韓 曉

[摘 要]隨著信息網(wǎng)絡(luò)應(yīng)用的普及,企業(yè)為了提高管理效率,日益重視管理信息系統(tǒng)的建設(shè)和應(yīng)用,眾多企業(yè)建立起了基于TCP/IP 協(xié)議并采用Internet 通信標(biāo)準(zhǔn)的局域網(wǎng),在此基礎(chǔ)上各種企業(yè)管理信息系統(tǒng)的應(yīng)用也得到了逐步發(fā)展。財務(wù)管理系統(tǒng)就是比較典型的應(yīng)用之一,雖然它帶來了企業(yè)財務(wù)管理效率的提高,但是由于企業(yè)局域網(wǎng)所具有的開放性,也帶來了系統(tǒng)入侵、病毒破壞等安全問題。

[關(guān)鍵詞]防火墻 企業(yè) 防火墻的功能

[中圖分類號]TN915[文獻(xiàn)標(biāo)識碼]A[文章編號]1007-9416(2009)12-0068-02

目前企業(yè)局域網(wǎng)上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患,企業(yè)必須實施了安全防御措施,主要包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等,其中應(yīng)用最為廣泛、實用性最強(qiáng)、效果最好的就是防火墻技術(shù)。本文就防火墻技術(shù)在財務(wù)管理信息系統(tǒng)中的應(yīng)用進(jìn)行較為深入的探討。

1 防火墻技術(shù)

1.1 防火墻的基本概念

防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講,網(wǎng)絡(luò)防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護(hù)網(wǎng)內(nèi),財務(wù)上主要用于保護(hù)計算機(jī)和服務(wù)器不受攻擊,確保數(shù)據(jù)安全。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現(xiàn)方式可以有所不同,但它通常是1組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合;而從本質(zhì)上看防火墻是1種保護(hù)裝置,用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù);從技術(shù)上來說,網(wǎng)絡(luò)防火墻是1種訪問控制技術(shù),在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對信息資源的非法訪問,所以防火墻是一道門檻,控制進(jìn)出2個方向的通信,防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵。

1.2 防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則,監(jiān)控所有通過防火墻的數(shù)據(jù)流,只允許授權(quán)的數(shù)據(jù)通過,同時記錄有關(guān)的鏈接來源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監(jiān)測和跟蹤。

1.3 防火墻的功能

防火墻主要有以下四種功能:(1)能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò);(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性,并報警;(3)可以作為部署NAT(Network Address Translation,網(wǎng)絡(luò)地址變換)的地點(diǎn),利用 NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來,用來緩解地址空間短缺的問題;(4)可以連接到1個單獨(dú)的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。

1.4 防火墻的分類

1.4.1 過濾型防火墻

又稱篩選路由器(Screening router)或網(wǎng)絡(luò)層防火墻(Network level firewall),它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡(luò)控制,根據(jù)所收到的數(shù)據(jù)包的源 IP 地址、目的 IP 地址、TCP/UDP 源端口號及目標(biāo)端口號、ICMP 消息類型、數(shù)據(jù)包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù),與用戶預(yù)定的訪問控制表進(jìn)行比較,決定數(shù)據(jù)是否符合預(yù)先制定的安全策略,決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄,即實施過濾。

1.4.2 代理服務(wù)器型防火墻

代理服務(wù)器型防火墻通過在主機(jī)上運(yùn)行代理的服務(wù)程序,直接對特定的應(yīng)用層進(jìn)行服務(wù),因此也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程,它代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。1個代理服務(wù)器實際上是1個為特定網(wǎng)絡(luò)應(yīng)用而連接2個網(wǎng)絡(luò)的網(wǎng)關(guān)。

1.4.3 復(fù)合型防火墻

由于對更高安全性的要求,通常把數(shù)據(jù)包過濾和代理服務(wù)系統(tǒng)的功能和特點(diǎn)綜合起來,構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī),負(fù)責(zé)代理服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務(wù)器型防火墻,而是將各種安全技術(shù)結(jié)合起來,形成混合的多級防火墻,以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎?7 種技術(shù):(1)動態(tài)包過濾;(2)內(nèi)核透明技術(shù);(3)用戶認(rèn)證機(jī)制;(4)內(nèi)容和策略感知能力;(5)內(nèi)部信息隱藏;(6)智能日志、審計和實時報警;(7)防火墻的交互操作性。

2 財務(wù)管理系統(tǒng)的防火墻設(shè)計

2.1 防火墻系統(tǒng)的總體設(shè)計思想

2.1.1 設(shè)計防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

在確定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)時,首先必須確定被保護(hù)網(wǎng)絡(luò)的安全級別,財務(wù)數(shù)據(jù)在企業(yè)屬于非常重要的核心數(shù)據(jù)。從整個系統(tǒng)的成本、安全保護(hù)的實現(xiàn)、維護(hù)、升級、改造以及重要的資源的保護(hù)等方面進(jìn)行考慮,以決定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)。

2.1.2 制定網(wǎng)絡(luò)安全策略

在實現(xiàn)過程中,沒有允許的服務(wù)是被禁止的,沒有被禁止的服務(wù)都是允許的,因此網(wǎng)絡(luò)安全的第1條策略是拒絕一切未許可的服務(wù)。防火墻封鎖所有信息流,逐一完成每項許可的服務(wù);第2條策略是允許一切沒有被禁止的服務(wù),防火墻轉(zhuǎn)發(fā)所有的信息,逐項刪除被禁止的服務(wù)。

2.1.3 防火墻維護(hù)和管理方案的考慮

防火墻的日常維護(hù)是對訪問記錄進(jìn)行審計,發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進(jìn)行評價,需要時進(jìn)行適當(dāng)改進(jìn),管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化,對防火墻進(jìn)行硬件和軟件的修改和升級。通過維護(hù)和管理進(jìn)一步優(yōu)化其性能,以保證網(wǎng)絡(luò)極其信息的安全性。

3 數(shù)據(jù)包防火墻設(shè)計

數(shù)據(jù)包過濾防火墻的技術(shù)核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進(jìn)行審查,分析其包頭中所包含的源地址、目的地址、封裝協(xié)議 (TCP,UDP、ICMP,IP Tunnel 等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統(tǒng)預(yù)先設(shè)定的安全策略相匹配,以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用,這一過程就稱為數(shù)據(jù)包過濾。

3.1 與服務(wù)有關(guān)的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務(wù)的需要來決定是否允許相關(guān)的數(shù)據(jù)包被傳輸,這類服務(wù)包括 WWW,FTP,Telnet,SMTP 等。以WWW包過濾為例,來分析下這類數(shù)據(jù)包過濾的實現(xiàn)。WWW數(shù)據(jù)包采用TCP或UDP協(xié)議,其端口為80,設(shè)置安全規(guī)則為允許內(nèi)部網(wǎng)絡(luò)用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務(wù)器。要實現(xiàn)上述WWW安全規(guī)則,設(shè)置WWW數(shù)據(jù)包過濾為,在防火墻與Internet接口的網(wǎng)卡端僅允許目的地址為內(nèi)部網(wǎng)絡(luò)WWW服務(wù)器地址數(shù)據(jù)包通過,而在防火墻與內(nèi)部網(wǎng)絡(luò)接口的網(wǎng)卡端允許所有來自內(nèi)部網(wǎng)絡(luò)WWW數(shù)據(jù)包通過。顯然,設(shè)置此類數(shù)據(jù)過濾的關(guān)鍵是限制與服務(wù)相應(yīng)的目地地址和服務(wù)端口。與此相似,我們可以建立起與FTP, Telnet,SMTP等服務(wù)有關(guān)的數(shù)據(jù)包檢查規(guī)則。

4 結(jié)語

防火墻技術(shù)優(yōu)點(diǎn)眾多,但也并非萬無一失。財務(wù)管理系統(tǒng)在設(shè)定防火墻后仍需要采取技術(shù)與管理方面的措施,將防火墻與其他安全防御技術(shù)配合使用,并加強(qiáng)使用中的安全管理,才能達(dá)到應(yīng)有的效果。

[參考文獻(xiàn)]

[1]張曄,劉玉莎.防火墻技術(shù)的研究與探討[M].計算機(jī)系統(tǒng)應(yīng)用,2006:68-75.

[2]王麗艷.淺談防火墻技術(shù)與防火墻系統(tǒng)設(shè)計[J].遼寧工學(xué)院學(xué)報,2007(11):28-33.

[3]郭偉.數(shù)據(jù)包過濾技術(shù)與防火墻的設(shè)計[J].江漢大學(xué)學(xué)報,2005(7):24-26.