防火墙技术：保障电子商务网络平台安全的重要措施

确保电子商务安全，首先要保证进行电子商务的网络平台是安全的，这个平台包括客户端网络环境、商家网络环境、银行内部网络及三者联系在一起的互联网，即大众互联网平台系统。防火墙技术是电子商务网络平台中重要的安全保护措施之一。

（一）防火墙的概念

防火墙是指两个网络之间执行访问控制策略（允许、拒绝和检测）的一系列部件的组合，包括计算机硬件和计算机软件。其目的是在安全的企业内部网和不安全的外部互联网之间构筑一道防护屏障，保护网络不受外部侵扰。它是在连接互联网和内部局域网之间实现安全保障最为有效的方法之一，也是目前在维护内部局域网安全的重要措施中应用最广泛的。防火墙通过记录通信状态，检查通信信息，监视通信过程，做出拒绝或允许信息通信等的正确判断，在此基础上，制定相应的安全策略，从而为局域网构建一个安全、稳定的环境，为电子商务的安全提供有力保障。

（二）防火墙的原理

采用防火墙技术可以对网络中的数据流进行控制。防火墙是一种将内部Internet网络与公用网络分开的方法，它实际上是一种隔离技术，控制着Intranet与Internet之间的所有数据量。

防火墙主要包括五个部分：安全操作系统、过滤器、网关、域名服务和E-mail处理。有的防火墙可能在网关两侧设置两个内外过滤器，外过滤器保护网关不受攻击，网关提供中继服务，辅助过滤器控制业务流；而内过滤器在网关攻破后提供对内部网络的保护。防火墙本身必须建立在以安全操作系统所提供的安全环境中，安全操作系统可以保护防火墙的代码和文件不受入侵者的攻击。防火墙有以下两种准则。

1.一切未被允许的就是禁止的

基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放，这是一种非常实用的方法，可以营造一种十分安全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于用户使用的方便性，用户所能使用的服务范围受限制。

2.一切未被禁止的就是允许的

基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务，这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。其弊端是，在日益增多的网络服务面前，网管人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。

防火墙作为硬件和软件的连接，安置于公司网络的入口点（或公司网络与Internet相连接的入口点）。它负责监控进入公司网络的流量类型，并且决定是否允许一个数据包进入公司网络。所有的数据包必须经过防火墙的筛选，仅允许得到授权的数据包进入网络。

（三）基于防火墙的网络安全体系结构

基于防火墙的网络安全体系结构由筛选路由器、堡垒主机和双导向网关组成。

1.筛选路由器

在专用网络和互联网之间插入一个路由器将它们分离开，这是最基本也是普遍使用的策略。路由器负责过滤所有通过的IP数据包从而成为筛选过滤器。通过这个方式，防火墙可以阻止对机器或专用网络端口的连接。反之，也可以阻止一个内部的机器访问互联网，仅通过一个代理过滤器的连接就可以实现。但路由器无法控制应用层。我们可能想要允许一种类型的流量通过这个网关，而不是另一种，就可以在应用主机处进行管理。控制的机器越多，具有的控制权就越少。不管怎样，筛选路由器作为一个安全建立模块是和其他工具相连接的、有用的工具。

2.堡垒主机

堡垒主机是放置在安全和非安全网络之问的机器。在那里，IP转发被切断，也就意味着IP数据包不能通过这个机器。当路由被打断时，唯一可以到达双方网络的就是防御堡垒本身。因此，只有具备防垒主机账号的使用者通过双重鉴定（堡垒主机和远程主机），才可以使用网络两边的服务。这也存在一些缺点，堡垒主机可能会支持许多的用户，如果一个黑客能够获取一个用户的ID，就能够模仿此用户进入专用网络。此外，同时支持大量的使用者也需要一个大型的机器，以提高响应速度。

3.双导向网关(www.xing528.com)

可以通过过滤的方法保护双导向网关免受外部的攻击。例如，如果禁止外部访问远程登录系统（Telnet）守护进程，就可以减少来自外部攻击的威胁。如果有一些机器在外部，但是又想连接到专用网络内部的主机，可以使用代理服务器限制其暴露程度，这可能需要用到智能卡鉴别技术。应用到Windows NT中的IBM Secure Way Firewall已经成为类似于双导向网关的一种配置。双导向网关的进一步发展是使用介于筛选路由器和堡垒主机之间的子网作为应用服务的站点，这一技术正日益普及。该技术在为外部提供更为广泛的服务（如万维网服务）的同时，仍然对其内部的私有网络进行强有力的保护。这个网络由两个筛选路由器和一个或多个堡垒主机组成，这种解决方案的代价较大。

（四）防火墙的类型

防火墙总体上分为数据包过滤、应用级网关和代理服务等几大类型。

1.数据包过滤

数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）。该技术通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单、价格便宜，易于安装和使用，网络性能和透明性好，通常安装在路由器上。路由器是内部网络与互联网连接必不可少的设备，因此，在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点：一是设计和配置一个真正安全的过滤规则比较困难；二是数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2.应用级网关

应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能的。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用级网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则与防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态。

3.代理服务

代理服务（Proxy Service）也称链路级网关（Circuit Level Gateways）或TCP通道（TCP Tunnels），也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内部计算机系统间应用层的链接，由两个中介代理服务器上的链接来实现；外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内计算机系统的作用。此外，代理服务也对过往的数据包进行分析、登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

这种类型的防火墙使用一个客户程序与特定的中间节点（即防火墙）连接，然后中间节点与服务器进行实际连接，这使内网与外网之间不存在直接连接，大大提高了网络的安全性。但是，这种防火墙在使用过程中会导致网络性能的明显下降，有一定的局限性。在具体应用上可以将这两类防火墙结合起来组成复合式防火墙，充分发挥各自的优势，进而满足安全性要求更高的电子商务企业的需求。

（五）防火墙的作用

电子商务系统包括企业内部网和外部网，内部网在加强企业内部管理、方便企业内部信息交流、提高工作效率等方面起着重要的作用。但是Intranet与Internet连接后，如果不加限制，每一个用户都可以访问企业内部网，使黑客能够轻而易举地侵入企业内部网，非法访问，破坏企业的内部信息资源。因此，在企业内部网与外部网之间设置一道安全屏障是非常重要的。

防火墙是在Intranet和Internet之间构筑的一道屏障（相当于家庭的防盗门），是一个用于加强内部网络与公共网络之间安全防范的系统，只有允许的通信信息才能通过防火墙。它起到内部网与外部网的隔离作用，可以限制外部用户对内部网络的访问和内部用户对外部的通信。它控制所有内部网与外部网之间的数据流通，防止企业内部信息流入Internet；同时控制外部有害信息流入Intranet。防火墙还能执行安全策略，记录可疑事件。

目前的防火墙技术已经发展到智能防火墙阶段。与传统防火墙相比，智能防火墙内外兼顾，它能够大大提升内部局域网的速度，阻止恶意病毒和木马对内部网的攻击。智能防火墙的防欺骗功能和MAC控制功能，能够有效地发现内部恶意流量，帮助管理员找到攻击来源，更好地保护电子商务的安全。