【文章內容簡介】 UDP、 FTP、等 ,如果某一用戶需要建立一個數據庫的代理 ,便可以利用這些支持 ,方便設置。 審計和 告警。新一代防火墻產品采用的審計和告警功能十分健全 ,日志文件包括 :一般信息、內核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、 FTP 代理、出站代理、郵件服務器、域名服務器等。告警功能會守住每一個 TCP 或 UDP 探尋 ,并能以發(fā)出郵件、聲響等多種方式報警。此外 ,防火墻還在網絡診斷、數據備份保全等方面具有特色。 目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現，它在網絡層對進入和出去內部網絡的所有信息進行分析，一般檢查數 據包的 IP 源地址、 IP 目標地址、TCP 端口號、 ICMP 消息類型，并按照信息過濾規(guī)則進行篩選，若符合規(guī)則，則允許該數據包通過防火墻進入內部網，否則進行報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據特定的 規(guī) 則允許或拒絕流動的數據，采用這種技術的防火墻速度快，實現方便，但由于它是通過 IP 地址來判斷數據包是否允許通過，沒有基于用戶的認證，而 IP 地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發(fā)現黑客的攻擊紀錄。其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用代理機制，內置了代理 應用程序，可用代理服務器作內部網和 Inter 之間的轉換。若外部網的用戶要訪問內部網，它只能到達代理服務器，若符合條件，代理服務器會到內部網取出所需的信息，轉發(fā)出去。同樣道理，內部網要訪問 Inter,也要通過代理服務器的轉接，這樣能監(jiān)控內部用戶訪問 類防火墻能詳細記錄所有的訪問紀錄，但它不允許內部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的 Inter 服務安裝相應的代理服務器軟件，用戶無法使用未被服務器支持的服務。 此外， 防火墻技術從其功能上來分，還可以分為 FTP 防火墻 、 Tel 防火墻、 Email 防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用，以彌補各自的缺陷和增加系統(tǒng)的安全性能。 防火墻雖然能對外部網絡的功擊實施有效的防護，但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的，還需考慮其它技術和非技術的因素，如信息加密技術、制訂法規(guī)、提高網絡管理使用人員的安全意識等。就防火墻本身來看，包過濾技術和代理訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻。但實踐證明，防火墻仍然是網絡安全中最成熟的一種技術 (三 )、電子 支付 技術 電子支 付簡介 7 （ 1） 電子支付概念 電子支付是通過信息流的傳輸來代替現金的交換，其各種支付方式都是通過數字化方式自動完成交易款項的支付。而傳統(tǒng)的支付方式則是通過現金的流轉、票據的轉讓以及銀行的匯兌等物理實體來完成款項的支付。 （ 2） 三種不同類型的電子支付系統(tǒng) 預支付（ prepaid）系統(tǒng) 及時支付（ instantpaid）系統(tǒng) 后支付（ postpaid）系統(tǒng) （ 3） 電子支付方式 電子貨幣類：如電子現金電子錢包等 電子信用卡類：包括智能卡、借記卡、電話卡 電子支票類：如電子支票、電子匯款（ EFT）、電子劃款等 （ 4）電子支付基本技術要求 真實性、保密性、完整性、抗抵賴性 電子支付系統(tǒng)的基本構成 （ 1） 信用卡網上支付系統(tǒng) 信用卡支付系統(tǒng)的業(yè)務流程如下： 客戶訪問主頁；瀏覽商品，驗證商家 CA ② 客戶挑選商品，填寫訂單。同時插入信用卡，輸入身份識別碼 PIN，由瀏覽器擴展部 8 分進行驗證，如果符合就打開信用卡，讀取卡中數據，并由用戶形成支付指令，與訂單同時發(fā)往商家。 ③ 商家后端服務器中的支付處理模塊在收到訂單信息和 支付信息之后，初步確認客戶的交易意圖，在對客戶身份認證完成之后，將兩種信息發(fā)往信用卡信息中心進行確認并申請授權。 ④ 經支付網關檢查過的合法支付指令被傳送到信用卡信息中心進行聯機實時處理，經過卡的真實性、持卡人身份合法性以及信用額度的確認后，信用卡信息中心決定是否授權，并將產生結果傳回商家服務器。 ⑤ 接到信用卡授權之后，商家便可繼續(xù)交易，并向客戶發(fā)送交易完成的信息，組織向客戶發(fā)送貨物。 ⑥ 信用卡信息中心將信用卡授權產生的轉賬結算數據傳往收單行進行賬務處理。時間可在當日，次日，或約定的一定時間間隔內。 ⑦ 收單行將轉賬數據及相關信息傳往發(fā)卡行進行認證 (注：在信用卡信息中心的認證基礎之上的再認證，充分保證支付系統(tǒng)的安全性 )。 ⑧ 轉賬業(yè)務經發(fā)卡行認證傳回收單行。同時，發(fā)卡行將客戶的消費金額記入其消費信貸賬戶中，并開始計息；收單行則把商家的貨款收入記入其存款賬戶中。至此，轉賬過程結束。 ⑨ 轉賬結果再分別由發(fā)卡行和收單行傳往信用卡信息中心，以便它更新數據庫，從而方便商家和客戶的查詢。 （ 2） 電子支票支付系統(tǒng) ① 客戶到銀行開設支票存款賬戶，存入存款 (此步驟也通過 Inter 實現 )，申請電子支 ② 客戶開戶行審核申請人資信狀況，開戶行發(fā)放電子支票生成軟件，賦予客戶使用電子 ③ 顧客網上購物，填寫訂單完畢，使用電子支票生成器和開戶行發(fā)放的授權證明文件生 ④ 商家將電子支票信息通過支付網關發(fā)往收單行請求驗證，收單行將通過金融網絡驗證后的信息傳回商家。 9 ⑤ ⑥ 在支票到期日前，商家將支票向收單行背書提示，請求兌付。 （ 3） 電子現 金支付系統(tǒng) 電子現金網上支付的流程如下： ① ② ③ 商戶驗證電子現金的數量及真?zhèn)?, ④ ⑤ 發(fā)行機構驗證并收回電子現金，同時將等額的貨幣金額由自己的銀行賬戶中轉移到商家的銀行賬戶中。 電子支付系統(tǒng)技術與模式設計 （ 1）電子支付技術說明 ① 支付系統(tǒng)的正常運行安全問題涉及的安全技術主要有支付系統(tǒng)硬件 運行安全技術、操作系統(tǒng)安全技術、支付信息數據庫安全技術和支付系統(tǒng)網絡防火墻技術。 ② 網上支付系統(tǒng)對參與支付流程的各方進行有效驗證身份驗證問題，涉及的安全技術主要有：認證系統(tǒng)技術。一種是基于 PKI(Public Key Infrastructure)技術實現的 認證系統(tǒng)。它是目前較為廣泛運用的認證系統(tǒng)；一種是基于 IBE (Identity Based Encryption)技術實現的認證系統(tǒng)。認證系統(tǒng)涉及的安全技術主要有：數字簽名協(xié)議、 HASH 函數、識別協(xié)議、認證協(xié)議。認證技術在網上支付系統(tǒng)中的具體運用是由認 證系統(tǒng)、 CA 認證中心以及電子商務安全通信與控制協(xié)議 (SSL、 SET)等共同完成。 ③ 支付數據信息保密性的安全問題，涉及的安全技術主要有：加密技術它是一種主動的信息安全防范措施。根據進行加密解密運算的密鑰特點，將密碼體制分為對稱和非對稱密碼體制兩種。在網上支付模式中常用對稱密鑰加密支付信息，再用接收方的公鑰對此對稱密鑰加密形成數字信封，解決了對稱密鑰傳遞和加密效率問題。對支付數據信息保密問題的解決，主要是通過在電子商務協(xié)議 (SSL、 SET 等 )具體運用這些加密技術來完成的。如在 SSL 握手協(xié)議中，客戶端和服務器 之間協(xié)商選用雙方都支持的加密算法。 ④ 支付數據完整性的安全問題，涉及的安全技術主要有：安全認證技術。支付系統(tǒng)的數據完整性技術具體實現如下：由 Hash 函數如 SHA、 MD5 等生成的 MAC 報文鑒別碼，以保 10 證數據的完整性 .這在 SSL、 SET 等電子商務協(xié)議中都是一樣；將 HASH 函數和公鑰算法這二者結合起來產生數字簽名，可以在提供數據完整性的同時保證數據的真實性。數字簽名的重要應用就是雙重簽名 DS(Dual Signature)。雙重簽名 DS 在 SET 中有廣泛運用，它實現了支付信息中購物信息和資金信息的獨立完整性和保 密性。 ⑤ 支付行為不可抵賴性的安全問題涉及的安全技術主要有：公開密鑰加密體制、 HASH 函數、數字簽名、數字時間戳、 FNP 協(xié)議、 CMP 協(xié)議等技術。支付信息發(fā)送方的不可抵賴性的實現可由數字簽名技術和公開密鑰加密技術完成，具體實現同支付系統(tǒng)數據完整性技術一樣。支付信息接收方的不可抵賴性的實現可由數字簽名技術、不可抵賴協(xié)議 FNP 或 CMP來實現。這兩個協(xié)議都是基于可信任的第三方 TTP (Trusted Third Party)的基礎之上的，其共同點都是信息發(fā)送方將解密密鑰傳給 TTP，其特征是必須保證通信的雙方 在任何一個通信階段都不能處于比對方有利的位置，能同時實現不可抵賴性的兩個方面也就是說，既可以實現發(fā)送方的身份認證 .又能實現接收方的不可抵賴性。對于支付信息發(fā)送時間和接收時間不可抵賴性 .則由數字時間戳服務 (DTS)提供的數字時間戳加附于上述兩過程的支付信息上，實現過程類似上述兩過程。 （ 2） 電子支付系統(tǒng)模式設計簡介 通常解決電子支付方案主要以下 3 種模式： SSL 模式、 SET 模式和 3DSecure 模式。通過 SSL（ Secure Socket Layer）協(xié)議、 SET(Secure Electronic Transactions)協(xié)議和 3DSecure 協(xié)議的研究，分別對基于 SSL、 SET 和 3DSecure 的安全支付系統(tǒng)作了設計。 ① 基于 SSL 的支付系統(tǒng)的設計 電子商務支付中最早是通過 SSL 協(xié)議將現有信用卡體系與互聯網集合。 SSL 提供了點對點的加密通道，實現了消費者與商家之間通過互聯網安全傳遞信用卡信息，保證了數據通過公用網絡傳輸過程中的保密性。其最大缺點是缺乏交易各方的認證機制和完備的防抵賴功能，但 SSL 被大部分 WEB 瀏覽器和 WEB 服務器所內置，技術簡單，二次開發(fā)集成方便，故 SSL協(xié)議已獲得了很大的市場應用 。 基于 SSL 的電子支付系統(tǒng)，通過使用對稱密碼技術和公開密碼技術，保證信息的真實性、完整性和保密性。 SSL 客戶機和服務器之間通過協(xié)商，建立起一個安全通道。在安全通道中傳輸的所有信息都經過了密鑰加密處理，以確保信息的機密性。 SSL 利用密碼算法和 HASH函數，通過對傳輸信息特征值的提取來保證服務器和客戶機之間的信息的完整性。利用證書技術和可信的第三方 CA，讓客戶機和服務器相互識別對方的身份?；?SSL 協(xié)議的數據流程，如圖所示。 (1) 用戶通過接入系統(tǒng)，選擇相應的服務； (2) 接入系統(tǒng)接收用戶的服務請求， 同時將請求發(fā)往業(yè)務網關； 11 (3) 業(yè)務網關根據接入系統(tǒng)發(fā)來請求中的銀行標識信息，將授權請求發(fā)往相應的支付服務器； (4) 支付服務器進行相應的數據處理后，根據授權請求中的銀行標識信息，將請求發(fā)往相應的銀行支付網關； (5) 銀行進行處理后，銀行支付網關將授權響應消息返回給支付服務器； (6) 支付服務器將響應返回給業(yè)務網關； (7) 若授權通過業(yè)務網關，則將用戶服務請求發(fā)往業(yè)務系統(tǒng)，反之返回認證失??； (8) 業(yè)務系統(tǒng)根據用戶服務請求信息提供相應的服務，返回給業(yè)務網關； (9) 業(yè)務網關將服務響應轉發(fā)給接入 系統(tǒng)； (10) 接入系統(tǒng)將服務響應返回給用戶。 ② 基于 SET 的支付系統(tǒng)的設計 為改進 SSL 協(xié)議的不足， Visa(維薩 )和 MasterCard(萬事達 )這兩大信用卡公司于 1996 推出 SET 協(xié)議，它是一套基于數字證書、安全技術應用完善的電子商務支付協(xié)議， SEI、協(xié)議從安全、認證、集成度 3 個方面來考慮都是優(yōu)于 SSL 的方案。其主要特點是要求用戶、商家、銀行都申請數字證書來標識身份，而且要求在用戶端、商戶端和銀行端都安裝 SET 軟件，來產生和傳遞定單及支付信息。 基于 SET 的電子支付系統(tǒng)利用 SET 給出的整套 安全電子交易的規(guī)范，可以實現電子商務交易中的機密性、認證性、數據完整性和交易的不可抵賴性等安全功能。它通過下面的技術確保電子支付的安全性。使用數字證書驗證交易各方身份的真實性和合法性；使用數字簽名技術確保數據的完整性和不可抵賴性；使用雙重簽名技術對 SET 交易過程中消費者的支付信息和定單信息分別簽名，使得商家看不到支付信息，只能對用戶的訂單信息解密，而金融機構只能對支付和賬戶信息解密，充分保證消費者的賬戶和定貨信息的安全性?；?SET 協(xié)議的數據流程如圖所示。 (1) 持卡人提交購物請求； (2) 商家服 務器通過調用支付服務器 API 激活支付服務器； (3) 支付服務器將響應消息發(fā)給商家服務器； (4)商家服務器將“喚醒”消息發(fā)送至瀏覽器； (5)瀏覽器觸發(fā)電子錢包； (6)電子錢包向支付服務器發(fā)出購買初始化請求； (7)支付服務器響應購買初始化請求，并將響應結果發(fā)送給電子錢包； (8)電子錢包向支付服務器發(fā)出購買請求； (9)支付服務器接到購買請求后，發(fā)送授權請求至支付網關； 12 (10)支付網關發(fā)送授權結果至支付服務器； (11)支付服務器轉發(fā)授權結果至電子錢包； (12)電子錢包根據不同的授權結果，通過瀏覽 器顯示不同的頁面，告訴用戶授權結果。 ③ 基于 3DSecure 的支付系統(tǒng)的設計 由于 SEI 協(xié)議涉及三方數字證書管理、支付系統(tǒng)運行過于復雜且網絡支付過程耗時太大，已經稱為技術先進但無法被廣大的