2.3.1 电子商务系统安全架构
计算机及其网络系统的安全是电子商务交易系统安全的基础,计算机安全是指计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而泄露、更改和破坏,系统能连续正常运行。
计算机网络安全是计算机安全概念在网络环境下的扩展,包括所有保护网络的措施:网络系统物理设施的保护(如通信线路、网络设备等),网络系统软件和数据信息的保护(如防止非授权的访问、偶发或蓄意的常规手段干扰或破坏),网络系统应用人员的管理和系统使用规章制度等。电子商务系统是计算机网络及电子商务应用系统的集成,其安全性更为复杂,不仅面临计算机网络系统共有的安全问题,而且还与电子商务应用的环境、人员素质和社会因素等密切相关。因此,电子商务安全从整体上可分为三大部分:计算机网络安全、商务交易安全和电子商务安全立法。
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全要解决网络交易活动所面临的各种安全问题,其目标是实现电子商务交易的保密性、完整性、不可否认性和身份的真实性。
电子商务安全立法是通过法律法规,规范电子商务交易、管理和运行过程。这是电子商务活动开展的根本基础。
本节介绍实现计算机网络安全和电子商务交易安全的基本技术。电子商务安全立法将在本章3.6中介绍。
名词解释木马网站:是一种利用程序漏洞,在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上,当用户访问时,会把许多木马下载到用户机器中并运行。
挂马网站:是被黑客植入恶意代码的正规网站,这些被植入的恶意代码,通常会直接指向“木马网站”的网络地址。
木马地址:是木马病毒真正的网络下载地址。
2.3.2 电子商务的安全威胁
在电子商务广泛应用的同时,其安全性越来越受到人们的关注。统计表明,人们对网络交易,特别是网络支付的安全顾虑,已经成为阻碍电子商务发展和普及的重要因素。事实上,由于在Internet设计之初,只考虑方便性、开放性,缺乏安全控制技术设计,使得Internet非常脆弱,极易受到黑客的攻击或有组织的群体的入侵,也会由于系统内部人员的不规范使用和恶意破坏,使得网络信息系统遭到破坏,信息泄露。
日本著名信息安全公司赛门铁克在2009年4月发布的《第十四期互联网安全威胁报告》称,网页浏览是2008年新增感染的主要来源,并且攻击者越来越依赖于定制化的恶意代码工具包来开发并传播威胁。在本期报告阶段监测到的威胁中,有90%试图窃取用户机密信息。来自窃取网络银行账户信息等的按键记录威胁占窃取机密信息威胁总量的76%,超过2007年的72%。
根据瑞星“云安全”数据中心的统计数据,2009年1月至3月,瑞星“云安全”系统拦截到的挂马网页数累计达1.9亿多个,共有8亿人次网民遭木马攻击,平均每天有889万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有24202个,比去年同期有大幅度增长,挂马网站已经成为威胁国内Internet安全的主要因素。网页取代网络成为攻击活动的主要渠道,“网页挂马”已经成为黑客传播病毒的主要手段,目前90%以上的木马病毒通过“挂马”方式传播。
电子商务中的安全隐患主要表现为以下类型:
(1)信息截获和窃取。截获传输的机密信息,如客户的银行账号、密码以及企业的商业机密等。
(2)信息篡改。如改变信息流的次序,更改信息的内容,如购买商品的出货地址;或者删除某个消息或消息的某些部分;或者在信息中插入一些让接收方读不懂或接收错误的信息。
(3)信息假冒。假冒合法用户或发送假冒信息来欺骗其他用户。如虚开网站,给用户发电子邮件,收订货单欺骗合法主机及合法用户。
(4)交易抵赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品因价格差而不承认原有的交易。
延伸阅读——目前常见的安全威胁感染文件:病毒程序通过查找特定文件(例如:PE文件,HTML文件等)中的空余空间,将自身代码插入到该空间;由于该类病毒存在于文件中,可以通过文件共享等传播,同时具有了一个长期稳固的生存环境。
破坏注册表:病毒通过修改注册表添加恶意启动项、映像劫持某些反病毒程序和系统监控程序,使得无法对已中毒系统进行检测。
破坏系统安全性:关闭系统防火墙、关闭系统自动更新、恶意修改系统时间以及劫持任务管理器等进程类工具,屏蔽注册表运行,屏蔽系统cmd命令,破坏系统安全模式、磁盘格式化等一系列降低系统安全性和损坏系统的操作,从而使得病毒或者入侵者能够顺利的达到不可告人的目的。
劫持第三方安全软件:病毒通过查找窗口标题、系统进程、修改注册表创建错误的文件关联等使得本应运行的安全软件无法运行。
窃取信息得到控制权:病毒执行事先预设的指令,可以获取账号密码信息,例如QQ、网络银行、系统管理员、网络游戏账号等;也会自动连接恶意网址、后台打开IE程序下载恶意程序,该类的典型病毒为疯狂下载者病毒;破坏文件、感染文件达到长留系统目的。
2.3.3 电子商务交易安全要求
一个安全的电子商务交易系统,必须满足如下几个条件。
1)信息的保密性
信息的保密性是指信息在传输或存储过程中不被他人窃取。因此在信息传输中一般均有进行加密的要求,同时在必要的节点设置防火墙。在利用网络进行的交易中,要预防信息大量传输过程中被非法窃取,如信用卡的账号和用户名等不能被他人知悉,必须确保只有合法用户才能看到数据,防止信息被窃看。
2)信息的完整性
信息的完整性包括信息传输和存储两个方面。在传输中要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一;在存储方面,要预防对信息的随意生成、修改和删除。由于数据输入时的意外差错或欺诈行为,可能导致交易各方信息的差异。此外,数据传输过程中的信息丢失、信息重复或信息传送的次序差异也会导致交易各方信息的不同。交易各方信息的完整性将影响到交易各方的交易和经营策略,电子商务系统信息存储必须保证正确无误。
3)信息的有效性
信息的有效性是指接收方可以证实所接收的数据是原发方发出的;而原发方也可以证实只有指定的接收方才能接收。电子商务交易中,一旦签订合同后,这项交易就应受到保护以防止被篡改或伪造。交易的有效性在其价格、期限及数量作为合同一部分时尤为重要。因此,必须保证交易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。
4)信息的不可否认性
其是指信息的发送方在发送信息后不能否认,接收方不能否认已收到的信息。
在实际交易中,交易一旦达成是不能被否认的,否则正常的交易就不能进行。因此电子交易通信过程的各个环节都必须是不可否认的。
5)交易者身份的真实性
交易者身份的真实性是指交易双方确实是存在的,不是假冒的。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,能方便而可靠地确认双方身份是交易的前提。
2.3.4 加密技术与标准
1)加密技术
数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部窃取所采用的主要技术手段之一,也是网络安全控制的基本技术。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成从字面上无法正确理解的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。
变换前的数据称为明文,变换后的数据称为密文,加密和解密的规则称为算法。数据经加密模块加密后变成密文在网络中传输,由接收端的解密模块进行解密,还原成明文。
密钥:是用于加解密的一些特殊信息,是控制明文与密文之间变换的关键参数。它可以是数字、字母、语句等。算法在密钥的控制下进行操作,对应不同的密钥,相同的算法和相同的明文可以产生完全不同的密文。从而密钥可以充分地发挥已设计的加密算法的作用。根据密钥使用和产生方式的不同,将加密技术分为对称加密技术和非对称加密技术。
2)对称加密技术与标准
(1)基本概念。
对称加密技术属于传统密钥加密技术,这种方法已经使用几个世纪了,它是指在对信息的加密和解密过程中使用相同的密钥。或者,加密和解密的密钥虽然不同,但可以由其中一个推导出另一个。这就是说,解密方必须使用加密方加密用的密钥才能解密。
对称加密技术的加密标准主要有两个,一个是数据加密标准DES,另一个是国际数据加密算法(IDEA)。DES标准是由IBM公司开发,现在已成为国际标准,由美国国家安全局和国家标准与技术局来管理。国际数据加密算法(IDEA)于1992年正式提出,它比DES的加密性好,而且需要的计算机功能也不那么强。
(2)DES和IDEA加密标准。
DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位作为奇偶校验。有效的密钥长度为56位。首先将明文数据进行初始置换,得到64位的混乱明文组,再将其分成两段,每段32位。然后进行乘积变换,在密钥的控制下,做16次迭代,最后进行逆初始变换而得到密文。IDEA同样也是采用分组迭代的加密方法,但使用的有效密钥长度为128位,因此其加密性能更好。
(3)对称加密技术的特点。
对称加密技术使用的加密算法简捷高效,密钥简短,加密速度快,加密强度高,破译极其困难。但在电子商务交易中,对称加密技术无法满足基本的安全要求。
首先是密钥难于安全传递。在对称加密技术中加密方每次使用的新密钥,都要经过某种秘密渠道把密钥传给解密方,而密钥在传递过程中容易泄漏。
其次,密钥量大,难以进行管理。如果网内任意两个用户通信时都使用互不相同的密钥,N个人就要使用N(N-1)/2个密钥。
另外,不能提供信息完整性鉴别,无法验证收发双方的身份。也无法在素不相识的两方传送保密信息,而这在商业交易中是必须的功能。
3)非对称加密技术与标准
为解决密钥管理问题,White Diffie和Martin
Hellman于1976年提出一种密钥交换协议,允许在不安全的媒体上通信双方交换信息,安全地达成一致的密钥。在此新思想的基础上,很快出现了非对称加密技术。
(1)基本概念。
非对称加密技术是现代密码学最重要的发明和进展。它是将加密密钥和解密密钥分开,加密和解密分别由两个密钥来实现,并使得由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的。
采用非对称加密技术的每一个用户都有一对选定的密钥,其中一个密钥对外公开,称为“公开密钥”(public-key),简称公钥;另一个密钥由密钥所有者自己保管,称为“私密密钥”(private-key),简称私钥。非对称加密技术的典型算法是RSA标准。
(2)RSA加密标准。
RSA算法是1978年由Ronald Rivest、AdiShamir和Leonard
Adleman三人开发的,所以该算法以他们三人名字的首字母命名为RSA。RSA是第一个既能用于数据加密也能用于数字签名的算法。但RSA的安全性一直未能得到理论上的证明。
RSA算法基于难于找出大数字的素数这个事实。例如,数字7的素数是1和7,很容易计算出,但是要计算有几百位的大数字的素数就非常困难。即使使用计算机也要花费很长的时间。在RSA算法中,公钥和私钥都是两个大素数的函数。
从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。
(3)非对称加密技术的特点。
非对称加密技术成功解决了对称加密技术中密钥分配、密钥管理和收发双方身份认证困难的问题。如由于公钥可以通过各种公开渠道传递,因此,密钥分配非常简单;另外,密钥的保存量少,便于密钥管理;而且,私钥的私密性,可以作为实现数字签名和数字鉴别的主要工具。但是,非对称技术加密速度慢,难于满足大信息量文件的快速加密。统计表明,对于相同体积的数据块进行加密,DES算法的加密效率比RSA算法的加密效率高出数十倍。
4)加密强度与密钥长度
无论是DES还是RSA加密标准,其算法都是公开的,只有密钥是保密的。要攻击加密系统,只能采用穷举法或强力攻击,就是试验每种可能的密钥。在这种情况下,加密强度取决于密钥长度。
理论上讲,使用上述标准加密的安全性是相对的,随着计算机性能和网络并行计算技术的发展,人们破译密码需要的时间越来越短。例如,DES是56位密钥,有256个密钥数,即72100000000000000种不同密钥。这个数字看起来很大,但其实不然。数字设备公司开发了每秒进行16000000次DES运算的芯片,如果机器中有1000个这种芯片,则不用8个星期就能攻破DES加密的信息。1997年6月17日,Rocke
Verser领导的小组调动Internet上的78000台计算机,在几个月内攻破了DES加密的信息。
幸好这种攻击只有大规模犯罪集团和国家的代码破译组织才能进行,不是一般黑客能够做到的。而且,随着代码强度改进成本的增加,攻击密码的成本呈指数级增加。
目前要保证电子商务交易信息的安全性,DES等对称加密系统至少需要75位密钥,70年安全性至少需要90位密钥;而非对称加密系统,由于可以用分解因子之类的快捷攻击,不需要试验所有密钥,所以需要更长的密钥,对RSA,密钥应有268或1024位。
5)对称加密和非对称
加密技术的综合应用在实际的加密实践中,人们常常结合对称加密和非对称加密技术的不同特点来灵活使用,用对称加密技术加密要传送的信息,用非对称加密技术加密私钥加密密钥。这样,既提供了保密性又提高了通信速度。
第一步:发送者先产生一个随机数(即对称加密密钥,每次加密密钥不同),并用它对要发送的信息进行加密。
第二步:发送者用接收者的公钥对该随机数(即对称加密密钥)加密。
第三步:将上两步加密后的两个密文通过网络一起发送给接收者。
第四步:接收者接收到密文后,首先用私钥解密随机数(即对称加密密钥)。
第五步:接收者再用解密后的随机数(即对称加密密钥)对信息进行解密。
这种加解密方式,既有RSA算法的保密性,又有DES或IDEA算法的快捷性。
2.3.5 认证技术与应用
认证技术是为了满足电子商务系统的安全性要求而采取的一种常用而且必须的安全技术。它主要包括数字摘要、数字签名、数字时间戳、数字证书、身份识别等技术,下面简要介绍。
1)数字摘要
数字摘要,也叫数字指纹是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度(一般是128位)的摘要码,并在传输信息时将之加入文件一同发送给接收方,接收方接到文件后,用相同的方法进行变换计算,若得出的结果与发送来的摘要码相同,则可断定文件未被篡改。相同明文的数字摘要必定相同,不同明文的数字摘要必定不同,这是数字摘要最重要的应用特征。在电子商务交易中,数字摘要可以有效地检测交易信息是否完整或是否被篡改。
2)数字签名
数字签名,就是只有信息的发送者才能产生的,而别人无法伪造的一段数字串,这段数字串同时也是对发送者发送信息的真实性的一个有效证明。
电子商务交易中,数字签名技术主要用于3个方面:一是鉴别原始信息,保证信息传输过程中信息的真实性和完整性;二是对信息发送者的身份认证;三是保证信息发送者对发送的信息不能否认。而且,接收方不可否认服务也需结合数字签名技术予以实现。
目前应用广泛的数字签名方法主要有3种,即RSA签名、DSS签名和Hash签名。其中Hash签名是最主要的数字签名方法,也称为数字摘要法。用Hash编码法实现数字签名的原理如下:
发送方将要发送的文件生成一个128位的数字摘要;然后发送方用自己的私钥加密生成的数字摘要,这就形成了数字签名。
发送方将生成的数字签名会同密文一起通过网络发送给接收方;接收方用发送方的公钥对数字签名进行解密,若解密出的数字摘要与其从接收到的文件计算出的数字摘要相同,则可确定发送方的身份是真实的。同时说明文件在传输过程中没有被破坏或篡改。
3)数字时间戳
在电子商务交易文件中,时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳技术就是对电子文件签署的日期和时间进行安全性保护和有效证明的技术。数字时间戳上的时间是由第三方认证机构添加,并以认证机构收到文件的时间为依据。
数字时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成数字摘要,然后将该数字摘要发送到第三方认证机构,第三方认证机构在加入了收到该文件数字摘要的日期和时间信息后再对该文件用认证机构的私钥加密(做数字签名),然后送回给用户。
4)数字证书
数字证书也叫数字凭证,它是由具有权威性和公正性的第三方认证中心颁发的,用于证实证书持有者身份的电子文件。在进行电子商务交易时,交易参与者可以随时到认证中心网站,查阅其他交易对象的数字证书确认其身份,并获取其公钥以发送加密文件。
在电子商务应用中,一般有3种类型的数字证书:个人证书、服务器(企业)证书和软件(开发者)证书。
数字证书的内部格式是由CCITTX。509国际标准所规定的,其内容包括:
*证书的版本信息;*证书的序列号,每个证书都有一个唯一的证书序列号;*证书所使用的签名算法;*证书的发行机构名称,命名规则一般采用X。500格式;*证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;*证书所有人的名称,命名规则一般采用X。500格式;*证书所有人的公开密钥;*证书发行者对证书的数字签名。
有关认证中心和数字证书申请的详细内容,请参见本书第3章第4节。
5)身份识别
技术身份识别技术,用于对电子商务参与者真实身份的认证。身份识别的常用方法主要有3种:一种是口令识别,另一种是标记识别,第三种是生物特征识别。
(1)口令识别。
口令是应用最广的一种身份识别方式,如登陆计算机应用系统就常常需要用户名和口令。口令一般是长度为4到8位的字符串,由数字、字母、特殊字符、控制字符等组成。
用户名和口令是一一对应的,为了口令的安全,在计算机系统中存储的并不是口令本身,而是存储口令的单项函数。这样非法侵入者即使获取存储口令的文件,也不能轻易获取合法用户的口令。
计算机系统识别口令的过程如下:
用户将口令输入到计算机→计算机完成口令单向函数值的计算→计算机把单向函数值和机器存储的值比较,若一致,则口令正确,否则,发出错误信息。
(2)标记识别。
标记(Token)是一种个人持有物,它的作用类似于钥匙,用于启动电子设备。标记上记录着用于机器识别的个人信息。目前常用的标记多采用智能卡,将用于识别的信息写入智能卡内的电脑芯片中。在读卡设备的配合下,读取和认证卡内的信息,如目前广泛采用的门禁系统就是使用这一技术。但在电子商务系统中,智能卡仅仅为身份识别提供了一个硬件基础,要想得到安全的识别,还需要与安全协议配套使用。
(3)生物特征识别。
生物统计学身份识别是基于物理特征或行为特征自动识别人员的一种方法,其突出特点是严格依据人的物理特性并且不依赖任何能被复制的文件或可被破解的口令。
在现代生活环境下,需要记忆的口令或个人识别号码(PIN)越来越多,如银行账户、电子邮件、网站注册等都需要口令或PIN。这反而成为一种安全隐患。而生物特征识别不需要用户记忆任何口令,为解决口令替代问题提供了一个解决方案。
生物统计学技术包括指纹、隔膜、视网膜扫描,声音和手纹辨认等,字体的分析也是一种常用的生物统计学识别方法。
随着新的、功能更强大的硬件和更智能化的软件的引入,生物特征识别正在成为电子商务中应用越来越普遍的识别方法。
6)认证技术综合应用
在实际的电子商务应用中,上述的安全认证技术是综合使用的,2.3.6安全交易协议近年来,针对电子商务交易安全的要求,IT业界与金融行业共同推出了许多不同的安全协议和整体解决方案。主要的协议标准有:安全套接层协议SSL和安全电子交易协议SET。
1)安全套接层协议(SSL)
安全套接层协议是由美国Netscape公司首先提出的、基于RSA算法,用于浏览器和Web服务器之间的安全交易协议。它能把在网页和服务器之间传输的信息自动加密以防止在传输过程中被窃取,同时提供认证服务和传送信息的完整性服务。因此,采用SSL协议传输密码和信用卡号等敏感信息以及身份认证信息是一种比较理想的选择。
SSL可以被理解成一条受密码保护的通道。通道的安全性取决于协议中采用的加密算法。SSL协议实现简单,内置于IE等大部分浏览器和WWW服务器中,便于在电子交易中应用。目前,SSL协议已经成为网络上保密通信的一种工业标准,在C/S和B/S的构架下都有广泛的应用。
SSL主要目的是解决Internet上主要协议TCP/IP难以确定用户身份的问题,以便保证Internet上通信服务的安全性。
但是,SSL也存在着一些安全上的弱点,首先,SSL只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和认证服务;其次,SSL只能保证信息传递过程的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性、不可抵赖性,而且实现多方互相认证也是很困难的。
2)安全电子交易协议(SET)
1996年6月,Visa、MasterCard、IBM、Netscape、Microsoft等金融和IT公司共同制定并正式发布了安全电子交易(SET)标准。SET规范的主要目标是为了在Internet上进行在线交易时保证信用卡支付的安全。它涵盖了信用卡在电子商务交易中的交易协议、信息保密、资料完整及数据认证、数据签名等各个部分。SET协议采用非对称加密技术、私钥和公钥长度在512位到2048位之间、并采用联机动态授权和认证检查、数字签名和数字摘要等措施,解决了客户资料的安全性问题;解决了网上交易存在的客户、银行和商家之间的多方认证问题;保证了网上交易的实时性问题等,这些都是SSL所无法解决的,可见SET协议是目前进行电子商务的最佳协议标准。但SET也有自己的缺点,就是实现过于复杂,对客户、商家和银行要求都非常高,比较难以推广。
根据SET协议的工作流程图,可将整个工作程序分为下面几个步骤:
(1)客户在网上商店选购商品并得到确认后进行网上支付,此时进入SET系统。
(2)在SET中,客户必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到客户的账号信息。
(3)在线商店接受订单后,向客户所在银行请求支付认可。信息通过支付网关到收单银行,再到电子货币发行公司确认。批准交易后,返回确认信息给在线商店。
(4)在线商店发送订单确认信息给客户。客户端软件可记录交易日志,以备将来查询。
(5)在线商店发送货物,或提供服务;并通知收单银行将钱从客户的账号转移到商店账号,或通知发卡银行请求支付。
在认证操作和支付操作中间一般会有一个时间间隔,例如,在每天下班前请求银行结一天的账。
在上述处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,客户、在线商店、支付网关都通过认证中心(CA)来验证通信主体的身份,以确保通信的对方不是冒名顶替。所以,也可以简单地认为,SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。
2.3.7 防火墙技术
防火墙技术是保护内部网络系统不受外部侵犯的最主要技术之一。在Internet中防火墙技术是指在企业内部网络(Intranet)和外部网络(Internet)之间设置一个或多个电子屏障来提供网络安全环境。其目的是阻止对企业内部网络信息资源的非法访问;也可以使用防火墙阻止内部信息从公司的网络上被非法窃取。防火墙可以是一套用于安全控制的软件系统,也可以是固化有安全控制软件的硬件设备。
1)防火墙的功能防火墙主要有以下功能:
(1)保护易受攻击的服务。
防火墙能过滤那些不安全的服务(如Finger, NFS等)。只有预先被允许的服务才能通过防火墙,防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。这样就降低了受到非法攻击的危险,大大提高了网络的安全性。
(2)控制对特殊网站的访问。
这是防火墙最基本的功能。如有些主机允许被外部网络访问,而有些则要被保护起来,防止不必要的访问。例如,在内联网中通常只有E-Mail服务器、FTP服务器和www服务器允许被外部网访问,而对内部网络的其他主机的访问则被禁止。
(3)集中化的安全管理。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
(4)对网络存取访问进行记录和监测。
将防火墙系统作为企业内部网络与外部网络连接的唯一通道,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的告警,并提供网络是否受到监测和攻击的详细信息。
一般讲,企业内联网常采用局域网技术,外部网络常为广域网,用路由器来互连内联网和外部网络,因此路由器所在的位置也应是防火墙的位置;有时,路由器中也集成了防火墙的功能。
2)防火墙的主要类型
根据防火墙所采用的技术不同,可以将它分为两种基本类型:包过滤型、代理型。
(1)包过滤型防火墙。
包过滤型是目前使用最为广泛的防火墙,其原理很简单:根据数据包的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过,满足过滤逻辑的数据包才被转发,否则丢弃。
包过滤软件通常集成到路由器上,允许用户根据某种安全策略进行设置。提供包过滤功能的路由器可以通过分析IP地址和端口号来决定是否转发一个分组。例如:可以建立一个对应端口号为23的防火墙过滤器来阻止向内部计算机上发送远程登录分组;建立一个对应端口号为21的防火墙过滤器来阻止外部用户向内部计算机发送文件传输分组(FTP)等。
基于分组过滤的防火墙的安全性依赖于用户制定的安全策略,用户可以按照两种策略来设置系统:“不允许的就是禁止的”和“不禁止的就是允许的”。
包过滤技术的优点是简单实用,实现成本较低,在应付环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)代理型防火墙。
代理型防火墙也可以称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机看,代理服务器相当于一台真正的服务器:而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。通常代理服务是针对特定的应用服务而言的,不同的应用服务可以设置不同的代理服务器,如FTP代理服务器、TELNET代理服务器等。目前,很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性,并且取得了较好的效果。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用层安全逐一进行设置,大大增加了系统管理的复杂性。
上述防火墙类型的不同组合,可以形成各种不同的防火墙应用系统,如单一包过滤防火墙系统、双宿主网关防火墙系统、主机过滤防火墙系统和子网过滤防火墙系统等,网络管理员应遵循既能保护内部网络的安全而又不影响网络使用的原则,选择适用于自己网络需求的防火墙配置。
