电子商务安全防范解决方案.doc

电子商务安全防范解决方案.doc:..电子商务安全防范解决方案一、防火墙原理作为近年来新兴的保护计算机网络安全技术性措施,防火墙(FircWall)是一种隔离控制技术,在某个机构的网络和不安全的网络()之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输岀。防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对•内部的非法访问难以有效地控制,因此,防火墙最适合于相対独立的与外部网络互连途径冇限、网络服务种类相对集屮的单一网络。网的安全性保护软件,FireWall己经得到广泛的应用。通常企业为了维护内部的信息系统安全,间设立FireWall软件。的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP±的某一类具体的应用。如果在某一台IP主机上冇需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。的电子邮件和ireWa11上设置使得只有这两类应用的数据包可以通过。这对于路由器來说,就耍不仅分析IP层的信息,而且述要进一步了解TCP传输层其至应用层的信息以进行取舍。FireWall-般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。二、防火墙的种类真止意义下的防火墙有两类:一类被称为标准防火墙;一类叫双家网关。标准防火墙系统包括一个Unix工作站,该工作站的两端各按一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准防火墙的扩充,双家网关乂称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统Z间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反Z亦然。随着防火墙技术的进步,在双家网关的基础上又演化出两种防火墙配置:一种是隐蔽主机网关;另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网Z间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。tJ询技术最为复朵而且安全级别最高的防火墙当屈隐蔽和能网关。所谓隐蔽秤能网是将网关隐藏在公共系统Z后,它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统Z上的保护软件来进行的。i般来说,这种防火墙是最不容易被破坏的。从实现原理上分,防火墙的技术包括四人类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检杳防火墙。它们之间各有所长,具休使用哪一种或是否混合使用,耍看具体需要。-•般是基于源地址和FI的地址、应用或协议以及每个ip包的端口来作出通过与否的判断。一个路由器便是一个“传统''的网络级防火墙,人多数的路由器都能通过检查这些信息來决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一•般情况下,默认规则就是耍求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,、FTP连接。,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。在实际工作中,应用网关一般由专用工作站系统來完成。但每一种协议需要相应的***,使用时丄作量大,效率不如网络级防火墙。应用级网关冇较好的访问控制,是II前最女全的防火墙技术,但实现困难,而且冇的应用级网关缺乏“透明度”。在实际使用屮,时,经常会发现存在延迟并且必须进行多次登录(Login)。,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙耍咼二层。电路级网关还提供一个重要的女全功能:***(ProxyServer)防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一