电子商务安全技术：防火墙的使用与优化

（一）防火墙技术

1.防火墙的概念

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，它们都能起到保护作用并筛选出网络上的攻击者，如图7-2 所示。

图7-2　防火墙工作示意

2.防火墙的主要特征

（1）保护脆弱和有缺陷的网络服务。

防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。例如，防火墙可以禁止不安全的NFS（Network File System，网络文件系统）进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP 选项中的源路由攻击和ICMP（ Internet Control Message Protocol，控制报文协议）重定向中的重定向路径。防火墙还可以拒绝所有以上类型攻击的报文，并通知防火墙管理员。

（2）集中化的安全管理。

通过以防火墙为中心的安全方案配置，能够将所有安全软件（如口令、加密、身份认证等）配置在防火墙上。与将网络问题分散到各个主机上相比，防火墙的集中安全管理更为经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，可全部集中在防火墙上。

（3）加强对网络系统的访问控制。

防火墙的主要功能是对整个网络的访问控制。例如，防火墙可以屏蔽部分主机，使外部网络无法访问，同时可以屏蔽部分主机的特定服务，使得外部网络可以访问该主机的其他服务，但无法访问这些特定的服务。

（4）加强隐私。

隐私是内部网络非常关心的问题，内部网络中不被人注意的细节可能包含有关安全的线索而引起外部攻击者的兴趣，甚至因此暴露了内部网络的某些安全漏洞。使用防火墙可以隐蔽那些透漏内部的如FINGER、DNS 等服务。FINGER 显示的信息非常容易被攻击者所获悉，攻击者可以知道某个系统使用的频繁程度，这个系统是否有用户在上网，是否被攻击时引起注意，等等。同样，防火墙可以阻塞有关内部网络中的DNS 信息，这样一台主机的域名和IP 地址就不会被外界所了解。

（5）对网络存取和访问进行监控。

如果网络中所有的访问都经过防火墙，防火墙就能记录下所有的访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。此外，收集网络的使用和误用情况也是非常重要的。一方面，可以清楚防火墙是否能够抵挡攻击者的探测和攻击；另一方面，可以了解防火墙的控制是否充足。此外，网络使用统计对网络需求分析和威胁分析也是非常重要的。

3.防火墙的种类

防火墙通常使用的安全控制手段主要有包过滤防火墙、应用代理型防火墙和状态检测防火墙、复合型防火墙。

（1）包过滤防火墙。

包过滤防火墙是一种简单、有效的安全控制技术。它通过在网络间相互连接的设备上加载允许或禁止来自某些特定的源地址、目的地址、TCP 端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤防火墙的最大优点是对用户透明，传输性能高。包过滤防火墙在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。

包过滤防火墙的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也很明显，据以判别过滤的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足。在许多过滤器中，过滤规则的数目是有限的，且随着规则数目的增加，性能会受到很大的影响。由于缺乏上下文关联信息，不能有效过滤如UDP、RPC 等协议。另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差，对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常和应用网关配合使用，共同组成防火墙系统，如图7-3 所示。

图7-3　包过滤防火墙工作原理

（2）应用代理型防火墙。

应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合输入过滤器的功能。它工作在开放式系统互联模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

使用应用代理型防火墙的好处是，它可以提供用户级的身份认证、日志记录和账号管理，彻底分隔外部与内部网络。但是，所有内部网络的主机均需通过代理服务器主机才能获得互联网上的资源，因此会造成使用上的不便，而且代理服务器很有可能会成为系统的“瓶颈”，如图7-4 所示。

图7-4　应用代理型防火墙工作原理

（3）状态检测防火墙。

状态检测防火墙保持了包过滤防火墙的优点，性能比较好，同时，在此基础上对安全性有了大幅提升。这种防火墙摒弃了包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个事件来处理。可以这样说，状态检测防火墙规范了网络层和传输层行为，使性能得到较大提高，如图7-5 所示。

图7-5　状态检测防火墙工作原理

（4）复合型防火墙。

由于对更高安全性的要求，常把基于分组过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常有两种方案。

一是屏蔽主机防火墙体系结构。在该结构中，分组过滤路由器或防火墙与互联网相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为互联网上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

二是屏蔽子网防火墙体系结构。堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与互联网及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成整个防火墙的安全基础，如图7-6 所示。

图7-6　复合型防火墙工作原理

4.防火墙的作用

（1）保护数据的完整性。可依靠设定用户的权限和文件保护来控制用户访问敏感性信息，可以限制一个特定用户能够访问信息的数量和种类。

（2）保护网络的有效性。有效性是指一个合法用户如何快速、简便地访问网络的资源。

（3）保护数据的机密性，即加密敏感数据。

利用防火墙可以提供安全决策的集中控制点，使所有进出网络的信息都通过这个唯一的检查点，形成信息进出网络的一道关口；可以针对不同的用户对网络的不同需求，强制实施复杂的安全策略，起到“交通警察”的作用；可以对用户的操作和信息进行记录和审计，分析网络侵袭和攻击，并及时发出报警信息；可以防止机密信息的扩散以及信息间谍的潜入，可以保护内部网络敏感资源和重要的个人信息；可以减少网络的脆弱性。但是防火墙也有一些缺点：它不能防止来自内部变节者（恶意的知情者）和不经心的用户带来的威胁；无法防范通过防火墙之外的其他途径的攻击；不能防止传送已感染病毒的软件或文件所带来的病毒；无法防止数据驱动型的攻击，因为数据驱动型的数据从表面上看是无害的数据，被邮寄或拷贝到网络主机上，一旦执行就开始攻击。

（二）虚拟专用网技术

所谓虚拟，是指用户并未拥有一个物理网，而是数字数据网（DDN）的部分网络资源所形成的一个用户可以管理监控的专用网络。用户通过虚拟专用网（Virtual Private Network，VPN）管理站，对所属网部分的端口进行状态监视、数据查询、商品控制和测试以及告警、计费、统计信息的收集等网络管理操作。公用数字数据网络的管理人员仍然保留对各个虚拟专用网进行控制和管理的能力，协助管理各个虚拟专用网。虚拟专用网包括需要相互通信的两台计算机、一条通过拨号建立的隧道以及公共的网络或个别的企业局域网。为了确保通信的安全性，在两台计算机之间的数据传输是经过加密的。

虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球互联网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网可以支持数据、语音及图像业务，可以支持数字数据网所具有的其他业务。它的优点是经济、便于管理，能方便地适应变化等。当然，它也存在一些问题，如当虚拟专用网使用公共线路时，其安全性会降低，容易受到攻击。

虚拟专用网技术是使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信的网络技术。它可以在不同地理位置的两台计算机之间建立一个需要的连接，以此达到在公共网络的企业局域网之间实现安全的电子交易的目的。虚拟专用网技术非常适合于电子数据交换技术（EDI）。

1.虚拟专用网的建立

（1）各站点必须在网络上建立一台具有虚拟专用网功能的设备，可以是一台路由器、防火墙或专门用于虚拟专用网工作的设备。

（2）各站点必须知道对方站点使用的IP 地址。

（3）两站点必须对使用的授权检查和根据需要采用的数字证书方式达成一致。

（4）两站点必须对需要使用的加、密技术和交换密钥的方法达成一致。

2.虚拟专用网技术的应用

（1）采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用。

（2）公司能利用无处不在的互联网，通过单一网络结构为职员和商业伙伴提供无缝和安全的连接。(www.xing528.com)

（3）对于企业，基于拨号虚拟专用网的外联网能加强与用户、商业伙伴和供应商的联系。

（4）电话公司通过开展拨号虚拟专用网服务可以缓解终端阻塞。

（5）通过为公司提供安全的外界远程访问服务，互联网服务提供商能增加收入。

（6）通过外联网分层和相关竞争服务，互联网服务提供商也可以提供不同的拨号虚拟专用网。

（三）加密技术

电子商务中，为了解决信息篡改、信息假冒、交易抵赖等问题，大量使用了数据加密技术。采用加密技术对信息进行加密，是最常见的安全手段。加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。明文变成密文的过程称为加密，由密文还原为明文的过程称为解密，加密和解密的规则称为密码算法。在加密和解密的过程中，由加密者和解密者使用的加、解密可变参数叫作密钥。

目前，在电子商务中，广泛应用的两种加密技术是对称密钥加密技术和非对称密钥加密技术。它们的主要区别在于所使用的加密和解密的密钥是否相同。

1.对称密钥加密技术

对称密钥加密，又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。对称加密技术的最大优势是加/解密速度快，适合对大数据量进行加密，但密钥管理困难。使用对称加密技术将简化加密的处理，每个参与方都不必彼此研究和交换专用设备的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密，以及通过随报文一起发送报文摘要或报文散列值来实现。

对称加密技术存在着在通信的参与者之间确保密钥安全交换的问题。对称加密技术要求通信双方事先交换密钥，当系统用户过多时，例如，在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对称密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，因此，密钥管理是一个几乎不可能解决的问题。另外，双方交换密钥时，还会遇到密钥传送的安全性问题。实际环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，对称技术的密钥管理和发布都是远远无法满足使用要求的。

2.非对称密钥加密技术

非对称密钥加密技术，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key），另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者用公开密钥去加密，而信息接收者则用私有密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。

在非对称加密体系中，密钥被分解为一对，即一个公开密钥或加密密钥和一个专用密钥或解密密钥。这对密钥中的任何一个都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把则作为专用密钥（解密密钥）加以保存。公开密钥用于对机密性的报文进行加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程为：贸易方甲生成一对密钥并将其中的一个作为公开密钥向其他贸易方公开；得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲；贸易方甲再用自己保存的另一个专用密钥对加密后的信息进行解密。贸易方甲能用其专用密钥解密由其公开密钥加密后的任何信息。

非对称加密技术的关键是寻找对应的公钥和私钥，并运用某种数学方法使得加密过程成为一个不可逆过程，即用公钥加密的信息只能用与该公钥配对的私有密钥才能解密，反之亦然。上述两种加密体制的比较如表7-1 所示。

表7-1　对称与非对称加密体制对比

（四）认证技术

信息认证是安全性很重要的一个方面。信息认证的目的有两个：一是确认信息发送者的身份；二是验证信息的完整性，即确认信息在传送或存在过程中未被篡改过。认证是为了防止有人对系统进行主动攻击（如篡改）的一种重要技术。目前，常用的认证技术主要有数字签名技术、身份识别技术、认证机构和信息完整性校验技术等。

1.数字签名技术

为了鉴别文件或书信的真伪，传统的做法是，要求相关人员在文件或书信上亲笔签名或印章，包括商业合同、银行提单、日常书信等。签名起到认证、核准和生效的作用。随着信息时代的来临，人们希望通过数字通信网络迅速传递贸易合同，这就出现了合同真实性认证的问题，数字或电子签名即应运而生。

数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要，然后用Hash 函数对收到的原文产生一个摘要，与解密的摘要对比，如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则，就是被修改过的，不是原信息。同时，也证明发送者发送了信息，可以防止发送者抵赖。

数字签名必须保证以下三点：一是接收者能够核实发送者对报文的签名；二是发送者事后不能抵赖对报文的签名；三是接收者不能伪造对报文的签名。

2.身份识别技术

通过电子网络开展电子商务，身份识别问题是一个不得不解决的问题。一方面，只有合法用户才可以使用网络资源，所有网络资源管理要求识别用户的身份；另一方面，在传统的交易方式中，交易双方可以面对面地谈判交涉，很容易识别对方的身份。

然而，通过电子网络交易却不同，交易双方并不见面，通过普通的电子传输信息很难确认对方的身份。因此，电子商务中的身份识别问题显得尤为突出。只有采取一定的措施使商家确认对方身份，商家才能放心地开展电子商务。当然，这其中也需要一个仲裁机构，以便在发生纠纷时进行仲裁。因为存在身份识别技术，有关当事人就无法抵赖自己的行为，从而使仲裁更为有理有据。在电子商务中，身份识别技术的实现往往要采用密码技术（尤其是公钥密码技术）设计出安全性较高的识别协议。

3.认证机构

数字签名技术是利用公钥加密技术来验证网上传送信息的真实性，但是任何人都可以生成一对密钥。那么，怎样才能保证一对密钥只属于一个人呢？这就需要一个权威机构对密钥进行有效的管理，颁发证书证明密钥的有效性，将公开密钥同某一个实体（消费者、商户、银行）联系在一起，这种机构就称为“认证机构”（Certificate Authority，CA）。

认证机构是一个权威机构，专门验证交易双方的身份。认证机构的核心职能是发放和管理用户的数字证书，它接受个人、商家、银行等参与交易的实体申请数字证书，核实情况，批准申请或拒绝申请，并颁发数字证书。此外，认证机构还具有管理证书的职能。

认证机构的管理功能主要包括以下四个方面。

（1）证书的检索。数字证书包括有效证书和已撤销证书。用户在验证发送方数字签名时，需要查验发送方的数字证书，这就需要检索有效证书库。另外，证书可能在其有效期限内被认证机构撤销，所以，用户也需要检索已撤销的证书库。

（2）证书的撤销。如果出现证书的有效期已到，用户的身份发生变化，用户的密钥遭到破坏或被非法使用等情况，认证机构就应撤销原有的证书。

（3）证书数据库的备份。

（4）有效地保护证书和密钥服务器的安全。

认证机构在整个电子商务环境中处于至关重要的位置，它是整个信任链的起点。认证机构是开展电子商务的基础，如果认证机构不安全或发放的证书不具权威性，那么网上电子交易根本无从谈起。

4.信息完整性校验技术

信息完整性需要靠信息认证来实现。信息认证是信息的合法接收者对消息的真伪进行判定的技术。信息认证的内容包括：信息的来源、信息的完整性、信息的序号和时间。

使用数字签名技术和身份识别技术可以鉴别信息发送者的身份，也就是明确信息的来源。数字签名技术可以证实文件的真伪，而身份识别技术可以证实发送人身份的真伪。

信息序号和时间的认证主要是为了阻止信息的重复攻击。常用的方法有：消息的流水作业号、链接认证符、随机数认证法和时间戳等。

信息内容的认证即完整性检验，常用的方法是，信息发送者在信息中加入一个鉴别码并经加密后发送给接收者检验（有时只需加密鉴别码），接收者利用约定的算法对解密后的信息进行运算，将得到的鉴别码与收到的鉴别码进行比较，若二者相等，则接收，否则拒绝接收。目前，实现这一功能的方法有两种：一种是采用消息认证码；另一种是采用篡改检测码。

小知识：国内主要的电子商务认证中心

北京数字证书认证中心：http：//www．bjca.org.cn

深圳市电子商务认证中心：http：//www．szca.gov.cn

广东省电子商务认证中心：http：//www．cnca.net

湖北省电子商务认证中心：http：//www．hbeca.com.cn

上海电子商务安全证书管理中心：http：//www．sheca.com

中国数字认证网：http：//www．ca365.com

山西省电子商务安全认证中心：http：//www．sxca.com.cn

中国金融认证中心：http：//www．cfca.com.cn

天津电子商务运作中心：http：//www．ectj.net/ca

天威诚信CA 认证中心：http：//www．itrus.com.cn