防火墙技术在企业财务管理系统中的应用

韩 晓

[摘 要]随着信息网络应用的普及,企业为了提高管理效率,日益重视管理信息系统的建设和应用,众多企业建立起了基于TCP/IP 协议并采用Internet 通信标准的局域网,在此基础上各种企业管理信息系统的应用也得到了逐步发展。财务管理系统就是比较典型的应用之一,虽然它带来了企业财务管理效率的提高,但是由于企业局域网所具有的开放性,也带来了系统入侵、病毒破坏等安全问题。

[关键词]防火墙 企业 防火墙的功能

[中图分类号]TN915[文献标识码]A[文章编号]1007-9416(2009)12-0068-02

目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施,主要包括防火墙技术、数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。

1 防火墙技术

1.1 防火墙的基本概念

防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击,确保数据安全。从逻辑上讲,防火墙是分离器、限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合;而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。

1.2 防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。

1.3 防火墙的功能

防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用 NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。

1.4 防火墙的分类

1.4.1 过滤型防火墙

又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源 IP 地址、目的 IP 地址、TCP/UDP 源端口号及目标端口号、ICMP 消息类型、数据包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。

1.4.2 代理服务器型防火墙

代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/IP功能。1个代理服务器实际上是1个为特定网络应用而连接2个网络的网关。

1.4.3 复合型防火墙

由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用 7 种技术:(1)动态包过滤;(2)内核透明技术;(3)用户认证机制;(4)内容和策略感知能力;(5)内部信息隐藏;(6)智能日志、审计和实时报警;(7)防火墙的交互操作性。

2 财务管理系统的防火墙设计

2.1 防火墙系统的总体设计思想

2.1.1 设计防火墙系统的拓扑结构

在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别,财务数据在企业属于非常重要的核心数据。从整个系统的成本、安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。

2.1.2 制定网络安全策略

在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第1条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每项许可的服务;第2条策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。

2.1.3 防火墙维护和管理方案的考虑

防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。

3 数据包防火墙设计

数据包过滤防火墙的技术核心是对是流经防火墙每个数据包进行审查,分析其包头中所包含的源地址、目的地址、封装协议 (TCP,UDP、ICMP,IP Tunnel 等)、TCP/UDP源端口号和目的端口号、输人输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。

3.1 与服务有关的安全检查规则

这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输,这类服务包括 WWW,FTP,Telnet,SMTP 等。以WWW包过滤为例,来分析下这类数据包过滤的实现。WWW数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器。要实现上述WWW安全规则,设置WWW数据包过滤为,在防火墙与Internet接口的网卡端仅允许目的地址为内部网络WWW服务器地址数据包通过,而在防火墙与内部网络接口的网卡端允许所有来自内部网络WWW数据包通过。显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。与此相似,我们可以建立起与FTP, Telnet,SMTP等服务有关的数据包检查规则。

4 结语

防火墙技术优点众多,但也并非万无一失。财务管理系统在设定防火墙后仍需要采取技术与管理方面的措施,将防火墙与其他安全防御技术配合使用,并加强使用中的安全管理,才能达到应有的效果。

[参考文献]

[1]张晔,刘玉莎.防火墙技术的研究与探讨[M].计算机系统应用,2006:68-75.

[2]王丽艳.浅谈防火墙技术与防火墙系统设计[J].辽宁工学院学报,2007(11):28-33.

[3]郭伟.数据包过滤技术与防火墙的设计[J].江汉大学学报,2005(7):24-26.