防火墙技术及其在电子商务系统中的应用

（华东师范大学第一附属中学，上海 200086）

0.引言

当今是一个高度网络化的世界。在网络中，并非每条信息都是安全的，一旦恶意信息进入了个人电脑或内网，可能会造成数据的泄露，甚至造成系统瘫痪。防火墙在网络安全防护中发挥着至关重要的作用。几乎所有的数据都需要经过防火墙的筛选，才能被传输到其他设备。防火墙可以将恶意信息如病毒、恶意程序等隔除，保护了个人电脑和内网的安全。防火墙于电脑，仿佛细胞膜于细胞一般。防火墙可以高效地筛选进进出出的信息，就像细胞膜控制物质的进出那样。如果没有这种重要的保护措施，个人电脑和内网中的数据就会直接暴露在外部网络之中，系统也会受到黑客的攻击。电子商务系统中存有大量至关重要的商业数据和交易信息，应用先进的防火墙技术，可以有效地保障这些信息和数据的安全，降低数据泄露的风险。

1.防火墙技术的简介

防火墙可以对在网络之间传输的数据包进行校验，如果符合规则，就允许该数据包通过，反之不予通过。防火墙是不同网络之间的安全隔离措施，若网络中只有一个防火墙，则只有一个出口，而分布式防火墙则有多个出口。防火墙本身拥有较强的抗攻击性，它是保障网络安全和信息安全的基础。所以它既是一个隔离器，也是一个控制器，同时是一个分析器[1]。

2.防火墙技术的分类

目前防火墙可以大致分为传统防火墙和新型防火墙。

2.1 传统防火墙

传统防火墙在网络安全中的应用极为广泛。传统防火墙在工作时极度依赖物理拓扑结构，它只能通过现实中的地理位置来区分内网用户和外来用户。也就是说，企业在架设内部网时，必须建立正确的物理拓扑结构，才能形成较安全的体系。可以说，传统防火墙受到了很多结构性的限制，不能在复杂的网络体系中发挥阻隔作用。随着互联网技术的发展，传统防火墙的工作方式渐渐不能满足现代企业的需求。

在构建传统防火墙时，一个基本假设是：来自内部网络的用户都是可信任的，来自外部网络的用户都是不可信任的。这种安全策略在接收外来数据的时候确实可以起到安全防护的作用，但在实际使用中，多数攻击和越权操作都来自内部用户，面对来自内部的攻击，传统防火墙防外不防内的弊端就显得极为突出。在面对来自内部的威胁时，传统防火墙几乎是束手无策的。在构建传统防火墙时，技术人员一般会在网络边界设置检查点，即将所有数据的检验集中到一个节点上。在面对大量的数据包时，这样的工作方式可能会导致网络瓶颈问题，导致防火墙工作效率低下。此外，由于传统防火墙的安全策略是十分复杂的，它在面对大量不同来源的访问请求时，工作效率通常是十分低下的。同时，在传统防火墙中，单点故障的发生率较高，一旦防火墙出现故障或防火墙受到攻击，整个防护措施都会失效，内部系统就会完全暴露在网络之中，也就是说，传统防火墙不能稳定、持久地保障信息安全[2]。

2.2 新型防火墙

分布式防火墙由3部分构成：网络防火墙、主机防火墙以及中心管理服务器。其中，网络防火墙与传统防火墙相似，该类防火墙通常被设置在网络边界，负责对网络与网络之间传输数据进行安全检测，同时负责内部子网之间的防护。主机防火墙有效地弥补了传统防火墙防内不防外的不足。主机防火墙通常被设置在主机中，即使攻击或越权来自内部，主机防火墙也能根据安全策略进行有效的响应，从而防止关键数据受到来自内部网络的攻击。中心服务管理器是整个体系的核心。除了制定各防火墙需要遵循的安全策略外，它还有日志收集以及分析数据的功能。

3.防火墙技术的研究进展

3.1 包过滤技术

传统包过滤技术是简单地对当前通过的数据包进行检测，查看其IP地址或协议类型等。传统包过滤技术的优点在于简单、快速、透明，但它的缺点也很突出。它很难检测利用动态端口的协议，不能判断数据的传输状态。此外，如果数据包内包含病毒或恶意代码，传统包过滤技术并不能识别这些程序，也不能阻止数据包进入系统，其安全隐患是相当大的。

一些研究人员深入研究有效阻隔恶意程序的策略，他们开发了动态包过滤技术。与传统包过滤不同，动态包过滤技术不仅仅检测当前通过的数据包，而且能根据数据包的背景进行综合分析，并根据分析结果决定是否允许该数据包通过，它相当于拥有结合上下文分析的能力。例如，当防火墙收到一个“已读”数据包时，其上文应当有发送的内容，也就是说，在这个收到数据包之前，网络中应当有一些与这个数据包存在一定的逻辑关系的数据。动态包过滤技术确保只有数据包和网络中传输的数据存在一定的关系时，该数据包才是安全的、能够被接收的。这种技术的优势在于，它可以通过散列算法对一些连续的数据包进行检查，而且它具备传统包过滤技术不具备的检查动态端口协议的能力，让传输的安全性得到提升[3]。

另一种由传统包过滤技术衍生出来的技术是深度包过滤技术。如果说动态包过滤技术是传统包过滤技术的横向发展，那么深度包过滤技术就是传统包过滤技术的纵向发展。传统包过滤不具备深入检测数据包内容的能力，深度包过滤技术弥补了这一不足。深度包过滤的检测可以在应用层对数据包进行检测。目前，大部分网络攻击都是针对应用层发起的，深度包过滤技术可以有效地为网络中重要的信息数据提供安全保障。

3.2 代理服务技术

在应用代理服务技术的过程中，技术人员主要依赖2种关键设备即筛选服务器和代理服务器。其中，筛选服务器控制着系统与互联网的连接，通过代理对应用层服务进行控制。代理服务器相当于一个中转站，负责连接内部网络和外部网络。通俗地讲，就是内部网络只与代理服务器进行对话，内部网络只通过代理服务器将内容转述给外部网络，而不会直接与外部网络的任何节点建立连接，当外部网络向内部网络传输数据包时，也需要先将数据包呈递给代理服务器，等待代理服务器的准许。在通过代理服务器的审核后，数据包的内容将会被复制一份，这份复制品将被内部网络接收。由于切断了内部网络与外部网络的直接联系，应用代理服务技术的网络的安全性极高。但是其缺点也很明显：因为每个数据包都要经过代理服务器的转接，等待代理服务器确认后再发送，信息传输的效率被大大降低。而如果想要在保证代理安全性的基础上加速访问，那么就必须事先设计好针对每一种服务协议的代理软件模块，从而进行安全控制，不过实现这种流程的难度比较大[4]。

3.3 智能防火墙技术

顾名思义，智能防火墙的优势在于它的智能化特征。它能够更灵活地处理来自外部网络的数据，准确地识别恶意攻击，保护内部网络的安全。打个比方，如果一个人打算找一个保镖来保护自己的人身安全，一个聪明的保镖会让人更加放心。智能防火墙就是一个聪明的保镖，它能够自行评估数据的特征，防止恶意程序进入内网。

与传统防火墙相比，智能防火墙能够检测并阻止应用层的攻击，它可以对数据包进行深度分析与管理，有效解决针对应用层且具有破坏性的复杂攻击。此外，访问外部资源的行为可能会引起应用层攻击，智能防火墙能够在用户开始访问时自动提高防护等级。同时，在处理基于MAC的访问控制时，智能防火墙也可以有效地阻止MAC欺骗和IP欺骗。智能防火墙还支持包擦洗技术，它可以高效地擦除数据包中可疑的或不必要的协议，使协议正常化，消除潜在的风险。

4.防火墙在电子商务系统中的应用

近年来，随着互联网的快速发展，电子商务的交易规模迅速扩大。电子商务系统逐渐成为企业经营和管理中不可或缺的系统之一。可以预见，在未来几十年中，电子商务市场规模将持续扩大，人们对电子商务系统的要求将越来越高。

电子商务系统采用线上交易方式，商品信息、交易信息、资金信息等许多关键信息需要通过网络传输，带来很大的隐患。在美国，每年与网络安全问题相关的损失高达七亿美元。由此可见，在电子商务系统中，防火墙是一道必不可少的防护屏障[5]。

在电子商务系统中应用的防火墙应包含以下几个模块：

4.1 安全核心模块

首先，在构建防火墙的安全核心模块时，应当同时应用包过滤技术以及代理服务技术。综合应用两者并以TCP/IP协议为核心的系统可以对数据包进行有效的检测和筛选，达到保护内部网络的目的。代理服务技术则可以间接连接内部网络和外部网络，让网络环境更加安全、可靠。在电子商务系统中，安全核心模块可以筛选不明来源的交易请求，阻止其到达内部网络，保证与资金相关的信息在传输过程中不被任何未授权用户篡改。

4.2 NAT模块

NAT模块即网络地址转换系统。该技术能够对进出网关的数据包的IP地址进行转换，让过滤规则动态化。同时，它还可以在IP层阻隔内部网络和外部网络。在这一模块的保护下，外部网络的访客很难获取内部网络的各种信息，如拓扑结构等。也就是说，对外部网络的访客而言，内部网络是不可知的。这一模块提高了内部主机的隐蔽性，在它的保护下，大多数攻击性试探无法完成。

5.结语

未来的防火墙必是高速的、多功能的，它们能够有效地保障网络安全，防止信息泄露。研究人员应当对防火墙的防护原理进行更加深入分析，综合应用各种前沿的防火墙技术，设计出速度更快、性能更强大、应用成本更低的防火墙，使其应用更加广泛。