【文章內(nèi)容簡(jiǎn)介】 卡內(nèi)記錄了詳細(xì)的金額信息，這些信息本身就有一套完善的卡內(nèi)信息校驗(yàn)機(jī)制。在我們的卡記過(guò)的密碼校驗(yàn)后，正常操作前，POS機(jī)或軟件系統(tǒng)就可以根據(jù)卡內(nèi)記錄的校驗(yàn)信息確定卡的有效性。V. 信息分區(qū)我們?cè)诳▋?nèi)寫入了許多持卡人的信息：金額信息、姓名、學(xué)號(hào)等。根據(jù)使用頻率不同和使用便利程度，我們把金額信息和其他身份信息放在不同的分區(qū)，這樣校園卡收費(fèi)系統(tǒng)和校園卡身份識(shí)別系統(tǒng)就可以使用各自的區(qū)域，相互之間互不干擾。同時(shí)在校園卡收費(fèi)系統(tǒng)中占據(jù)很大比重的消費(fèi)系統(tǒng)在卡的交易時(shí)間大大加快，適應(yīng)了學(xué)校餐廳就餐集中，要求交易時(shí)間短的需求。 POS機(jī)安全POS機(jī)內(nèi)存儲(chǔ)卡的使用信息是電子錢包卡的特有屬性，也是這種方式的關(guān)鍵所在，POS機(jī)內(nèi)存儲(chǔ)數(shù)據(jù)的安全性是非常重要的。POS機(jī)的安全包含機(jī)內(nèi)數(shù)據(jù)的安全和POS機(jī)設(shè)備本身的安全，我們所采用的措施如下：l POS內(nèi)信息采用雙備份機(jī)制因?yàn)镻OS機(jī)存儲(chǔ)信息的設(shè)備是物理設(shè)備，很有可能出現(xiàn)物理?yè)p傷，我們采用POS機(jī)內(nèi)信息重復(fù)記錄的方式，如果某一條信息的存儲(chǔ)空間出現(xiàn)故障，不能通過(guò)校驗(yàn)，系統(tǒng)將自動(dòng)采用機(jī)內(nèi)存儲(chǔ)的另一條信息，保證信息的完整性。l 采用雙通迅芯片機(jī)制使用通訊芯片冗余的辦法，防止雷擊造成的信息傳輸故障，使POS機(jī)內(nèi)的信息可以及時(shí)傳輸?shù)诫娔X中。l 采用黑閘子數(shù)據(jù)保護(hù)機(jī)制l 采用多種黑名單處理方式lllllllllllllllllllllllllllll 采用后備式電源方式 llllllllllllll 能夠保證在市電故障的情況下待機(jī)使用6小時(shí)，正常使用6小時(shí)。l 采用ZIF接插件FFC電纜方式l POS機(jī)組件全流水線自動(dòng)焊接，經(jīng)過(guò)防潮、防霉和防高溫處理。l POS機(jī)在臨時(shí)停電和臨時(shí)通信中斷時(shí)，仍能繼續(xù)工作。臨時(shí)通信中斷包含事前準(zhǔn)備通訊中斷和突發(fā)通訊中斷兩種，這兩種都能正常工作的POS機(jī)只有當(dāng)卡作為電子錢包卡使用方式時(shí)才能實(shí)現(xiàn)。系統(tǒng)在校園網(wǎng)上運(yùn)行，對(duì)系統(tǒng)的安全提出了很高的要求，我們采取的措施如下：一般采用三種網(wǎng)絡(luò)相結(jié)合的架構(gòu)，一卡通系統(tǒng)網(wǎng)絡(luò)、基于校園網(wǎng)的專用虛擬網(wǎng)和物理隔離的金融網(wǎng)絡(luò)。專網(wǎng)與校園網(wǎng)隔離，專用的物理通道保證了各校區(qū)、各層次網(wǎng)絡(luò)連接和信息傳輸?shù)陌踩浴ｃy行方的數(shù)據(jù)交易，采用防火墻隔離技術(shù)，確保網(wǎng)絡(luò)互聯(lián)和邊界的安全。網(wǎng)絡(luò)內(nèi)部通過(guò)ＭＡＣ端口地址與ＩＰ地址綁定，封鎖交換機(jī)空余的端口，配置用戶口令，使用不同級(jí)別的命令等措施。從三方面即網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部來(lái)確保整個(gè)專用網(wǎng)絡(luò)的安全。 大學(xué)的校園主干網(wǎng)部分是整個(gè)校園一卡通系統(tǒng)的核心，消費(fèi)結(jié)算中心各種數(shù)據(jù)服務(wù)器和各種自助圈存設(shè)備通過(guò)校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機(jī)進(jìn)行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理，一般采用專網(wǎng)形式，獨(dú)立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)（ＶｉｒｔｕａｌＰｒｉｖａｔｅ Ｎｅｔｗｏｒｋ），即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過(guò)安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。ＶＰＮ與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過(guò)校園網(wǎng)中建立邏輯隧道進(jìn)行傳輸，數(shù)據(jù)包經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行封裝、傳送，并通過(guò)相應(yīng)的認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。 校園網(wǎng)一卡通主干網(wǎng)（高速以太網(wǎng)）部分，要求所有的以太網(wǎng)設(shè)備在VLAN部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個(gè)網(wǎng)絡(luò)，設(shè)備不允許互相訪問(wèn)。同時(shí)為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進(jìn)行單通道連接，保證一卡通網(wǎng)絡(luò)能訪問(wèn)校園網(wǎng)數(shù)據(jù)，如：信息化校園建設(shè)必不可少的對(duì)統(tǒng)一身份認(rèn)證服務(wù)器和門戶網(wǎng)站的訪問(wèn)。但校園網(wǎng)不能隨意訪問(wèn)一卡通專網(wǎng)，這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。 一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層，是以數(shù)據(jù)庫(kù)服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)（如下圖所示）。中心層設(shè)置中心交換機(jī)，與身份認(rèn)證系統(tǒng)，卡務(wù)管理機(jī)，結(jié)算管理機(jī)，結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心，它是一卡通系統(tǒng)的管理平臺(tái)、身份認(rèn)證平臺(tái)和數(shù)據(jù)庫(kù)中心。通過(guò)光纜與各結(jié)點(diǎn)相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置二級(jí)交換機(jī)。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機(jī)的控制各個(gè)ＩＣ卡收費(fèi)終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng)，以及專網(wǎng)計(jì)算機(jī)校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設(shè)計(jì)建設(shè)。一卡通專網(wǎng)采用ＴＣＰ／ＩＰ網(wǎng)絡(luò)協(xié)議。整個(gè)一卡通專網(wǎng)所用交換機(jī)，建議采用端口ＭＡＣ地址綁定，使每個(gè)端口只能設(shè)置唯一的ＩＰ地址，連接特定的設(shè)備，從而保證了整個(gè)網(wǎng)絡(luò)的安全性。 一卡通系統(tǒng)中心與銀行系統(tǒng)之間的連接是校園卡與銀行卡圈存的數(shù)據(jù)通道，其安全性是一卡通系統(tǒng)與銀行進(jìn)行數(shù)據(jù)通訊的保證。為了系統(tǒng)連接的安全性和可靠性，銀行金融網(wǎng)絡(luò)與校園一卡通的專用虛擬網(wǎng)通過(guò)ＰＳＴＮ或者ＤＤＮ方式相連，并通過(guò)ＶＰＮ方式連接自助轉(zhuǎn)賬設(shè)備（專用圈存機(jī)等）與銀行對(duì)接系統(tǒng)（如下圖所示）采用如下措施：l 銀校通訊前置機(jī)采用Ａ、Ｂ雙網(wǎng)卡來(lái)作為“橋接”雙方的安全網(wǎng)關(guān)。關(guān)于涉及數(shù)據(jù)在專網(wǎng)上傳輸，數(shù)據(jù)報(bào)文傳輸?shù)陌踩c銀行前置機(jī)數(shù)據(jù)交換的安全主要由雙向身份認(rèn)證、加密和報(bào)文認(rèn)證來(lái)保障。 l 防火墻作為保護(hù)網(wǎng)絡(luò)的重要工具，在網(wǎng)絡(luò)的對(duì)外出口處設(shè)置防火墻是理想的選擇。防火墻在銀行網(wǎng)中的安全防護(hù)原則： 任何外部網(wǎng)絡(luò)對(duì)銀行信息網(wǎng)的內(nèi)部情況“看不見(jiàn)” 外部非法入侵者及特殊信息“進(jìn)不來(lái)” 機(jī)要敏感信息“拿不走” 任何的非法對(duì)外訪問(wèn)“出不去”下面是網(wǎng)絡(luò)安全技術(shù)一些概要介紹：I. 網(wǎng)絡(luò)分段實(shí)現(xiàn)網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問(wèn)的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法進(jìn)行直接通訊。目前，許多交換機(jī)都有一定的訪問(wèn)控制能力，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。 邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段與邏輯分段相結(jié)合的方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。II. VLAN的實(shí)現(xiàn)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開銷很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和插入（改變）問(wèn)題。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。但是，虛擬網(wǎng)技術(shù)也帶來(lái)了新的問(wèn)題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來(lái)越復(fù)雜，從而成為被攻擊的對(duì)象。基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。III. VLAN之間的劃分原則VLAN的劃分方式的目的是保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來(lái)劃分VLAN：可以將總部中的服務(wù)器系統(tǒng)單獨(dú)劃作一個(gè)VLAN，如數(shù)據(jù)庫(kù)服務(wù)器、語(yǔ)音服務(wù)器、WEB服務(wù)器、制卡中心系統(tǒng)、銀行校園前轉(zhuǎn)置等系統(tǒng)‘頭腦’的設(shè)備劃分在一個(gè)VLAN里。也可以按照機(jī)構(gòu)的設(shè)置來(lái)劃分VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個(gè)Leader VLAN（LVLAN），其它司局（或下級(jí)機(jī)構(gòu)）分別作為一個(gè)VLAN，并且控制LVLAN與其它VLAN之間的單向信息流向，即允許LVLAN查看其他VLAN的相關(guān)信息，其他VLAN不能訪問(wèn)LVLAN的信息。VLAN之內(nèi)的連接采用交換技術(shù)實(shí)現(xiàn)，VLAN與VLAN之間采用路由實(shí)現(xiàn)。由于路由控制的能力有限，不能實(shí)現(xiàn)LVLAN與其他VLAN之間的單向信息流動(dòng)，需要在LVLAN與其他VLAN之間設(shè)置防火墻作為安全隔離設(shè)備，控制VLAN與VLAN之間的信息交換。IV. VPN（虛擬專網(wǎng)）技術(shù) 所謂的VPN就是利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的虛擬專用網(wǎng)絡(luò)，用于構(gòu)VPN的公共網(wǎng)絡(luò)包括INTERNET、幀中繼、ATM等。VPN有三種類型：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN）。VPN可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺(jué)是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。網(wǎng)絡(luò)系統(tǒng)總部和各分支機(jī)構(gòu)之間若采用公網(wǎng)網(wǎng)絡(luò)進(jìn)行連接，其最大的弱點(diǎn)在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出兩個(gè)主要危險(xiǎn)：來(lái)自公網(wǎng)的未經(jīng)授權(quán)的對(duì)企業(yè)內(nèi)部網(wǎng)的存取。當(dāng)網(wǎng)絡(luò)系統(tǒng)通過(guò)公網(wǎng)進(jìn)行通訊時(shí)，信息可能受到竊聽和非法修改。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。V. VPN技術(shù)的原理VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全的通信。它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽。其處理過(guò)程大體是這樣： 要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備； VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。 對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。 VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。 VPN 設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密?，F(xiàn)在在很多的銀行、證券系統(tǒng)中使用VPN技術(shù)進(jìn)行傳輸，安全性較高；我們的系統(tǒng)應(yīng)用程序與VPN之間不需專門的改動(dòng)，可以直接在這種技術(shù)上應(yīng)用。VI. VPN的安全性VPN的安全性包含以下特征：l 隧道與加密：隧道能實(shí)現(xiàn)多協(xié)議封裝，增加VPN的靈活性，可以在無(wú)連接的IP網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道。在安全性要求更高的場(chǎng)合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。l 數(shù)據(jù)驗(yàn)證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建VPN的公用網(wǎng)上，數(shù)據(jù)包有可能包被非法截獲，篡改后重新發(fā)送，接收方將會(huì)接收到錯(cuò)誤的數(shù)據(jù)。數(shù)據(jù)驗(yàn)證使接收方可識(shí)別這種篡改，保證了數(shù)據(jù)的完整性。l 用戶驗(yàn)證：VPN可使合法用戶訪問(wèn)他們所需的企業(yè)資源，同時(shí)還要禁止未授權(quán)用戶的非法訪問(wèn)。l 防火墻與攻擊檢測(cè)：防火墻用于過(guò)濾數(shù)據(jù)包，防止非法訪問(wèn)，而攻擊檢測(cè)則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實(shí)時(shí)應(yīng)用安全策略，斷開包含非法訪問(wèn)內(nèi)容的會(huì)話鏈接，并產(chǎn)生非法訪問(wèn)記錄。VII. VPN的優(yōu)點(diǎn)l 利用Internet組建VPN，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和Internet費(fèi)用。l VPN大大降低了網(wǎng)絡(luò)復(fù)雜度，VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配。l VPN組網(wǎng)的靈活性簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)管理。l VPN提高了整個(gè)企業(yè)網(wǎng)的互聯(lián)性，良好的擴(kuò)張性使得企業(yè)更好、更快地適應(yīng)Internet經(jīng)濟(jì)地發(fā)展、把握商機(jī)。l 則VPN應(yīng)用中，通過(guò)遠(yuǎn)端用戶驗(yàn)證及隧道加密等技術(shù)保證了通過(guò)公用網(wǎng)絡(luò)傳輸?shù)厮接袛?shù)據(jù)的安全性。構(gòu)建VPN將會(huì)充分有效地有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。VIII. 防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件組合。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一連接處，根據(jù)企業(yè)的安全政策，運(yùn)用包過(guò)濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對(duì)出入網(wǎng)絡(luò)的信息流進(jìn)行全面的控制（允許通過(guò)、拒絕通過(guò)、過(guò)程監(jiān)測(cè)），控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面。防火墻本身必需具有很強(qiáng)的抗攻擊能力，以確保其自身的安全性。防火墻可實(shí)現(xiàn)以下的基本功能。l 監(jiān)控并限制訪問(wèn)針對(duì)黑客攻擊的不安全因素，防火墻采取控制進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理，及時(shí)發(fā)現(xiàn)存在的異常行為；同時(shí)，根據(jù)不同情況采取相應(yīng)的防范措施，從而提高系統(tǒng)的抗攻擊能力。l 控制協(xié)議和服務(wù)針對(duì)網(wǎng)絡(luò)先天缺陷的不安全因素，防火墻采取控制協(xié)議和服務(wù)的方法，使得只有授權(quán)的協(xié)議和服務(wù)才可以通過(guò)防火墻，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起災(zāi)難性安全事故的可能性。l 保護(hù)網(wǎng)絡(luò)內(nèi)部針對(duì)軟件及系統(tǒng)的漏洞或“后門”，防火墻采用了與受保護(hù)網(wǎng)絡(luò)的操作系統(tǒng)、應(yīng)用軟件無(wú)關(guān)的體系結(jié)構(gòu)，其自身建立在安全操作系統(tǒng)之上；同時(shí)，針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，進(jìn)行訪問(wèn)上的限制；防火墻還可以屏蔽受保護(hù)網(wǎng)絡(luò)的相關(guān)信息，使黑客無(wú)從下手。l 日志記錄與審計(jì)當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部Internet連接均需經(jīng)過(guò)的安全節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)λ械木W(wǎng)絡(luò)請(qǐng)求做出日志記錄。日志是對(duì)一些可能的攻擊行為進(jìn)行分析和防范的十分重要的情報(bào)。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理員通過(guò)對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加有效的管理整個(gè)網(wǎng)絡(luò)。防火墻產(chǎn)品分類作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品。雖然從理論上看