防火墻技術及其在電子商務系統中的應用

（華東師范大學第一附屬中學，上海 200086）

0.引言

當今是一個高度網絡化的世界。在網絡中，并非每條信息都是安全的，一旦惡意信息進入了個人電腦或內網，可能會造成數據的泄露，甚至造成系統癱瘓。防火墻在網絡安全防護中發揮著至關重要的作用。幾乎所有的數據都需要經過防火墻的篩選，才能被傳輸到其他設備。防火墻可以將惡意信息如病毒、惡意程序等隔除，保護了個人電腦和內網的安全。防火墻于電腦，仿佛細胞膜于細胞一般。防火墻可以高效地篩選進進出出的信息，就像細胞膜控制物質的進出那樣。如果沒有這種重要的保護措施，個人電腦和內網中的數據就會直接暴露在外部網絡之中，系統也會受到黑客的攻擊。電子商務系統中存有大量至關重要的商業數據和交易信息，應用先進的防火墻技術，可以有效地保障這些信息和數據的安全，降低數據泄露的風險。

1.防火墻技術的簡介

防火墻可以對在網絡之間傳輸的數據包進行校驗，如果符合規則，就允許該數據包通過，反之不予通過。防火墻是不同網絡之間的安全隔離措施，若網絡中只有一個防火墻，則只有一個出口，而分布式防火墻則有多個出口。防火墻本身擁有較強的抗攻擊性，它是保障網絡安全和信息安全的基礎。所以它既是一個隔離器，也是一個控制器，同時是一個分析器[1]。

2.防火墻技術的分類

目前防火墻可以大致分為傳統防火墻和新型防火墻。

2.1 傳統防火墻

傳統防火墻在網絡安全中的應用極為廣泛。傳統防火墻在工作時極度依賴物理拓撲結構，它只能通過現實中的地理位置來區分內網用戶和外來用戶。也就是說，企業在架設內部網時，必須建立正確的物理拓撲結構，才能形成較安全的體系?？梢哉f，傳統防火墻受到了很多結構性的限制，不能在復雜的網絡體系中發揮阻隔作用。隨著互聯網技術的發展，傳統防火墻的工作方式漸漸不能滿足現代企業的需求。

在構建傳統防火墻時，一個基本假設是：來自內部網絡的用戶都是可信任的，來自外部網絡的用戶都是不可信任的。這種安全策略在接收外來數據的時候確實可以起到安全防護的作用，但在實際使用中，多數攻擊和越權操作都來自內部用戶，面對來自內部的攻擊，傳統防火墻防外不防內的弊端就顯得極為突出。在面對來自內部的威脅時，傳統防火墻幾乎是束手無策的。在構建傳統防火墻時，技術人員一般會在網絡邊界設置檢查點，即將所有數據的檢驗集中到一個節點上。在面對大量的數據包時，這樣的工作方式可能會導致網絡瓶頸問題，導致防火墻工作效率低下。此外，由于傳統防火墻的安全策略是十分復雜的，它在面對大量不同來源的訪問請求時，工作效率通常是十分低下的。同時，在傳統防火墻中，單點故障的發生率較高，一旦防火墻出現故障或防火墻受到攻擊，整個防護措施都會失效，內部系統就會完全暴露在網絡之中，也就是說，傳統防火墻不能穩定、持久地保障信息安全[2]。

2.2 新型防火墻

分布式防火墻由3部分構成：網絡防火墻、主機防火墻以及中心管理服務器。其中，網絡防火墻與傳統防火墻相似，該類防火墻通常被設置在網絡邊界，負責對網絡與網絡之間傳輸數據進行安全檢測，同時負責內部子網之間的防護。主機防火墻有效地彌補了傳統防火墻防內不防外的不足。主機防火墻通常被設置在主機中，即使攻擊或越權來自內部，主機防火墻也能根據安全策略進行有效的響應，從而防止關鍵數據受到來自內部網絡的攻擊。中心服務管理器是整個體系的核心。除了制定各防火墻需要遵循的安全策略外，它還有日志收集以及分析數據的功能。

3.防火墻技術的研究進展

3.1 包過濾技術

傳統包過濾技術是簡單地對當前通過的數據包進行檢測，查看其IP地址或協議類型等。傳統包過濾技術的優點在于簡單、快速、透明，但它的缺點也很突出。它很難檢測利用動態端口的協議，不能判斷數據的傳輸狀態。此外，如果數據包內包含病毒或惡意代碼，傳統包過濾技術并不能識別這些程序，也不能阻止數據包進入系統，其安全隱患是相當大的。

一些研究人員深入研究有效阻隔惡意程序的策略，他們開發了動態包過濾技術。與傳統包過濾不同，動態包過濾技術不僅僅檢測當前通過的數據包，而且能根據數據包的背景進行綜合分析，并根據分析結果決定是否允許該數據包通過，它相當于擁有結合上下文分析的能力。例如，當防火墻收到一個“已讀”數據包時，其上文應當有發送的內容，也就是說，在這個收到數據包之前，網絡中應當有一些與這個數據包存在一定的邏輯關系的數據。動態包過濾技術確保只有數據包和網絡中傳輸的數據存在一定的關系時，該數據包才是安全的、能夠被接收的。這種技術的優勢在于，它可以通過散列算法對一些連續的數據包進行檢查，而且它具備傳統包過濾技術不具備的檢查動態端口協議的能力，讓傳輸的安全性得到提升[3]。

另一種由傳統包過濾技術衍生出來的技術是深度包過濾技術。如果說動態包過濾技術是傳統包過濾技術的橫向發展，那么深度包過濾技術就是傳統包過濾技術的縱向發展。傳統包過濾不具備深入檢測數據包內容的能力，深度包過濾技術彌補了這一不足。深度包過濾的檢測可以在應用層對數據包進行檢測。目前，大部分網絡攻擊都是針對應用層發起的，深度包過濾技術可以有效地為網絡中重要的信息數據提供安全保障。

3.2 代理服務技術

在應用代理服務技術的過程中，技術人員主要依賴2種關鍵設備即篩選服務器和代理服務器。其中，篩選服務器控制著系統與互聯網的連接，通過代理對應用層服務進行控制。代理服務器相當于一個中轉站，負責連接內部網絡和外部網絡。通俗地講，就是內部網絡只與代理服務器進行對話，內部網絡只通過代理服務器將內容轉述給外部網絡，而不會直接與外部網絡的任何節點建立連接，當外部網絡向內部網絡傳輸數據包時，也需要先將數據包呈遞給代理服務器，等待代理服務器的準許。在通過代理服務器的審核后，數據包的內容將會被復制一份，這份復制品將被內部網絡接收。由于切斷了內部網絡與外部網絡的直接聯系，應用代理服務技術的網絡的安全性極高。但是其缺點也很明顯：因為每個數據包都要經過代理服務器的轉接，等待代理服務器確認后再發送，信息傳輸的效率被大大降低。而如果想要在保證代理安全性的基礎上加速訪問，那么就必須事先設計好針對每一種服務協議的代理軟件模塊，從而進行安全控制，不過實現這種流程的難度比較大[4]。

3.3 智能防火墻技術

顧名思義，智能防火墻的優勢在于它的智能化特征。它能夠更靈活地處理來自外部網絡的數據，準確地識別惡意攻擊，保護內部網絡的安全。打個比方，如果一個人打算找一個保鏢來保護自己的人身安全，一個聰明的保鏢會讓人更加放心。智能防火墻就是一個聰明的保鏢，它能夠自行評估數據的特征，防止惡意程序進入內網。

與傳統防火墻相比，智能防火墻能夠檢測并阻止應用層的攻擊，它可以對數據包進行深度分析與管理，有效解決針對應用層且具有破壞性的復雜攻擊。此外，訪問外部資源的行為可能會引起應用層攻擊，智能防火墻能夠在用戶開始訪問時自動提高防護等級。同時，在處理基于MAC的訪問控制時，智能防火墻也可以有效地阻止MAC欺騙和IP欺騙。智能防火墻還支持包擦洗技術，它可以高效地擦除數據包中可疑的或不必要的協議，使協議正?；?，消除潛在的風險。

4.防火墻在電子商務系統中的應用

近年來，隨著互聯網的快速發展，電子商務的交易規模迅速擴大。電子商務系統逐漸成為企業經營和管理中不可或缺的系統之一?？梢灶A見，在未來幾十年中，電子商務市場規模將持續擴大，人們對電子商務系統的要求將越來越高。

電子商務系統采用線上交易方式，商品信息、交易信息、資金信息等許多關鍵信息需要通過網絡傳輸，帶來很大的隱患。在美國，每年與網絡安全問題相關的損失高達七億美元。由此可見，在電子商務系統中，防火墻是一道必不可少的防護屏障[5]。

在電子商務系統中應用的防火墻應包含以下幾個模塊：

4.1 安全核心模塊

首先，在構建防火墻的安全核心模塊時，應當同時應用包過濾技術以及代理服務技術。綜合應用兩者并以TCP/IP協議為核心的系統可以對數據包進行有效的檢測和篩選，達到保護內部網絡的目的。代理服務技術則可以間接連接內部網絡和外部網絡，讓網絡環境更加安全、可靠。在電子商務系統中，安全核心模塊可以篩選不明來源的交易請求，阻止其到達內部網絡，保證與資金相關的信息在傳輸過程中不被任何未授權用戶篡改。

4.2 NAT模塊

NAT模塊即網絡地址轉換系統。該技術能夠對進出網關的數據包的IP地址進行轉換，讓過濾規則動態化。同時，它還可以在IP層阻隔內部網絡和外部網絡。在這一模塊的保護下，外部網絡的訪客很難獲取內部網絡的各種信息，如拓撲結構等。也就是說，對外部網絡的訪客而言，內部網絡是不可知的。這一模塊提高了內部主機的隱蔽性，在它的保護下，大多數攻擊性試探無法完成。

5.結語

未來的防火墻必是高速的、多功能的，它們能夠有效地保障網絡安全，防止信息泄露。研究人員應當對防火墻的防護原理進行更加深入分析，綜合應用各種前沿的防火墻技術，設計出速度更快、性能更強大、應用成本更低的防火墻，使其應用更加廣泛。