防火墙技术和入侵检测技术 许洗威 (南京铁道职业技术学院,江苏苏州215137) 摘要:随着Intemet技术的发展,电子商务以其高效和低成本的优势,逐步成为一类新兴的企业经营 模式。但是,电子商务必须采取行之有效的措施,确保系统有足够的安全性,防止非法入侵和机密信息泄露 所造成的损失。网络安全是电子商务安全的一个重要方面,而防火墙技术和入侵检测技术是实现网络安全的 一个重要技术手段。 关键词:电子商务;网络安全;防火墙;入侵检测;病毒木马 中图分类号:TP393.08 文献标识码:A 文章编号:1671—1122(2011)04—0021—03 Iscussion on Firewall Technology and Intrusion Detection Technology in E-commerce Security XU Guang—yu (NanjingInstitute ofRailway Technology,Jiangsu Suzhou 215137,China) Abstract:With the rapid development of Internet Technology,e—Commerce provides high effective and low cost investment,it becomes an infant enterprise management mode.However,E—Commerce must adopt the effective act to ensure the security of the system,prevent loss of illegal intrusion and classiied ifnformation leakage. Network security is the important part of e—commerce security,and firewall technology and intusiron detection technology is the important means to protect the network security. Key words:E—commerce;network security;firewall;intrusiondetection;Trojan 0引言 随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。随着 电子商务的发展,其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经 成为商家和用户都十分关心的话题。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机 网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达 到电子商务所特有的安全要求。本文将就防火墙技术和人侵检测技术在电子商务安全中的应用展开讨论。 1防火墙技术 1.1防火墙的作用 防火墙通常放置在外部网络和内部网络的中间,它的作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控 制强化内部网络的安全。 如果没有防火墙,整个内部网络的安全性就完全依赖于每个主机,也就是需要每台主机都达到一致的高度安全水平。这里面就 有一个‘木桶原理”——木桶能装多少水是由最低的那块木板决定的,所以内部的主机越多,要使其达到统一的安全级别水平就越困难。 如果采用了防火墙,那内部网络中的主机就不会直接暴露给来自Internet的攻击,因此对整个内部网络的安全管理就转变成 了防火墙的安全管理,这样的安全管理将更为方便和易于控制,也使内部网络更加安全。 1.2防火墙的功能 1.2.1访问控制功能 这是基本功能,是通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据,它包括了服务控制、方向控制、 ● 收稿时间:20l1—01—21 作者简介:许洗或(1971一),男,江苏,主要研究方向:网络管理、网络安全、网页设计。 21 Il_ - 20ll_04 用户控制、行为控制等功能。 1.2.2内容控制功能 根据数据内容进行控制,可以对敏感信息进行过滤,也 可以外部访问,使它只能访问本地网中的部分信息。 1.2.3全面的日志功能 防火墙的日志功能将完整地记录网络访问情况,一旦网络 发生了,人侵或遭到了破坏,就可以对日志进行审计和查询。 1.2.4自身的安全和可用性 防火墙要保证自身的安全不被非法侵入,保证正常的工 作。防火墙也要保证可用性,否则网络就会中断,网络连接也 就没有了意义。 1.2.5集中管理功能 在一个安全体系中,防火墙可能不止一台,防火墙应该是 易于集中管理中的,以方便管理员实施安全策略。 1.2.6网络地址转换 由于防火墙介于两个网络的边界,所以它必然能够完成网 络地址转换,即俗称的NAT功能。它通过修改数据包的源地 址或者目的地址来达到节省IP地址资源,并且隐藏内部IP地址。 同时它也能进行端口的转换,网络中每个服务大多对应 一个或多个端口,一些熟知的端口的存在往往引起攻击者的 好奇,比如3389就是远程桌面的默认端口。如果在地址转换 的同时改变了使用的端口,那无疑也增加了安全性,还可以仅 将需要的端口进行转换,而对一些不需要的端口进行屏蔽。比 如电子商务的网站往往网站系统和数据库系统不在同一台设 备上的,一般仅需要将网站的80端口进行转换即可,而数据 库系统仍在内网中,网站的其它端口对外也是不开放的,这样 就大大地减少了被攻击的风险。 1.2-7虚拟专用网(VPN) 利用数据封装和加密技术,使本来只能在私有网络上传 送的数据能够通过公共网络进行传输。由于VPN有多种形式, 防火墙的VPN功能一般都有一定的局限性,但对于一般的应 该足矣。 1.3防火墙作用的局限性 尽管防火墙对内部网起到了很好的保护作用,但是,作为 管理人员应当注意,防火墙并不是坚不可摧的。 首先,防火墙不能防范恶意的知情者。尽管防火墙可以禁止 系统用户经过网络连接发送保密信息。但是用户可以将数据复 制到磁盘、磁带或者纸上,放在公文包里带出去。因此,如果侵 袭者已经在防火墙的内部,防火墙实际上是为力的。内部用 户能偷窃数据,破坏硬件和软件,并目巧妙地修改程序而从不接 近防火墙。这种威胁只有靠加强内部安全防范来予以解决。 其次,防火墙不能控制不通过它的连接。防火墙仅能有 效地控制穿过它的信息传输。然而,却无法控制不穿过它的 信息传输。比如,用户或者系统管理员为了一时方便,临时地 或者永久地设置了他们自己的网络“后门”(诸如拨号调制解 调器连接等)。这就为网络安全埋下了隐患,而且,这种隐患 轻易不会被发现。 再次,防火墙不能完全防止受病毒感染的文件或软件的 传输,如果要在防火墙上完成对所有病毒代码的检查,防火 墙的效率就会降到无法忍受的程度。而互联网上每天都会出 现新的威胁或攻击,包括新的病毒或木马,防火墙作为一种 被动的防护手段,是无法做到百分之百防护的。 事实上,任何运行着的系统,不管它运行于网络之上与否, 在安全方面首先要考虑的不是安全设备有多先进或安全策略 有多完善,而是人的因素。电子商务系统与其它应用于网络的 应用系统不完全一样,它的安全性要求特别高,自然它对运 营基础——网络安全,有着更高的要求。 防火墙不仅仅是一段单独的计算机程序或一件设备,而 是整个Internet安全策略的体现。简单地将一个防火墙产品置 于Internet上并不能提供企业所需要的保护。相反地,如果这 种方式误导了管理员对安全的感觉,而致使其忽略了易受攻击 之处的话,反而会增加企业的风险。 2入侵检测技术 2.1入侵检测的原理 入侵检测是指发现或确定入侵行为存在或出现的动作, 也就是发现、跟踪并记录计算机系统或计算机网络中的非授 权行为,或发现并调查系统中可能为试图入侵或病毒感染所 带来的异常活动。 人侵检测是一种主动保护自己免受攻击的网络安全技术。 作为防火墙的合理补充,入侵检测技术能够帮助系统对付网 络攻击,扩展了系统管理员的安全能力,提高了信息安全基础 结构的完整性。入侵检测被认为是防火墙之后的第二道安全 闸门,在不影响网络性能的情况下能对网络进行检测。 E互五互] 匝 [ 图1入侵检测原理 2.2入侵检测系统(IDS)的优点 入侵检测系统具有以下一些优点:1)实时检测网络系统 的非法行为;2)网络IDS系统不战胜系统的任何资源;3)网 络IDS设备可以做到对黑客不透明,因此其自身的安全性很高; 4)网络IDS系统及时实时监测系统,也是记录审计系统,它 可以做到实时保护和事后取证分析;5)主机IDS系统运行于 20l1-04 保护系统之上,可以直接保护和恢复系统;6)通过与防火墙 的联动,可以更有效地阻止非法入侵和破坏。 多数用户将IPS以IDS(仅用于监控)模式接人到企业网络中。 2.3入侵检测的主要方法 2.3.1静态配置分析 3网络安全设施的相互结合 前面已经提到:计算机网络安全与商务交易安全实际上 是密不可分的,两者相辅相成,缺一不可。而计算机网络安 全除了利用上述的防火墙和入侵检测技术外,还需要其他相关 的手段配合,比如说病毒的防护。 入侵者对系统的攻击可能会留下痕迹,这可以通过检查系 统的状态检测出来;系统管理员在建立系统时难免会出现一 些疏漏;系统在遭受攻击后,入侵者可能会在系统中安装一 些后门以方便对系统进一步攻击。诸如上述此类都是采用静 3.1病毒、木马对网络安全的影响 态分析方法的原因。静态配置分析通过分析系统的当前配置, 来检查系统不否已经或者可能会遭受破坏。所以静态配置分 析方法需要尽可能地了解系统的缺陷,否则攻击者可以利用那 些系统中未知的安全缺陷从而避开检测系统。 2.3.2异常性检测方法 异常性检测方法是一种在不需要操作系统及其防范安全 性缺陷专门知识的情况下就可以检测入侵者的方法,也是检 测冒充合法用户的入侵者的有效方法。但是,仅使用异常性 检测技术不可能检测出所有的入侵行为,因为为用户建立正 常行为模式的特征轮廓及对用户活动异常性进行报警的门限 值的确定相对比较困难,目前这一类IDS多采用统计、或者基 于规则描述的方法,建立系统主体的行为特征轮廓。 有一种“神经网络”方法具有自学习、自适应能力,可以 通过自学习提取正常的用户或系统活动的特征模式,避开选 择统计特征这一难题。 2.3.3基于行为的检测方法 通过检测用户行为中那些与已知入侵行为类似的行为,那 些利用系统中缺陷或间接违背系统安全规则的行为,来判断 系统中的入侵行为。它不能检测新的入侵攻击以及未知的、潜 在的系统缺陷。 现实中的更多的IDS往往同时采用多种方法,互补不足, 来共同完成检测任务。 2.3.4入侵防护系统 IDS往往会带来大量的错误报警。一些用户认为,IDS经 常不断发报警信息,结果大部分是误报,而且报警信息不合 乎逻辑,处理IDS的报警信息是一个让人头痛的问题。所以 有些用户用人侵防护系统(IPS)来替代IDS,因为IPS只需保 持在线就可以阻止攻击。 IPS是一种主动的、积极的入侵防范及阻止系统,它部署 在网络的进出口处,当它检测到攻击企图后,会自动地将攻击 包丢掉或采取措施将攻击源隔断。IPs是建立在IDS发展的 基础上的络安全产品,它的检测功能类似于IDS,但 IPS检测到攻击后会采取行动阻止攻击。 尽管如此,但不能说IPS能够很快取代IDS。到目前为止, IDS在安全审计和事后追踪方面仍然无法替代。实际上,IDS 和IPS使用相同的检测技术,两者都会受到检测准确性的困 扰。由于担心IPS的错误判断有可能影响正常的网络服务,大 计算机病毒“指编制或者在计算机程序中插入的破坏计 算机功能或者破坏数据,影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码”。木马是指隐藏在正常程序 中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、 发送密码、记录键盘和攻击等特殊功能的后门程序。现在往 往把木马也归为网络病毒的一类。 病毒、木马的传播并不是只通过网络一种媒介,除了网络 外,目前使用广泛的移动硬盘以及U盘(闪存)也是病毒、木 马传播的一个重要媒介,也许网络进出口防范得很好,但在内 网由于使用不当造成重大安全隐患,而对这些隐患,防火墙 和入侵检测是为力的。当来自客户端的漏洞影响到电子商 务服务器的时候,安全将不仅仅是一个“问题”了n所以立足 单台计算机或者计算机局域网的病毒防护对电子商务的网络 安全也是必需的。它是防火墙和入侵检测的有效补充。 3.2防火墙和入侵检测系统的结合运行 防火墙是实施访问控制策略的系统,对流经的网络流量 进行检查,拦截不符合安全策略的数据包。传统的防火墙作 为第一道防线,能够防止网络层攻击,拒绝那些明显可疑的网 络流量,但仍允许某些流量通过,所以对某些入侵防火墙也 可能为力。如果在防火墙之后加入入侵检测,能够迅速 地检测到入侵,甚至能确认入侵者,并能在破坏发生或数据 损坏前加以阻止,能够有效减少破坏的危害并迅速地恢复系 统。高效的检测系统也能够直到一定的威慑作用,可以在一定 程度上阻止进一步入侵。入侵检测系统能够收集有关入侵的 信息,可以用来加强入侵阻止设施。 让IDS(IPS)和防火墙结合起来互动运行,防火墙能够 发现其安全策略之外的攻击行为,IDS也可以通过防火墙对外 来人侵及时加以阻止,这样就大大地提高了整体防护性能。 所以,面对当前的安全挑战,多数人都认为:层层设防,让 防火墙、IPS和IDS等各自发挥优势,是当前保护企业网络的最 佳手段,自然也是电子商务网络安全的有力保障。唠(责编程斌) 参考文献: [I]百度百科.电子商务安全技术『EB/OL].http://baike.baidu.com/ view/1054485 htm.2011—02—17/2011一()2—2(). 『2】施游网络规划设计师考试全程指导 棚.北京:清华大学出版社,2009. 【3】陈珊,陈哲.入侵检测技术和防火墙结合的网络安全探讨 浙 江工贸职业学院学报,2009,9(02):61—65.
