防火墻技術(shù)及其在電子商務(wù)系統(tǒng)中的應(yīng)用

（華東師范大學(xué)第一附屬中學(xué)，上海 200086）

0.引言

當(dāng)今是一個(gè)高度網(wǎng)絡(luò)化的世界。在網(wǎng)絡(luò)中，并非每條信息都是安全的，一旦惡意信息進(jìn)入了個(gè)人電腦或內(nèi)網(wǎng)，可能會(huì)造成數(shù)據(jù)的泄露，甚至造成系統(tǒng)癱瘓。防火墻在網(wǎng)絡(luò)安全防護(hù)中發(fā)揮著至關(guān)重要的作用。幾乎所有的數(shù)據(jù)都需要經(jīng)過防火墻的篩選，才能被傳輸?shù)狡渌O(shè)備。防火墻可以將惡意信息如病毒、惡意程序等隔除，保護(hù)了個(gè)人電腦和內(nèi)網(wǎng)的安全。防火墻于電腦，仿佛細(xì)胞膜于細(xì)胞一般。防火墻可以高效地篩選進(jìn)進(jìn)出出的信息，就像細(xì)胞膜控制物質(zhì)的進(jìn)出那樣。如果沒有這種重要的保護(hù)措施，個(gè)人電腦和內(nèi)網(wǎng)中的數(shù)據(jù)就會(huì)直接暴露在外部網(wǎng)絡(luò)之中，系統(tǒng)也會(huì)受到黑客的攻擊。電子商務(wù)系統(tǒng)中存有大量至關(guān)重要的商業(yè)數(shù)據(jù)和交易信息，應(yīng)用先進(jìn)的防火墻技術(shù)，可以有效地保障這些信息和數(shù)據(jù)的安全，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

1.防火墻技術(shù)的簡介

防火墻可以對在網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包進(jìn)行校驗(yàn)，如果符合規(guī)則，就允許該數(shù)據(jù)包通過，反之不予通過。防火墻是不同網(wǎng)絡(luò)之間的安全隔離措施，若網(wǎng)絡(luò)中只有一個(gè)防火墻，則只有一個(gè)出口，而分布式防火墻則有多個(gè)出口。防火墻本身擁有較強(qiáng)的抗攻擊性，它是保障網(wǎng)絡(luò)安全和信息安全的基礎(chǔ)。所以它既是一個(gè)隔離器，也是一個(gè)控制器，同時(shí)是一個(gè)分析器[1]。

2.防火墻技術(shù)的分類

目前防火墻可以大致分為傳統(tǒng)防火墻和新型防火墻。

2.1 傳統(tǒng)防火墻

傳統(tǒng)防火墻在網(wǎng)絡(luò)安全中的應(yīng)用極為廣泛。傳統(tǒng)防火墻在工作時(shí)極度依賴物理拓?fù)浣Y(jié)構(gòu)，它只能通過現(xiàn)實(shí)中的地理位置來區(qū)分內(nèi)網(wǎng)用戶和外來用戶。也就是說，企業(yè)在架設(shè)內(nèi)部網(wǎng)時(shí)，必須建立正確的物理拓?fù)浣Y(jié)構(gòu)，才能形成較安全的體系?？梢哉f，傳統(tǒng)防火墻受到了很多結(jié)構(gòu)性的限制，不能在復(fù)雜的網(wǎng)絡(luò)體系中發(fā)揮阻隔作用。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，傳統(tǒng)防火墻的工作方式漸漸不能滿足現(xiàn)代企業(yè)的需求。

在構(gòu)建傳統(tǒng)防火墻時(shí)，一個(gè)基本假設(shè)是：來自內(nèi)部網(wǎng)絡(luò)的用戶都是可信任的，來自外部網(wǎng)絡(luò)的用戶都是不可信任的。這種安全策略在接收外來數(shù)據(jù)的時(shí)候確實(shí)可以起到安全防護(hù)的作用，但在實(shí)際使用中，多數(shù)攻擊和越權(quán)操作都來自內(nèi)部用戶，面對來自內(nèi)部的攻擊，傳統(tǒng)防火墻防外不防內(nèi)的弊端就顯得極為突出。在面對來自內(nèi)部的威脅時(shí)，傳統(tǒng)防火墻幾乎是束手無策的。在構(gòu)建傳統(tǒng)防火墻時(shí)，技術(shù)人員一般會(huì)在網(wǎng)絡(luò)邊界設(shè)置檢查點(diǎn)，即將所有數(shù)據(jù)的檢驗(yàn)集中到一個(gè)節(jié)點(diǎn)上。在面對大量的數(shù)據(jù)包時(shí)，這樣的工作方式可能會(huì)導(dǎo)致網(wǎng)絡(luò)瓶頸問題，導(dǎo)致防火墻工作效率低下。此外，由于傳統(tǒng)防火墻的安全策略是十分復(fù)雜的，它在面對大量不同來源的訪問請求時(shí)，工作效率通常是十分低下的。同時(shí)，在傳統(tǒng)防火墻中，單點(diǎn)故障的發(fā)生率較高，一旦防火墻出現(xiàn)故障或防火墻受到攻擊，整個(gè)防護(hù)措施都會(huì)失效，內(nèi)部系統(tǒng)就會(huì)完全暴露在網(wǎng)絡(luò)之中，也就是說，傳統(tǒng)防火墻不能穩(wěn)定、持久地保障信息安全[2]。

2.2 新型防火墻

分布式防火墻由3部分構(gòu)成：網(wǎng)絡(luò)防火墻、主機(jī)防火墻以及中心管理服務(wù)器。其中，網(wǎng)絡(luò)防火墻與傳統(tǒng)防火墻相似，該類防火墻通常被設(shè)置在網(wǎng)絡(luò)邊界，負(fù)責(zé)對網(wǎng)絡(luò)與網(wǎng)絡(luò)之間傳輸數(shù)據(jù)進(jìn)行安全檢測，同時(shí)負(fù)責(zé)內(nèi)部子網(wǎng)之間的防護(hù)。主機(jī)防火墻有效地彌補(bǔ)了傳統(tǒng)防火墻防內(nèi)不防外的不足。主機(jī)防火墻通常被設(shè)置在主機(jī)中，即使攻擊或越權(quán)來自內(nèi)部，主機(jī)防火墻也能根據(jù)安全策略進(jìn)行有效的響應(yīng)，從而防止關(guān)鍵數(shù)據(jù)受到來自內(nèi)部網(wǎng)絡(luò)的攻擊。中心服務(wù)管理器是整個(gè)體系的核心。除了制定各防火墻需要遵循的安全策略外，它還有日志收集以及分析數(shù)據(jù)的功能。

3.防火墻技術(shù)的研究進(jìn)展

3.1 包過濾技術(shù)

傳統(tǒng)包過濾技術(shù)是簡單地對當(dāng)前通過的數(shù)據(jù)包進(jìn)行檢測，查看其IP地址或協(xié)議類型等。傳統(tǒng)包過濾技術(shù)的優(yōu)點(diǎn)在于簡單、快速、透明，但它的缺點(diǎn)也很突出。它很難檢測利用動(dòng)態(tài)端口的協(xié)議，不能判斷數(shù)據(jù)的傳輸狀態(tài)。此外，如果數(shù)據(jù)包內(nèi)包含病毒或惡意代碼，傳統(tǒng)包過濾技術(shù)并不能識(shí)別這些程序，也不能阻止數(shù)據(jù)包進(jìn)入系統(tǒng)，其安全隱患是相當(dāng)大的。

一些研究人員深入研究有效阻隔惡意程序的策略，他們開發(fā)了動(dòng)態(tài)包過濾技術(shù)。與傳統(tǒng)包過濾不同，動(dòng)態(tài)包過濾技術(shù)不僅僅檢測當(dāng)前通過的數(shù)據(jù)包，而且能根據(jù)數(shù)據(jù)包的背景進(jìn)行綜合分析，并根據(jù)分析結(jié)果決定是否允許該數(shù)據(jù)包通過，它相當(dāng)于擁有結(jié)合上下文分析的能力。例如，當(dāng)防火墻收到一個(gè)“已讀”數(shù)據(jù)包時(shí)，其上文應(yīng)當(dāng)有發(fā)送的內(nèi)容，也就是說，在這個(gè)收到數(shù)據(jù)包之前，網(wǎng)絡(luò)中應(yīng)當(dāng)有一些與這個(gè)數(shù)據(jù)包存在一定的邏輯關(guān)系的數(shù)據(jù)。動(dòng)態(tài)包過濾技術(shù)確保只有數(shù)據(jù)包和網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)存在一定的關(guān)系時(shí)，該數(shù)據(jù)包才是安全的、能夠被接收的。這種技術(shù)的優(yōu)勢在于，它可以通過散列算法對一些連續(xù)的數(shù)據(jù)包進(jìn)行檢查，而且它具備傳統(tǒng)包過濾技術(shù)不具備的檢查動(dòng)態(tài)端口協(xié)議的能力，讓傳輸?shù)陌踩缘玫教嵘齕3]。

另一種由傳統(tǒng)包過濾技術(shù)衍生出來的技術(shù)是深度包過濾技術(shù)。如果說動(dòng)態(tài)包過濾技術(shù)是傳統(tǒng)包過濾技術(shù)的橫向發(fā)展，那么深度包過濾技術(shù)就是傳統(tǒng)包過濾技術(shù)的縱向發(fā)展。傳統(tǒng)包過濾不具備深入檢測數(shù)據(jù)包內(nèi)容的能力，深度包過濾技術(shù)彌補(bǔ)了這一不足。深度包過濾的檢測可以在應(yīng)用層對數(shù)據(jù)包進(jìn)行檢測。目前，大部分網(wǎng)絡(luò)攻擊都是針對應(yīng)用層發(fā)起的，深度包過濾技術(shù)可以有效地為網(wǎng)絡(luò)中重要的信息數(shù)據(jù)提供安全保障。

3.2 代理服務(wù)技術(shù)

在應(yīng)用代理服務(wù)技術(shù)的過程中，技術(shù)人員主要依賴2種關(guān)鍵設(shè)備即篩選服務(wù)器和代理服務(wù)器。其中，篩選服務(wù)器控制著系統(tǒng)與互聯(lián)網(wǎng)的連接，通過代理對應(yīng)用層服務(wù)進(jìn)行控制。代理服務(wù)器相當(dāng)于一個(gè)中轉(zhuǎn)站，負(fù)責(zé)連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。通俗地講，就是內(nèi)部網(wǎng)絡(luò)只與代理服務(wù)器進(jìn)行對話，內(nèi)部網(wǎng)絡(luò)只通過代理服務(wù)器將內(nèi)容轉(zhuǎn)述給外部網(wǎng)絡(luò)，而不會(huì)直接與外部網(wǎng)絡(luò)的任何節(jié)點(diǎn)建立連接，當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)傳輸數(shù)據(jù)包時(shí)，也需要先將數(shù)據(jù)包呈遞給代理服務(wù)器，等待代理服務(wù)器的準(zhǔn)許。在通過代理服務(wù)器的審核后，數(shù)據(jù)包的內(nèi)容將會(huì)被復(fù)制一份，這份復(fù)制品將被內(nèi)部網(wǎng)絡(luò)接收。由于切斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系，應(yīng)用代理服務(wù)技術(shù)的網(wǎng)絡(luò)的安全性極高。但是其缺點(diǎn)也很明顯：因?yàn)槊總€(gè)數(shù)據(jù)包都要經(jīng)過代理服務(wù)器的轉(zhuǎn)接，等待代理服務(wù)器確認(rèn)后再發(fā)送，信息傳輸?shù)男时淮蟠蠼档?。而如果想要在保證代理安全性的基礎(chǔ)上加速訪問，那么就必須事先設(shè)計(jì)好針對每一種服務(wù)協(xié)議的代理軟件模塊，從而進(jìn)行安全控制，不過實(shí)現(xiàn)這種流程的難度比較大[4]。

3.3 智能防火墻技術(shù)

顧名思義，智能防火墻的優(yōu)勢在于它的智能化特征。它能夠更靈活地處理來自外部網(wǎng)絡(luò)的數(shù)據(jù)，準(zhǔn)確地識(shí)別惡意攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。打個(gè)比方，如果一個(gè)人打算找一個(gè)保鏢來保護(hù)自己的人身安全，一個(gè)聰明的保鏢會(huì)讓人更加放心。智能防火墻就是一個(gè)聰明的保鏢，它能夠自行評估數(shù)據(jù)的特征，防止惡意程序進(jìn)入內(nèi)網(wǎng)。

與傳統(tǒng)防火墻相比，智能防火墻能夠檢測并阻止應(yīng)用層的攻擊，它可以對數(shù)據(jù)包進(jìn)行深度分析與管理，有效解決針對應(yīng)用層且具有破壞性的復(fù)雜攻擊。此外，訪問外部資源的行為可能會(huì)引起應(yīng)用層攻擊，智能防火墻能夠在用戶開始訪問時(shí)自動(dòng)提高防護(hù)等級。同時(shí)，在處理基于MAC的訪問控制時(shí)，智能防火墻也可以有效地阻止MAC欺騙和IP欺騙。智能防火墻還支持包擦洗技術(shù)，它可以高效地擦除數(shù)據(jù)包中可疑的或不必要的協(xié)議，使協(xié)議正?；?，消除潛在的風(fēng)險(xiǎn)。

4.防火墻在電子商務(wù)系統(tǒng)中的應(yīng)用

近年來，隨著互聯(lián)網(wǎng)的快速發(fā)展，電子商務(wù)的交易規(guī)模迅速擴(kuò)大。電子商務(wù)系統(tǒng)逐漸成為企業(yè)經(jīng)營和管理中不可或缺的系統(tǒng)之一?？梢灶A(yù)見，在未來幾十年中，電子商務(wù)市場規(guī)模將持續(xù)擴(kuò)大，人們對電子商務(wù)系統(tǒng)的要求將越來越高。

電子商務(wù)系統(tǒng)采用線上交易方式，商品信息、交易信息、資金信息等許多關(guān)鍵信息需要通過網(wǎng)絡(luò)傳輸，帶來很大的隱患。在美國，每年與網(wǎng)絡(luò)安全問題相關(guān)的損失高達(dá)七億美元。由此可見，在電子商務(wù)系統(tǒng)中，防火墻是一道必不可少的防護(hù)屏障[5]。

在電子商務(wù)系統(tǒng)中應(yīng)用的防火墻應(yīng)包含以下幾個(gè)模塊：

4.1 安全核心模塊

首先，在構(gòu)建防火墻的安全核心模塊時(shí)，應(yīng)當(dāng)同時(shí)應(yīng)用包過濾技術(shù)以及代理服務(wù)技術(shù)。綜合應(yīng)用兩者并以TCP/IP協(xié)議為核心的系統(tǒng)可以對數(shù)據(jù)包進(jìn)行有效的檢測和篩選，達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。代理服務(wù)技術(shù)則可以間接連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，讓網(wǎng)絡(luò)環(huán)境更加安全、可靠。在電子商務(wù)系統(tǒng)中，安全核心模塊可以篩選不明來源的交易請求，阻止其到達(dá)內(nèi)部網(wǎng)絡(luò)，保證與資金相關(guān)的信息在傳輸過程中不被任何未授權(quán)用戶篡改。

4.2 NAT模塊

NAT模塊即網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)。該技術(shù)能夠?qū)M(jìn)出網(wǎng)關(guān)的數(shù)據(jù)包的IP地址進(jìn)行轉(zhuǎn)換，讓過濾規(guī)則動(dòng)態(tài)化。同時(shí)，它還可以在IP層阻隔內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。在這一模塊的保護(hù)下，外部網(wǎng)絡(luò)的訪客很難獲取內(nèi)部網(wǎng)絡(luò)的各種信息，如拓?fù)浣Y(jié)構(gòu)等。也就是說，對外部網(wǎng)絡(luò)的訪客而言，內(nèi)部網(wǎng)絡(luò)是不可知的。這一模塊提高了內(nèi)部主機(jī)的隱蔽性，在它的保護(hù)下，大多數(shù)攻擊性試探無法完成。

5.結(jié)語

未來的防火墻必是高速的、多功能的，它們能夠有效地保障網(wǎng)絡(luò)安全，防止信息泄露。研究人員應(yīng)當(dāng)對防火墻的防護(hù)原理進(jìn)行更加深入分析，綜合應(yīng)用各種前沿的防火墻技術(shù)，設(shè)計(jì)出速度更快、性能更強(qiáng)大、應(yīng)用成本更低的防火墻，使其應(yīng)用更加廣泛。