)和計算機技術(shù)的迅猛發(fā)展，給 IT 及相關(guān)行業(yè)注入了新的生機和活力,給社會生產(chǎn)、生活方式帶來了革命性的影響。眾多的企業(yè)、組織、政府部門與機構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到 Internet 上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。網(wǎng)絡(luò)已經(jīng)成為社會和經(jīng)濟發(fā)展強大動力，其地位越來越重要，已經(jīng)成為國家的經(jīng)濟基礎(chǔ)和命脈。但是伴隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全的問題也越來越嚴(yán)重，網(wǎng)絡(luò)入侵及安全事件更是頻繁發(fā)生。

網(wǎng)絡(luò)面臨的主要威脅主要來自下面幾方面: 1.黑客的攻擊

黑客對于大家來說，不再是一個高深莫測的人物，黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展，目前，世界上有 20 多萬個黑客網(wǎng)站，這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而系統(tǒng)、站點遭受攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，是網(wǎng)絡(luò)安全的主要威脅。

2.管理的欠缺

網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機構(gòu)及用戶免受攻擊的重要措施。事實上，很多企業(yè)、機構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團體ITAA 的調(diào)查顯示，美國90%的IT企業(yè)對黑客攻擊準(zhǔn)備不足。目前，美國75%－85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中 25%的企業(yè)損失在25萬美元以上。

3.網(wǎng)絡(luò)的缺陷

因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的

TCP/IP 協(xié)議族，缺乏相應(yīng)的安全機制，而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會 因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。

4.軟件的漏洞或“后門” 隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存

在，比如我們常用的操作系統(tǒng)，無論是 Windows 還是 UNIX 幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。大家熟悉病毒大都是利用微軟系統(tǒng)的漏洞給企業(yè)造成巨大損失,可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞,這也是網(wǎng)絡(luò)安全的主要威脅之一。

5.網(wǎng)絡(luò)內(nèi)部攻擊

防火墻安全策略的設(shè)置的一個基本假設(shè)是，網(wǎng)絡(luò)的一邊即外部的人是不可信的，另一邊即內(nèi)部是可信的，但在實際網(wǎng)絡(luò)中，據(jù)統(tǒng)計70%的攻擊和越權(quán)訪問來自與內(nèi)部，內(nèi)部人員的不當(dāng)操作和惡意行為已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅之一。

1.1.2 本文研究內(nèi)容及結(jié)構(gòu)安排

第一章：緒論。

首先介紹了本文的研究背景和內(nèi)容現(xiàn)狀，概述了網(wǎng)絡(luò)安全的現(xiàn)狀。最后介紹了本文的研究內(nèi)容和結(jié)構(gòu)安排。

第二章：聯(lián)動技術(shù)及理論分析。

本章首先對防火墻和入侵檢測進行了基本的闡述，然后分析研究了當(dāng)前防火墻與入侵檢測技術(shù)及發(fā)展趨勢其理論模型，為 NSS（Netfilter-Snort-Stunnel）聯(lián)動模型設(shè)計和實施打下了堅實的理論基礎(chǔ)。

第三章：NSS 聯(lián)動模型的設(shè)計與實施分析。

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

本章在第二章對防火墻與入侵檢測聯(lián)動方式的研究分析基礎(chǔ)上，結(jié)合現(xiàn)有聯(lián)動模型的優(yōu)點，著重對防火墻與入侵檢測之間的整合方式進行了探討，設(shè)計了NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測系統(tǒng)聯(lián)動模型，并給出了模型的體系結(jié)構(gòu)圖。第四章：聯(lián)動系統(tǒng)與陷阱系統(tǒng)有機整合 本章結(jié)合實際，對防火墻與入侵檢測系統(tǒng)聯(lián)動模型在實際網(wǎng)絡(luò)中的應(yīng)用進行了研究，著重研究了聯(lián)動系統(tǒng)與陷阱系統(tǒng)有機整合以實現(xiàn)更加全面的縱深防御體。第五章：總結(jié)和展望。對全文的主要工作進行了總結(jié)，并對未來的工作進行了展望。防火墻與入侵檢測聯(lián)動技術(shù)分析 2.1

防火墻技術(shù)分析

2.1.1 防火墻簡介

在計算機科學(xué)中，防火墻是指位于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間并對經(jīng)過其間的網(wǎng)絡(luò)流量進行檢查的網(wǎng)絡(luò)安全設(shè)備，其核心思想是通過監(jiān)測和控制網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，在信任程度不同的網(wǎng)絡(luò)之間（如Internet 或有著一定風(fēng)險的局域網(wǎng)之間）構(gòu)造一個相對安全的子網(wǎng)環(huán)境，其中被保護的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。典型防火墻系統(tǒng)應(yīng)具有以下幾個方面的特征：

1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。2.只有符合安全策略的數(shù)據(jù)流才能通過防火墻。3.防火墻能經(jīng)受得起對其本身的攻擊。

2.1.2 防火墻關(guān)鍵技術(shù)

1.數(shù)據(jù)包過濾(Packet Filtering)

數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置 的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。

2.狀態(tài)檢測(State Detecting)狀態(tài)檢測防火墻在不斷開C/S的模式的前提下，提供一個完全的應(yīng)用層感知。在狀態(tài)檢測防火墻里，信息包在網(wǎng)絡(luò)層就被截取了，然后，防火墻從接收到的數(shù)據(jù)包中提取與安全策略相關(guān)的狀態(tài)信息，并將這些信息保存在一個動態(tài)狀態(tài)表中，用于驗證后續(xù)的連接請求。

3.代理服務(wù)(Proxy)代理服務(wù)(Proxy)是運行在防火墻上的一種服務(wù)器程序，防火墻主機可以是一個具有兩個網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一個堡壘主機。代理服務(wù)器(ProxyServer)作用在應(yīng)用層上，它用來提供應(yīng)用層服務(wù)的控制，利用代理服務(wù)器起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用。

2.1.3 防火墻發(fā)展趨勢

防火墻從技術(shù)發(fā)展上來看，提高性能和采用模塊化設(shè)計是主要方向。防火墻處理能力的提高主要集中在兩個方面，硬件結(jié)構(gòu)的優(yōu)化和軟件算法的更新。硬件結(jié)構(gòu)的優(yōu)化是走向軟硬件一體化，充分發(fā)揮硬件最高效能，又提高系統(tǒng)自身的安全性。功能設(shè)計的模塊化提高了防火墻的適應(yīng)能力，處理能力提高是追求防火墻性能的線速處理能力，達到對整個會話過曾中所有傳輸內(nèi)容進行檢查。審計報告也向智能化方向發(fā)展，在報告的基礎(chǔ)上對整個網(wǎng)絡(luò)安全狀況進行全盤的把握，并進行總結(jié)改進，依據(jù)充分的日志記錄，為用戶提供詳細(xì)又靈活的使用情況分析報告，為網(wǎng)絡(luò)管理人員提供一個全局的視角。網(wǎng)絡(luò)安全不能單一的依靠防火墻，而應(yīng)與其他安全技術(shù)相融合。所以與入侵檢測、防病毒技術(shù)、反垃圾郵件技術(shù)、信息加密技術(shù)的協(xié)同聯(lián)動，形成一個立體全面的網(wǎng)絡(luò)安全防御體系，也是未來防火墻的一個發(fā)展趨勢。

2.2 入侵檢測技術(shù)分析

2.2.1 入侵檢測系統(tǒng)

實施入侵檢測的系統(tǒng)稱為入侵檢測系統(tǒng)(IDS)。衡量入侵檢測系統(tǒng)的兩個基

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

本指標(biāo)為檢測率和誤報率，兩者分別從正、反兩方面表明檢測系統(tǒng)的檢測準(zhǔn)確性和有效性。實用的入侵檢測系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的檢測率而降低誤報率，但在實際的檢測系統(tǒng)中這兩個指標(biāo)存在一定的矛盾，實現(xiàn)上需要綜合考慮。除檢測率和誤報率外，在實際設(shè)計和實現(xiàn)具體的入侵檢測系統(tǒng)時還應(yīng)考慮操作方便性、抗攻擊 能力、系統(tǒng)開銷大小、可擴展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實時性等。從系統(tǒng)組成上看，入侵檢測系統(tǒng)一般由三個部分組成：數(shù)據(jù)采集、入侵檢測、入侵響應(yīng)。

2.2.2 入侵檢測分析手段

目前，IDS 分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析：特征匹配、統(tǒng)計分析、完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則常用于事后分析。

1.特征匹配

特征匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。

2.完整性分析

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖淮鄹?，包括文件和目錄的?nèi)容及屬性。它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。

3.統(tǒng)計分析

統(tǒng)計分析首先給信息對象（如用戶、連接、文件、目錄和設(shè)備等）創(chuàng)建一個

統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、讀寫次數(shù)、操作失敗 次數(shù)和延時等）。

2.2.3 入侵檢測系統(tǒng)分類

從入侵檢測系統(tǒng)所采用的分析技術(shù)來看，它可以分為采用異常檢測的入侵檢測系統(tǒng)和采用誤用檢測的入侵檢測系統(tǒng)。1.誤用檢測(Misuse Detection)誤用檢測是指根據(jù)已知入侵所獨有的模式或特征，監(jiān)視特定目標(biāo)的特定行為，通過對檢測數(shù)據(jù)的模式匹配來進行的檢測。誤用檢測的關(guān)鍵是如何發(fā)現(xiàn)并表

達入侵獨有的模式或特征，把真正的入侵與正常行為區(qū)分開來。誤用檢測的優(yōu)點是可明確地指出入侵的類型，誤報少，準(zhǔn)確性高。而局限性是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。誤用檢測模型如圖 2.1 所示。

2.異常檢測(Anomaly Detection)異常檢測假設(shè)入侵者活動異常于正常的活動。為實現(xiàn)該類檢測，IDS 建立正?；顒拥摹耙?guī)范集(Normal profile)”，當(dāng)主體的活動違反其統(tǒng)計規(guī)律時，認(rèn)為可能是“入侵”行為。異常檢測的優(yōu)點之一為具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

常用的入侵檢測統(tǒng)計模型為：操作模型、方差、計算參數(shù)的方差、多元模型、馬爾柯夫過程模型和時間序列分析。統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的 使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機 會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。異常檢測的模型如圖 2.2 所示。

2.2.4 入侵檢測技術(shù)發(fā)展趨勢

入侵檢測在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測方法，如數(shù)據(jù)融合技術(shù)、主動的自主代理方法、智能技術(shù)以及免疫學(xué)原理的應(yīng)用。其主要的發(fā)展方向可概括為:

1.大規(guī)模分布式入侵檢測 2.寬帶高速網(wǎng)絡(luò)的實時入侵檢測 3.入侵檢測的數(shù)據(jù)融合技術(shù) 4.與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合 NSS聯(lián)動技術(shù)的設(shè)計與實施分析

3.1 聯(lián)動產(chǎn)生的背景

真正的網(wǎng)絡(luò)安全應(yīng)該是一個綜合的、動靜結(jié)合的、關(guān)聯(lián)互動的安全體系。不但應(yīng)有多種相關(guān)技術(shù)的有機集成，也應(yīng)該有多種安全產(chǎn)品之間的動態(tài)聯(lián)動，若僅僅是相關(guān)安全產(chǎn)品的簡單疊加是遠遠不夠的。正因如此，聯(lián)動思想應(yīng)運而生，并逐漸成為網(wǎng)絡(luò)安全研究的熱點。

3.2 聯(lián)動模型的設(shè)計目標(biāo)和設(shè)計思想

3.2.1 NSS 聯(lián)動模型的設(shè)計目標(biāo)

一個有效的聯(lián)動模型需要考慮和解決以下問題： 1.聯(lián)動的有效性

針對具體入侵行為，聯(lián)動系統(tǒng)所采取的響應(yīng)措施應(yīng)該能夠有效阻止入侵的延續(xù)和最大限度降低系統(tǒng)損失，這也是聯(lián)動的目的。

2.聯(lián)動的實時性

聯(lián)動的目標(biāo)是及時地采取措施以盡量降低入侵對系統(tǒng)造成的危害，需要盡可能地縮短入侵發(fā)現(xiàn)和響應(yīng)實施之間的時間窗口，即縮短響應(yīng)時間。這一方面要求 響應(yīng)決策和響應(yīng)執(zhí)行的計算復(fù)雜度不能太高，另一方面要求系統(tǒng)有預(yù)測攻擊者意圖的能力。

3.聯(lián)動系統(tǒng)自身的安全性

聯(lián)動系統(tǒng)的作用在于保護網(wǎng)絡(luò)及主機免遭非法入侵，顯然其自身的安全性是最基本的要求。安全性的要求使入侵響應(yīng)策略不能是簡單的靜態(tài)策略，而是能夠具有時效性和自刪除性。

3.2.2 NSS 聯(lián)動模型的設(shè)計思想

在 NSS 聯(lián)動模型中，防火墻作為網(wǎng)絡(luò)的第一道安全屏障，根據(jù)預(yù)先設(shè)定好的安全策略來控制網(wǎng)絡(luò)流量，并阻擋一部分外來的入侵。另外，入侵檢測系統(tǒng)時刻檢測網(wǎng)絡(luò)動態(tài)信息，一旦發(fā)現(xiàn)異常情況或者攻擊行為，便通過加密通道向聯(lián)動模塊發(fā)送告警信息，聯(lián)動模塊提取其中的重要信息（入侵事件類型、源地址、源端口、目的地址、目的端口）等，對其進行綜合分析，擬定合適的響應(yīng)策略發(fā)送給防火墻模塊，防火墻模塊根據(jù)接收到的控制信息添加阻斷規(guī)則以實現(xiàn)動態(tài)響應(yīng)。NSS 聯(lián)動模型中通過聯(lián)動模塊來進行防火墻模塊與入侵檢測模塊之間的信息交互。聯(lián)動模塊作為整個系統(tǒng)的核心的部分，需要對入侵告警信息進行綜合、分析、處理，并制定、調(diào)整相關(guān)的響應(yīng)策略。經(jīng)過聯(lián)動模塊的綜合分析，不僅能減少誤報率，防止對防火墻模塊造成 Dos 攻擊。而且可以減少安全組件間的通信流量，有效提高系統(tǒng)的性能。

3.3 NSS 聯(lián)動模型的基本設(shè)計

本章根據(jù)通用的安全聯(lián)動系統(tǒng)的決策流程，采用間接聯(lián)動、開放接口的方式設(shè)計了一種基于 Linux平臺的 NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測系統(tǒng)的聯(lián)動模型。并對聯(lián)動模型的主要的功能模塊的設(shè)計進行了詳細(xì)的分析 描述。NSS 聯(lián)動模型主要由四部分組成，分別為防火墻模塊，入侵檢測模塊，聯(lián)動模塊以及管理控制模塊。

圖 3.1 為 NSS 聯(lián)動模型的基本架構(gòu)圖。

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

3.4 NSS 聯(lián)動模型各模塊的具體設(shè)計

3.4.1 入侵檢測系統(tǒng)模塊

入侵檢測系統(tǒng)模塊主要完成入侵檢測、入侵告警及日志記錄等功能。入侵檢測系統(tǒng)模塊結(jié)構(gòu)如圖 3.2 所示，包括數(shù)據(jù)采集模塊、規(guī)則匹配模塊、入侵告警模塊和日志記錄模塊。

1.數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊截獲網(wǎng)絡(luò)數(shù)據(jù)包從而獲得網(wǎng)絡(luò)事件，并對事件進行預(yù)處理，以便規(guī)則匹配模塊進行進一步處理；

2.規(guī)則匹配模塊

規(guī)則匹配模塊采用誤用檢測的方法把從數(shù)據(jù)采集模塊中所獲得的事件記錄與規(guī)則庫中的規(guī)則一一匹配。

3.入侵告警模塊

此模塊負(fù)責(zé)按照規(guī)則匹配的結(jié)果生成入侵告警信息。該告警信息應(yīng)包括入侵發(fā)生時間、入侵種類、協(xié)議類型、入侵源 IP 地址與端口、入侵目的 IP 地址與端口等，為聯(lián)動做準(zhǔn)備。

4.日志記錄模塊

日志記錄模塊負(fù)責(zé)將入侵告警信息存入日志記錄庫，為進一步的分析入侵事件或日后取證提供必要的依據(jù)。

3.4.2 防火墻模塊

防火墻模塊主要負(fù)責(zé)執(zhí)行數(shù)據(jù)包處理的功能，并且根據(jù)聯(lián)動模塊發(fā)送的策略

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

響應(yīng)控制信息生成相應(yīng)的防火墻動態(tài)阻斷規(guī)則，以實現(xiàn)對網(wǎng)絡(luò)攻擊的實時阻斷。根據(jù)上述功能需求，我們設(shè)計了圖 3.4 所示防火墻模塊。該模塊包括控制信息解析子模塊、動態(tài)規(guī)則處理子模塊及數(shù)據(jù)包處理模塊。

1．控制信息解析模塊 2．動態(tài)規(guī)則處理模塊 3．?dāng)?shù)據(jù)包處理模塊 最后，為實現(xiàn)系統(tǒng)的完整性，還需開發(fā)防火墻系統(tǒng)的日志審計系統(tǒng)。日志審計系統(tǒng)包括響應(yīng)事件存儲數(shù)據(jù)庫及防火墻流量記錄數(shù)據(jù)庫，并提供顯示查詢的 WEB 接口，本文將這一部分功能集成到了管理控制模塊。

3.4.3 聯(lián)動模塊

聯(lián)動模塊是 NSS 模型最為重要的部分，它不僅承擔(dān)為入侵檢測系統(tǒng)模塊和防火墻模塊提供安全可信的信息交互通道，并且還需對入侵事件進行綜合分析和響應(yīng)決策。聯(lián)動模塊主要完成對入侵檢測系統(tǒng)生成的告警信息進行分類和優(yōu)先級標(biāo)定，然后根據(jù)不同的告警事件提供不同的響應(yīng)策略。另外，聯(lián)動模塊還負(fù)責(zé)信息交互的安全性。模塊間的信息交互需采用統(tǒng)一的格式，當(dāng)有入侵事件發(fā)生時，從入侵事件中提取相關(guān)信息，生成特定的控制信息，然后通過安全通信方式發(fā)送給防火墻。

針對聯(lián)動模塊的主要功能需求，我們分別加以闡述。1．聯(lián)動模塊的安全通信

由于防火墻對于防火墻與入侵檢測系統(tǒng)之間的通信，應(yīng)考慮以下問題： 1)交互的信息應(yīng)有標(biāo)準(zhǔn)的表示機制，并能夠支持?jǐn)U展。2)保證信息交互的安全性。3)應(yīng)該保證傳輸?shù)膶崟r性。

基于以上考慮，本文采取基于 XML [14]國際標(biāo)準(zhǔn)的信息格式進行控制信息的傳遞處理，底層通過 SSL [15]等加密方式對報文進行加密傳輸。

2．聯(lián)動模塊的策略管控

由于入侵檢測系統(tǒng)不可避免的存在誤報和漏報，所以若是對入侵檢測系統(tǒng)生成的入侵告警事件不加區(qū)分，一概發(fā)送給防火墻添加動態(tài)規(guī)則加以阻斷，這無疑會大大加重防火墻的負(fù)擔(dān)，浪費兩者之間寶貴的通信帶寬，實在是得不償失。并且攻擊者有可能利用入侵檢測誤報率高的弱點，不斷的發(fā)送攻擊數(shù)據(jù)包，入侵檢測系統(tǒng)不斷產(chǎn)生告警信息，則這就會對防火墻形成 Dos 攻擊。具體架構(gòu)如圖 3.3

3.4.4 管理控制模塊

管理控制模塊是用戶與系統(tǒng)的一個交互平臺，主要提供對聯(lián)動模塊的配置及

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

管理功能，日志審計功能等。管理控制模塊可以分為以下幾個子模塊：配置信息讀寫模塊，日志審計模塊，人工控制?？?。配置信息讀寫模塊：主要負(fù)責(zé)對聯(lián)動模塊的配置加以設(shè)和查看，包括聯(lián)動組件的 IP 地址設(shè)定、聯(lián)動模塊的加密通信的證書設(shè)定等。另外新聯(lián)動組件的加入或移除也需通過該模塊更改相關(guān)的配置。日志審計模塊：主要提供查看入侵告警日志及防火墻日志的功能，用戶可根據(jù)日志信息調(diào)整安全策略以因應(yīng)安全形勢的變化。人工控制模塊：根據(jù)實際需求更改、添加或刪除策略響應(yīng)，或者在遇到緊急情況下斷開聯(lián)動機制，實施人工干預(yù)，以保證系統(tǒng)安全?？偨Y(jié)與展望

當(dāng)前，單一的網(wǎng)絡(luò)安全防御技術(shù)已無法適應(yīng)網(wǎng)絡(luò)安全形勢的發(fā)展，急需多種安全技術(shù)整合構(gòu)建全面的防御體系。本文研究的防火墻與入侵檢測的聯(lián)動技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)的動態(tài)和全面安全防護，具有十分重要的現(xiàn)實意義。本文的主要工作有： 1.分析了聯(lián)動技術(shù)的研究現(xiàn)狀、對現(xiàn)存的代表性聯(lián)動技術(shù)進行了研究。對防火墻與入侵檢測聯(lián)動技術(shù)的關(guān)鍵技術(shù)進行了深入的研究和分析，著重對防火墻與入侵檢測的不同整合方式進行了探討和比較。2.結(jié)合現(xiàn)有聯(lián)動模型的優(yōu)點，設(shè)計了采用通用開放接口、間接聯(lián)動方式的 NSS（Netfilter-Snort-Stunnel）防火墻與入侵檢測系統(tǒng)聯(lián)動模型，并給出 了模型的體系結(jié)構(gòu)圖。然后從功能的角度對 NSS 聯(lián)動模型進行了劃分，并詳細(xì)介紹了各個模塊的體系結(jié)構(gòu)和功能設(shè)計。

3.詳細(xì)介紹和闡述了 NSS 聯(lián)動模型各模塊的實現(xiàn)細(xì)節(jié)，包括模塊架構(gòu)，具體算法，決策流程圖、信息交互格式及所需軟件的配置并附上一些模塊具體實現(xiàn)代碼。在入侵檢測模塊的實現(xiàn)中，針對入侵檢測誤報率高的問題提出了一個簡單的改進機制，并對告警信息的格式進行了定義。在今后的工作中要： 1.進一步完善 NSS 模型的入侵檢測系統(tǒng)的效率，減少誤報率。研究神經(jīng)網(wǎng)絡(luò)及其他智能檢測手段在入侵檢測系統(tǒng)中的應(yīng)用。

2.對事件分析，策略決策和響應(yīng)模型需進行更深入的研究，完善和優(yōu)化

NSS模型的策略決策與響應(yīng)流程。3.研究不同安全產(chǎn)品之間的數(shù)據(jù)交換標(biāo)準(zhǔn)。目前國際上還沒有安全產(chǎn)品間數(shù)據(jù)交互的通用標(biāo)準(zhǔn)，如何使防火墻、IDS、防病毒系統(tǒng)、VPN 等不同安全產(chǎn)品之間進行“無縫”的數(shù)據(jù)交換是困擾聯(lián)動技術(shù)發(fā)展的一大問題。4.繼續(xù)深入研究網(wǎng)絡(luò)安全縱深防御體系，并在防火墻與入侵檢測系統(tǒng)的聯(lián)動之外和其他的安全技術(shù)實現(xiàn)更加完善的整合。5.研究分布式防火墻與分布式入侵檢測系統(tǒng)的聯(lián)動模型，針對分布式的聯(lián)動模塊的策略決策與響應(yīng)進行深入的研究。

由于本人的水平與時間所限，許多工作還處于探索階段，論文中的疏漏與錯誤在所難免，敬請各位專家，老師，同學(xué)指正。謝謝！

山西財貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文

第四篇：防火墻技術(shù)在電子商務(wù)中的應(yīng)用

防火墻技術(shù)在電子商務(wù)中的應(yīng)用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務(wù)的概念及交易問題.....................................................(2)

（一）、什么是電子商務(wù)............................................................(2)(二)、電子商務(wù)的交易過程.................................................(2)

二、電子商務(wù)中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務(wù)中的信息安全問題及威脅.....................................(4)

三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)

四、防火墻的簡介與使用的益處.........................................(6)

五、防火墻常用技術(shù)和性能......................................................（11）

六、結(jié)論........................................................................(14)參考文獻........................................................................(14)

淺談防火墻技術(shù)在電子商務(wù)中的應(yīng)用

內(nèi)容摘要：防火墻技術(shù)作為保證電子商務(wù)活動中信息安全的第一道有效屏障，受到越來越多的關(guān)注。本文介紹了電子商務(wù)的概念、電子商務(wù)的交易過程、交易過程中的信息安全問題及威脅、重點介紹了電子商務(wù)交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機制的基礎(chǔ)。

關(guān)鍵詞：防火墻

電子商務(wù)

應(yīng)用 正文:

一、電子商務(wù)的概念及交易問題(一)什么是電子商務(wù)

電子商務(wù)源于英文Electronic Commerce，簡寫為EC。是指一個機構(gòu)利用信息和技術(shù)手段，改變其和供應(yīng)商、用戶、員工、合作伙伴、管理部門的互動關(guān)系，從而使自己變成為機動響應(yīng)、快速響應(yīng)、有效響應(yīng)的響應(yīng)性機構(gòu)。電子商務(wù)的核心是商務(wù)；本質(zhì)上是創(chuàng)造更多商機、提供更好商業(yè)服務(wù)的一種電子交易智能化手段。眼下，電子商務(wù)的含義已不僅僅是單純的電子購物，電子商務(wù)以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動（如商品服務(wù)的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費品營銷和售后服務(wù)）。它涉及產(chǎn)品（消費品和工業(yè)品）和服務(wù)（信息服務(wù)、財務(wù)與法律服務(wù)）；它包含了使用Internet和Web技術(shù)進行的所有的商務(wù)活動。

(二)、電子商務(wù)的交易過程

企業(yè)間電子商務(wù)交易過程大致可以分為交易前準(zhǔn)備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個階段。

(1)交易前的準(zhǔn)備

買賣雙方和參與交易的雙方在這一階段所作的簽約前的準(zhǔn)備活動。買方根據(jù)自己要買的商品，準(zhǔn)備購貨款，制訂購貨計劃，進行貨源的市場調(diào)查和分析，反復(fù)進行市場查詢，通過交換信息來比較價格和條件，了解各個賣方國家的貿(mào)易政策，反復(fù)修改購貨計劃和進貨計劃，確定和審批購貨計劃。利用Internet和各種電子商務(wù)網(wǎng)絡(luò)尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃，再按計劃確定購買商品的種類、規(guī)格、數(shù)量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品，進行全面的市場調(diào)查和分析，了解各個買方國家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進行宣傳，召開商品新聞發(fā)布會，利用Internet和各種電子商務(wù)網(wǎng)絡(luò)發(fā)布商品廣告等手段擴大影響，尋找貿(mào)易伙伴和交易機會，擴大貿(mào)易范圍和商品所占市場的份額。

參加交易的其他各方如中介、銀行金融機構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險、稅務(wù)系統(tǒng)、運輸公司等，買賣雙方都少不了要為電子商務(wù)交易做好準(zhǔn)備。

(2)交易談判和簽訂貿(mào)易合同

買賣雙方在這一階段利用電子商務(wù)系統(tǒng)對所有交易細(xì)節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設(shè)備和通信方法，經(jīng)過認(rèn)真談判和磋商后，將雙方在交易中的權(quán)利、所承擔(dān)的義務(wù)、所購買商品的種類、數(shù)量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細(xì)的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進行簽約，也可以通過數(shù)字簽名等方式簽約。

(3)辦理交易進行前的手續(xù)

買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準(zhǔn)備過程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險、稅務(wù)系統(tǒng)、運輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進行報關(guān)、保險、取證、信用卡等手續(xù)，然后賣方將所購商品交付給運輸公司包裝、起運、發(fā)貨。買賣雙方可以通過電子商務(wù)服務(wù)器跟蹤發(fā)出的貨物，金融機構(gòu)和銀行也按照合同，處理雙方收付款、并進行結(jié)算，出具相應(yīng)的銀行單據(jù)等，當(dāng)買方收到所購的商品，整個交易過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時，需要進行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進行索賠。

二、電子商務(wù)中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務(wù)安全是一個系統(tǒng)概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。其中交易的安全又是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。交易對安全性的要求有如下幾個方面：(1)有效性，因為交易對于交易雙方都是一件十分嚴(yán)肅的事情，雙方都對交易的信息認(rèn)可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡(luò)獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認(rèn)性，要求在交易信息的傳輸過程中為參與交易的個人，企業(yè)和國家提供可靠的標(biāo)識。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運行的可靠性要求保證電子商務(wù)參與者能在交易的過程始終能與交易對象進行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務(wù)的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務(wù)安全仍然是一個令人頭痛的問題，那么如何加強電子商務(wù)的安全呢？

防火墻可以保證對主機和應(yīng)用安全訪問，保證多種客戶機和服務(wù)器的安全性，保護關(guān)鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠程訪問的雇員、客戶、供應(yīng)商提供安全渠道。

與傳統(tǒng)商務(wù)相比，電子商務(wù)具有許多特點：

其一，電子商務(wù)是一種快速、便捷、高效的交易方式。在電子商務(wù)中，信息的傳遞通過網(wǎng)絡(luò)完成，速度很快，可以節(jié)省寶貴的交易時間。

其二，電子商務(wù)是在公開環(huán)境下進行的交易，其可以在全球范圍內(nèi)進行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場競爭。

其三，在電子商務(wù)中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務(wù)中的信息安全問題及威脅

1、電子商務(wù)的安全問題。總的來說分為二部分：一是網(wǎng)絡(luò)安全，二是商務(wù)安全。計算機網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)設(shè)備安全，計算機網(wǎng)絡(luò)系統(tǒng)安全，數(shù)據(jù)庫安 全，工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)安全則緊緊圍繞 傳統(tǒng)商務(wù)在Internet上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

2、電子商務(wù)面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來講，對外部威脅，安全性強調(diào)防御；對內(nèi)部威脅，安全性強調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序，它采用了獨特的設(shè)計，可以在受到某個事件觸發(fā)時，復(fù)制自身，并感染計算機。如果在病毒可以通過某個外界來源進入網(wǎng)絡(luò)時，網(wǎng)絡(luò)才會感染病毒。

(2)惡意破壞程序。網(wǎng)站會提供一些軟件應(yīng)用的開發(fā)而變得更加活潑。這些應(yīng)用可以實現(xiàn)動畫和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動性。惡意破壞程序是指會導(dǎo)致不同程度破壞的軟件應(yīng)用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡(luò)攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務(wù)（DOS）攻擊。a.探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網(wǎng)絡(luò)數(shù)據(jù)，用于以后進一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認(rèn)證服務(wù)、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡(luò)領(lǐng)域的漏洞，以訪問電子郵件賬號、數(shù)據(jù)庫和其他保密信息。c.DOS 攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問。

(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡(luò)進行數(shù)據(jù)傳輸都可能會被未經(jīng)授權(quán)的一方截取。犯罪分子可能會竊聽通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請的廣告信息的行為。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。

因此，隨著電子商務(wù)日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務(wù)發(fā)展的當(dāng)務(wù)之急。

三、防火墻的技術(shù)與體系結(jié)構(gòu)

（一）、什么是防火墻

防火墻是一個或一組在兩個網(wǎng)絡(luò)之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護內(nèi)部網(wǎng)絡(luò)資源不被可疑人侵?jǐn)_，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制,也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通訊。

（二）、使用防火墻的益處

(1)保護脆弱的服務(wù)

通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。防火墻可以定義不同的認(rèn)證方法，而不需要在每臺機器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

(3)控制對系統(tǒng)的訪問

防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。

(5)增強的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。并且，防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)。

四、防火墻的簡介與使用的益處

（一）、防火墻的簡介

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊。

防火墻是為防止非法訪問或保護專用網(wǎng)絡(luò)而設(shè)計的一種系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。所有的數(shù)據(jù)在進入或離開內(nèi)部網(wǎng)絡(luò)時都要經(jīng)過防火墻，防火墻會檢查每個數(shù)據(jù)包，并且阻止那些不符合指定安全標(biāo)準(zhǔn)的數(shù)據(jù)包。

一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網(wǎng)絡(luò)。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個非常重要的“點”，因為阻止點在網(wǎng)絡(luò)中的作用相當(dāng)于警衛(wèi)保衛(wèi)財產(chǎn)。

從理論上說，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個安全區(qū)到另一個安全區(qū)所采用的機制。國際標(biāo)準(zhǔn)化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。更重要的是要認(rèn)識到轉(zhuǎn)發(fā)機制所在的層次越低，防火墻的檢查就越少。

（1）應(yīng)用層防火墻

應(yīng)用層防火墻通常是代理服務(wù)器運行的主機，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時做詳細(xì)的記錄和檢查。由于代理應(yīng)用程序只是防火墻上運行的軟件，所以可在這做大量的記錄和訪問控制。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因為在應(yīng)用程序有效地偽裝初始連接的來源之后流量可以從一邊進入，另一邊出去。

在某些情況下，有一個應(yīng)用程序的方式可能會影響防火墻的性能，并可能會使防火墻降低透明度。早期的應(yīng)用層防火墻對終端用戶不是特別透明，并且還可能需要進行一些培訓(xùn)。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細(xì)化的審計報告，實行更保守的安全模型。

（2）網(wǎng)絡(luò)層防火墻

這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因為它不能做出復(fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標(biāo)和來源?，F(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會隨時關(guān)注通過防火墻的連接狀態(tài)的信息。

另一個重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時，你需要一個有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對于用戶來說幾乎是透明的。

未來的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。網(wǎng)絡(luò)層防火墻可能會逐漸意識到經(jīng)過它們的信息，應(yīng)用層防火墻可能會變得越來越透明。最終將會是一種在數(shù)據(jù)通過時進行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運行并監(jiān)控，其實硬件型也就是芯片里固化了的軟件，但是它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實在。

（二）、防火墻的體系結(jié)構(gòu)

防火墻對于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個不可缺少的基礎(chǔ)設(shè)施。在選擇防火墻防火墻時，我們首先考慮的就是需要一個什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個起決定性作用的前提。因為防火墻的結(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護。

包過濾是歷史最久遠的防火墻技術(shù)，從實現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。

簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的，比如當(dāng)你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式進行的攻擊仍然可以從外部通過防火墻對內(nèi)部的系統(tǒng)進行攻擊。簡單包過濾的產(chǎn)品由于其保護的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術(shù)，從這點上可以說，國內(nèi)產(chǎn)品的平均技術(shù)水準(zhǔn)至少比國外落后2到3年。

狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

順便提一下免費軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現(xiàn)的原理上分析，雖然它們提供了對TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進行過濾時建立了一個用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術(shù)的基本特征。

包過濾結(jié)構(gòu)的最大的優(yōu)點是部署容易，對應(yīng)用透明。一個產(chǎn)品如果保護功能十分強大，但是不能加到你的網(wǎng)絡(luò)中去，那么這個產(chǎn)品所提供的保護就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點上，對用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動原來的拓?fù)浣Y(jié)構(gòu)。

包過濾的另一個優(yōu)點是性能，狀態(tài)檢測包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢的結(jié)構(gòu)。

但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。對于應(yīng)用層則缺少足夠的保護，而大量的網(wǎng)絡(luò)攻擊是利用應(yīng)用系統(tǒng)的漏洞實現(xiàn)的。

應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計的。應(yīng)用代理也算是一個歷史比較長的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個工具包也可以在網(wǎng)絡(luò)上免費得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

對于使用代理防火墻的用戶來說，在得到安全性的同時，用戶也需要付出其它的代價。代理技術(shù)的一個主要的弱點是缺乏對應(yīng)用的透明性，這個缺陷幾乎可以說是天生的，因為它只有位于應(yīng)用會話的中間環(huán)節(jié)，才會對會話進行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計時都不

認(rèn)為中間應(yīng)該有一個防火墻存在。這使得對于許多應(yīng)用協(xié)議來說實現(xiàn)代理是相當(dāng)困難的。代理防火墻通常是一組代理的集合，需要為每一個支持的應(yīng)用協(xié)議實現(xiàn)專門的功能，所以對于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。特別是在一個復(fù)雜的分布計算的網(wǎng)絡(luò)環(huán)境下，幾乎無法成功的部署一個代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進行安全區(qū)域分割是尤其明顯。

代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務(wù)接口之上，其對每個訪問實例的處理代價和資源消耗接近于Web服務(wù)器的兩倍。這使得應(yīng)用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個并發(fā)訪問。對于一個繁忙的站點來說，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時為了克服代理種類有限的局限性，很多代理防火墻同時也提供了狀態(tài)檢測包過濾的能力，當(dāng)用戶遇到防火墻不能支持的應(yīng)用協(xié)議時，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長處。

狀態(tài)檢測包過濾和應(yīng)用代理這兩種技術(shù)目前仍然是防火墻市場中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會導(dǎo)致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們在NetEye防火墻中以狀態(tài)檢測包過濾為基礎(chǔ)實現(xiàn)了一種我們暫時稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對于任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)是以“流”的方式從一個會話流向另一個會話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實現(xiàn)的TCP協(xié)議棧相對于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個能夠支持幾千個，甚至數(shù)萬個并發(fā)訪問，同時又有相當(dāng)于代理技術(shù)的應(yīng)用層防護能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡(luò)安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進步卻從來沒有停止過，事實上，任何一個

安全產(chǎn)品或技術(shù)都不能提供永遠的安全，因為網(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化。對于防火墻來說，技術(shù)的不斷進步才是真實的保障。

五、防火墻常用技術(shù)和性能

（一）、防火墻的四種基本類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

（1）、包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

（2）、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。

網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

（4）、監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機構(gòu)的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權(quán)威認(rèn)證機構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓(xùn)。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

（4）可擴充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認(rèn)證機構(gòu)認(rèn)證測試的產(chǎn)品。

六、結(jié)論

隨著電子商務(wù)的不斷發(fā)展，安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價值。

七、參考文獻

1、《電子商務(wù)》 翟才喜 楊敬杰主編 東北財經(jīng)大學(xué)出版社 2002.2

2、《中國電子商務(wù)年鑒》2003 卷

第五篇：網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計思路論文

【摘要】隨著計算機病毒、攻客入侵等網(wǎng)絡(luò)信息安全事件發(fā)生頻率的逐漸增高，人們越來越意識到網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全已成為當(dāng)前計算機網(wǎng)絡(luò)領(lǐng)域所面臨的一個最為主要的問題。入侵檢測系統(tǒng)作為時下IT領(lǐng)域內(nèi)網(wǎng)絡(luò)信息安全的一門新型熱門技術(shù)，在保障網(wǎng)絡(luò)安全方面占有舉足輕重的地位。本文主要介紹了入侵檢測有關(guān)內(nèi)容，入侵檢測的主要方法，以及基于計算機網(wǎng)絡(luò)安全入侵檢測系統(tǒng)的設(shè)計。

【關(guān)鍵詞】計算機網(wǎng)絡(luò)；安全；入侵檢測系統(tǒng)；研究；設(shè)計

計算機網(wǎng)絡(luò)在人們生活中的滲透，不僅改變了人類具體的生活方式，更重要的是改變了人類獲取信息的方式。它的出現(xiàn)在給人們帶來巨大方便的同時，也給人們的信息安全帶來了諸多隱患和威脅。一旦計算機網(wǎng)絡(luò)發(fā)生安全問題，勢必會造成信息泄露，給人們帶來不同程度的經(jīng)濟損失，尤其是企業(yè)內(nèi)部重要的信息，且情況嚴(yán)重時將很可能導(dǎo)致整個計算機系統(tǒng)崩潰。因此，為避免病毒等入侵到計算機網(wǎng)絡(luò)系統(tǒng)中，就必須采取有效的入侵檢測方法，設(shè)計出相應(yīng)的入侵檢測系統(tǒng)。

1入侵檢測相關(guān)概述

所謂入侵，指的是一切試圖對資源的可用性、完整性和機密性等產(chǎn)生危害行為的統(tǒng)稱。它既包括發(fā)起惡意攻擊行為的人（惡意攻客），也包括對計算機網(wǎng)絡(luò)與系統(tǒng)造成危害的各種行為（計算機病毒、木馬等）。而入侵檢測則指對所有入侵行為的識別與診斷。其具體操作是對計算機網(wǎng)絡(luò)等中的若干關(guān)鍵點的數(shù)據(jù)信息進行收集與分析，通過該分析結(jié)果對網(wǎng)絡(luò)中是否存在攻擊對象或違反網(wǎng)絡(luò)安全行為的跡象進行判斷。入侵檢測所使用的軟件與硬件組成了入侵檢測系統(tǒng)。它具有必須對采集的數(shù)據(jù)進行安全分析，并從中得出有用的結(jié)果和采取相應(yīng)的保護措施的功能，比其他網(wǎng)絡(luò)安全工具具有更多的智能[1]。

2入侵檢測的主要方法

2.1異常檢測法

異常檢測法主要用于檢測用戶的異常行為及其對計算機資源的異常使用。使用這種檢測方法需要建立相應(yīng)的目標(biāo)系統(tǒng)和用戶活動模型，以便通過該模型對系統(tǒng)與用戶的實際行為進行檢測，從而對用戶行為是否對計算機網(wǎng)絡(luò)和系統(tǒng)具有攻擊性進行判斷。它具有良好的適應(yīng)性和檢測未知攻擊模式的能力，但誤報率高、檢測結(jié)果準(zhǔn)確性差，使得其應(yīng)用受到了一定限制[2]。此外，必須對計算機網(wǎng)絡(luò)與系統(tǒng)中合法授權(quán)用戶的行為等正常特征進行精確的定義、對非法與合法代碼與數(shù)據(jù)之間的界限進行精確的劃分，是當(dāng)前異常檢測技術(shù)所面臨的主要技術(shù)難點。

2.2混合檢測法

混合檢測法是對異常檢測法與濫用檢測法兩者優(yōu)點的綜合利用。由于這兩種方法在實際應(yīng)用過程中呈現(xiàn)出一定的互補關(guān)系，因而兩者的有機結(jié)合可以達到取長補短、相互彌補的檢測效果，可以在很大程度上提高整體入侵檢測的性能與效率[3]。

3基于計算機網(wǎng)絡(luò)安全入侵檢測系統(tǒng)的設(shè)計

3.1網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計

將網(wǎng)絡(luò)入侵檢測系統(tǒng)裝在被保護的計算機網(wǎng)絡(luò)中，將原始網(wǎng)絡(luò)報文作為數(shù)據(jù)源對入侵對象進行分析。在網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計當(dāng)中，對于所有通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的實時監(jiān)控與分析通常采用一個網(wǎng)絡(luò)適配器即可；對于數(shù)據(jù)采集模塊的設(shè)計，需要配備有過濾器、探測器、網(wǎng)絡(luò)接口引擎等元器件。數(shù)據(jù)采集模塊主要實現(xiàn)的功能是，按照一定網(wǎng)絡(luò)協(xié)議從網(wǎng)絡(luò)上獲取與入侵事件有關(guān)的全部數(shù)據(jù)信息，獲取后將其傳送至入侵檢測系統(tǒng)分析引擎模塊，對其安全性進行詳細(xì)全面的分析，以判斷其是否存在攻擊性。入侵分析引擎模塊的主要功能是，結(jié)合計算機網(wǎng)絡(luò)安全數(shù)據(jù)庫，對從數(shù)據(jù)采集模塊傳送來的數(shù)據(jù)信息進行安全分析，并將分析結(jié)果傳送至配置與管理模塊。配置與管理模塊實現(xiàn)的主要功能是，對其他功能模塊的配置工作進行管理，并將從入侵分析引擎模塊傳送來的安全分析結(jié)果以有效的方式向網(wǎng)絡(luò)管理員告知，從而為網(wǎng)絡(luò)管理員及時做出入侵應(yīng)對措施提供依據(jù)和支持。當(dāng)網(wǎng)絡(luò)入侵系統(tǒng)檢測到攻擊時，相應(yīng)的功能模塊會立刻以報警、廣播、中斷連接等方式來對入侵者做出反應(yīng)，向人們發(fā)出提示信息。

3.2主機入侵檢測系統(tǒng)的設(shè)計

主機入侵檢測系統(tǒng)的數(shù)據(jù)源通常包括應(yīng)用程序日志、系統(tǒng)日志等。其入侵檢測功能的實現(xiàn)主要是通過對這些審計記錄文件所記錄的內(nèi)容與攻擊內(nèi)容進行匹配。若不匹配說明該入侵對象不具有攻擊性，若匹配則入侵檢測系統(tǒng)及時向網(wǎng)絡(luò)管理員發(fā)出警報，同時做出相應(yīng)的保護行為。審計數(shù)據(jù)記錄的是系統(tǒng)用戶行為信息，在系統(tǒng)運行過程中必須要保證其不會被修改或泄露。然而當(dāng)系統(tǒng)遭受攻擊時，這些數(shù)據(jù)很可能發(fā)生修改或泄露，因此主機入侵檢測系統(tǒng)的設(shè)計必須要具備一項功能，即檢測系統(tǒng)在完全被攻擊者控制之前，完成對審計數(shù)據(jù)的分析，并及時發(fā)出警報采取一定防護手段。主機入侵檢測系統(tǒng)具有精確判斷入侵事件、針對不同操作系統(tǒng)的特點準(zhǔn)確判斷出計算機網(wǎng)絡(luò)應(yīng)用層的入侵事件等優(yōu)點。

4總結(jié)

總之，在計算機網(wǎng)絡(luò)安全問題的處理過程中，入侵檢測系統(tǒng)的研究與設(shè)計是非常關(guān)鍵的一個環(huán)節(jié)。一個性能良好的入侵檢測系統(tǒng)可以有效彌補防火墻存在的不足，可以為計算機網(wǎng)絡(luò)的安全提供可靠的保障，是現(xiàn)代網(wǎng)絡(luò)安全措施中一種較為有效的防護技術(shù)。雖然，現(xiàn)階段入侵檢測技術(shù)仍處于發(fā)展階段，但隨著社會各界對計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計的越來越高度重視，入侵檢測系統(tǒng)的應(yīng)用范圍和檢測性能必將會上升到一個新的臺階。

參考文獻

[1]唐靜.計算機網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，08：21~22.[2]庫宇.高速網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究與設(shè)計[D].吉林大學(xué)，2008.[3]鄭關(guān)勝，李含光.基于動態(tài)網(wǎng)絡(luò)安全模型的入侵檢測系統(tǒng)的研究[J].計算機應(yīng)用，2006（S1）：160~161+185.作者：吳卉男 單位：貴州師范大學(xué)數(shù)學(xué)與計算機科學(xué)學(xué)院