【文章內(nèi)容簡介】 、支付網(wǎng)關(guān)。 (2)使系統(tǒng)具有最小穿透風險性：通過認證才允許連通，從管理上，對所有接入數(shù)據(jù)必須進行審計，對系統(tǒng)用戶進行嚴格安全管理。 (3)對入侵進行檢測、審計、追蹤。防火墻系統(tǒng)提供這個功能。 中文名稱： 防火墻 英文名稱： fire protection wall。fire stopping。firewall 定義 1： 變電站內(nèi)，在兩臺充油設(shè)備間所建立的防止火焰從一臺設(shè)備蔓延至另一臺設(shè)備的隔墻。 應(yīng)用學(xué)科： 電力 （一級學(xué)科）； 變電（二級學(xué)科） 定義 2： 為封閉火區(qū)而砌筑的隔墻。 應(yīng)用學(xué)科： 煤炭科技（一級學(xué)科）；煤礦安全（二級學(xué)科）；礦山災(zāi)害（三級學(xué)科） 定義 3： 一種用來加強網(wǎng)絡(luò)之間訪問控制、防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)、訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。 應(yīng)用學(xué)科： 通信科技（一級學(xué)科）；網(wǎng)絡(luò)安全 （二級學(xué)科 三、防火墻安全防護 三、防火墻安全防護 從上述對支撐網(wǎng)絡(luò)支付結(jié)算的 Inter網(wǎng)絡(luò)平臺系統(tǒng)的安全及相應(yīng)安全措施的敘述，防火墻系統(tǒng)的應(yīng)用是一個主要手段，是保證整個網(wǎng)絡(luò)平臺系統(tǒng)安全的第一道保護，也是關(guān)鍵的安全防護環(huán)節(jié)。下面介紹一下防火墻的安全防護原理及過程。 1. 防火墻的定義 防火墻， Firewall， 是在需要保護的網(wǎng)絡(luò)同可能帶來安全威脅的 Inter之間建立的第一道保護，主要是 一種用 計算機軟件和硬件組成的隔離設(shè)備 ，用于在 Intra和 Inter之間構(gòu)筑一道屏障，能夠按設(shè)置的條件進行區(qū)分，實現(xiàn)內(nèi)外有別，用以保護Intra中的信息、資源等不受來自 Inter中非法用戶的侵犯，它控制 Intra與 Inter之間的所有數(shù)據(jù)流量， 控制和防止Intra中的有價值數(shù)據(jù)流入 Inter，也控制和防止來自Inter的無用垃圾和有害數(shù)據(jù)流入 Intra。 防火墻的應(yīng)用示意圖為： Inter 企業(yè)內(nèi)部網(wǎng)絡(luò)（如 Intra) 防火墻系統(tǒng)（堡壘主機 +路由器等 ） 非安全網(wǎng)絡(luò) 安全網(wǎng)絡(luò) 防火墻 (Firewall)是借用詞，其本意是 “ 網(wǎng)絡(luò)門 ” 。好像兩個網(wǎng)絡(luò)之間的一道安全門，好像房屋的門、建筑物的大門、國境線上檢查站，只讓規(guī)定的事物通過，而阻止 “ 非法 ” 東西的流通。 圖 42 防火墻作用示意圖 確切地說，防火墻是一個或一組系統(tǒng)，包括硬件和軟件，它在兩個網(wǎng)絡(luò)之間執(zhí)行 雙向訪問控制 策略。 2. 防火墻的組成 防火墻由下列幾個基本部分組成：外部過濾器、網(wǎng)關(guān)和內(nèi)部過濾器。如圖 4－ 3所示。 圖 43 防火墻的基本組成框圖 其中： 過濾器 filter：用于阻斷某些類型信息的通過。通常，外部過濾器用于保護網(wǎng)關(guān)免受來自 Inter的攻擊。當網(wǎng)關(guān)遭到來自Inter的攻擊而受到破壞時，內(nèi)部過濾器用于對付網(wǎng)關(guān)受破壞后的后果。 過濾器執(zhí)行由防火墻管理機構(gòu)制訂的一組規(guī)則， 檢驗各數(shù)據(jù)組決定是否允許放行。這些規(guī)則按 IP地址、端口號碼和各類應(yīng)用等參數(shù)確定。 網(wǎng)關(guān) Gateway：提供中繼服務(wù)，以補償過濾器的影響，輔助過濾器控制業(yè)務(wù)流，網(wǎng)關(guān)往往是一臺或一組機器。一個暴露的網(wǎng)關(guān)計算機通常叫 “ 堡壘機 ” 。 當然上述組成不是固定的，實際上按需要改變配置。有的防火墻還包括域名服務(wù)和 Email過濾處理 等，輔助過濾器控制業(yè)務(wù)流，如圖 4－ 4所示。 圖 44 實際防火墻組成示例 3. 防火墻的功能 作為防火墻的計算機設(shè)備具有以下功能： (1)由內(nèi) Intra到外 Inter和由外到內(nèi)的所有訪問都必須通過它； (2)只有本地安全策略所定義的合法訪問才被允許通過它； (3)防火墻本身無法被穿透。 防火墻能保護站點不被任意鏈接，甚至能建立跟蹤工具，幫助總結(jié)并記錄有關(guān)正在進行的連接資源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖。 4. 防火墻的安全業(yè)務(wù) (1)用戶認證。對于防火墻來說，認證主要是對防火墻用戶的認證和防火墻管理員對防火墻的認證。 (2)域名服務(wù)。防火墻不能將內(nèi)部網(wǎng)內(nèi)主機的 IP地址泄露出去。 (3)EMAIL處理。電子郵件是一個主要業(yè)務(wù)，這些郵件都要通過防火墻檢驗與過濾。 (4)防火墻的 IP安全性。防火墻可以提供機密性和完整性。一個Exter網(wǎng)可能由多個內(nèi)部網(wǎng)通過 Inter相互連接而成。這些網(wǎng)之間要求數(shù)據(jù)機密性和完整性。 5. 防火墻的類型 防火墻的設(shè)計按網(wǎng)絡(luò)層次可分為兩類： 網(wǎng)絡(luò)級防火墻 和 應(yīng)用級防火墻 。它們采用不同的方式提供類似的功能，現(xiàn)在有些防火墻產(chǎn)品具有雙重性能，應(yīng)選擇適合當前配置的防火墻類 型。 (1)網(wǎng)絡(luò)級防火墻 網(wǎng)絡(luò)級類型的防火墻使用簡單的路由器，采用包過濾技術(shù)，檢查 IP 包，決定允許或禁止基于資源的服務(wù)、目的地址及使用端口。新式的防火墻還能監(jiān)控通過防 火墻的連接狀態(tài)等，這是一種易于實現(xiàn)的、快速的、 透明的 防火墻，具有很好的性價比。 有一種流行的網(wǎng)絡(luò)級防火墻 —— 隔離式主機防火墻，如下圖所示。在該設(shè)計里，路 由器在網(wǎng)絡(luò)級上運行，控制所有出入內(nèi)部的訪問，并將所有的請求傳給堡壘主機。 (2)應(yīng)用級防火墻。 應(yīng)用級防火墻通常是運行在防火墻上的運行代理服務(wù)器軟件部分（又名稱為應(yīng)用網(wǎng)關(guān)）。由于代理服務(wù)器是在同一級上運行，所以它易于采集?？刂圃L問信息，例如記錄用戶的連接站點和時間，有助于識別網(wǎng)絡(luò)上的攻擊。因此， 與網(wǎng)絡(luò)級防火墻比較，其安全性更強，但透明性差一些，網(wǎng)絡(luò)性能有所降低。 上圖是 雙宿主機網(wǎng)關(guān)防火墻 示意圖，這是應(yīng)用級防火墻的示例。雙宿主機是一臺代理服務(wù)器，帶有兩塊網(wǎng)絡(luò)接口卡 NIC。每一塊 NIC有一個 IP地址，如果網(wǎng)絡(luò)上的兩臺計算機想相互通信，必須與雙宿主機上能 “ 看到 ” 的 IP地址聯(lián)系，代理服務(wù)器軟件查看其規(guī)則是否允許連接，如果允許，代理服務(wù)器通過另一塊 NIC網(wǎng)卡啟動與其他網(wǎng)絡(luò)的聯(lián)系。 6. 常見防火墻軟件 CheckPoint防火墻軟件 Firewall1 Firewall1是目前世界上最好的網(wǎng)絡(luò)防火墻產(chǎn)品之一，除擁有防火墻的一般功能和 GUI操作界面外，還提供獨有的客戶認證功能。 中國上海創(chuàng)源公司的 SecuStar安全之星： 企業(yè)版 SecuStar FW2023 免費的防火墻軟件： 如天網(wǎng)安全陣線提供的免費個人版防火墻 “ 天網(wǎng)防火墻 ” ，用以抵御黑客的攻擊。 四 對稱密鑰加密及應(yīng)用 在計算機網(wǎng)絡(luò)用戶之間進行通訊時，為了保護信息不被第三方竊取，必須采用各種方法對數(shù)據(jù)進行加密。最常用的方法之一就是對稱密鑰加密法，或者稱之為 秘密密鑰加密法 (Secret— key Cryptography)。 原理： 信息發(fā)送方用一個密鑰對要發(fā)送的數(shù)據(jù)進行加密，信息的接收方能用 同樣的密鑰 解密，而且只能用這一密鑰解密。 由于雙方所用加密和解密的密鑰相同，所以叫作對稱密鑰加密法。由于這對密鑰不能被第三方知道，所以又叫作秘密密鑰加密法。 最常用的對稱密鑰加密法叫做 DES(Data Encryption Standard)算法。 如上頁圖所示，甲、乙兩公司之間進行通訊，每個公司都持有共同的密鑰，甲公司要向乙公司訂購鋼材，用此用共用的密鑰加密，發(fā)給乙公司，乙公司收到后，同樣用這一共用密鑰解密，就可以得到這 1份訂購單。 由于對稱密鑰加密法需要在通訊雙方之間約定密鑰，一方生成密鑰后，要通過 獨立的安全的通道 送給另一方，然后才能開始進行通訊。 這種加密方法在專用網(wǎng)絡(luò)中使用效果較好，并且速度快 。因為通訊各方相對固定，可預(yù)先約定好密鑰。 具體在電子商務(wù)網(wǎng)絡(luò)支付時的應(yīng)用： 銀行內(nèi)部專用網(wǎng)絡(luò) 傳送數(shù)據(jù)一般都采用 DES算法加密，比如傳送某網(wǎng)絡(luò)支付方式用的 密碼。 軍事指揮網(wǎng)絡(luò)上一般也常用這種 秘密密鑰加密法。 但是，也有缺點，與多人通訊時， 需要太多的密鑰 ，因此在電子商務(wù)是面向千千萬萬客戶的，有時不可能給每一對用戶配置一把密鑰，所以電子商務(wù)只靠這種加密方式是不行的。 五 公開密鑰加密法及應(yīng)用 在公開網(wǎng)絡(luò)中，如在 Inter上，用對稱密鑰加密法傳送交易信息，就會發(fā)生困難。比如，一個商戶想在 Inter上同幾百萬個用戶安全地進行交易，每一位用戶都要由此商戶分配一個特定的密鑰并通過獨立的安全通道傳送，密鑰數(shù)太巨大，這幾乎是不可能的，這就必須采用 公開密鑰加密法 (Public— key Cryptography) 。 公開密鑰加密法的加密和解密所用的密鑰不同，所以又叫 非對稱密鑰加密法 (Asymmetric Cryptography)。 原理： 共用 2個密鑰，在 數(shù)學(xué)上相關(guān) ，稱作 密鑰對 。用密鑰對中任何一個密鑰加密，可以用另一個密鑰解密，而且只能用此密鑰對中的另一個密鑰解密。 商家采用某種算法（秘鑰生成程序） 生成了這 2個密鑰后，將其中一個保存好，叫做 私人密鑰 (Private Key)，將另一個密鑰公開散發(fā)出去，叫做 公開密鑰 (Public Key)。 任何一個收到公開密鑰的客戶，都可以用此公開密鑰加密信息，發(fā)送給這個商家，這些信息只能被這個商家的私人密鑰解密。只要商家沒有將私人密鑰泄漏給別人，就能保證發(fā)送的信息只能被這位商家收到。 （定點加密通訊） 公開密鑰加密法的算法原理是完全公開的，加密的關(guān)鍵是密鑰，用戶只要保存好自己的私人密鑰，就不怕泄密。 著名的公開密鑰加密法是 RSA算法 。 RSA是這個算法三個發(fā)明人 (Rivest，Shamir和 Adleman)姓名首字母。 RSA加密算法的安全性能與密鑰的長度有關(guān)，長度越長越難解密 。在用于 網(wǎng)絡(luò)支付安全的 SET系統(tǒng)中 使用的密鑰長度為 1024位和 2048位。據(jù)專家測算，攻破 512位密鑰 RSA算法大約需要 8個月時間，而一個 768位密鑰的 RSA算法在 2023年之前是無法攻破的?，F(xiàn)在，在技術(shù)上還無法預(yù)測攻破具有 2048位密鑰的 RSA加密算法需要多少時間。美國 LOTUS公司懸賞 l億美元，獎勵能破譯其 DOMINO產(chǎn)品中 1024位密鑰的 RSA算法的人。從這個意義上說，遵照 SET協(xié)議開發(fā)的網(wǎng)上交易系統(tǒng)是絕對安全的。 但生成長密鑰的技術(shù)是尖端的， 美國封鎖。 比對稱密鑰加密法如 DES算法等速度慢很多。 公開密鑰加密法 是后面鑰講的 數(shù)字簽名手段 的技術(shù)基礎(chǔ)之一，可以用來解決在電子商務(wù)中如網(wǎng)絡(luò)支付結(jié)算中 “ 防抵賴 ”“ 認證支付行為 ” 等作用。這可以從下面對公開密鑰加密的兩種作用的敘述中看出來。 公開密鑰加密的兩種作用：基于公開密鑰的 2個密鑰之間的數(shù)學(xué)關(guān)系。 1） 2位用戶之間要互相交換信息，需要 各自生成一對密鑰 ， 將其中的私人密鑰保存好，將公開密鑰發(fā)給對方。 交換信息時，發(fā)送方用接收方的公開密鑰對信息加密，只能用接收方的私人密鑰解密。他們之間可以在無保障的公開網(wǎng)絡(luò)中傳送消息，而不用擔心消息被別人竊取。 如下圖所示，甲公司要向乙公司訂購鋼材，甲公司用 乙公司的公開密鑰 將他要發(fā)給乙公司的消息加密，乙公司收到后， 只能用乙公司自己的私人密鑰解密 而得到甲公司發(fā)來的訂購單。 只要乙公司保證沒有他人知道乙公司的私人密鑰，甲、乙兩公司就能確信，所發(fā)信息只有乙公司能看到。 （定點加密傳送） 2） 反之，消息發(fā)送者用自己的私人密鑰對數(shù)據(jù)加密后，發(fā)給接收方，接收方只能用發(fā)送方的公開密鑰解密。由于發(fā)送方私人密鑰只有發(fā)送方知道，任何一個接收者都可以確認消息是由發(fā)送方發(fā)來的。 如下圖所示，甲公司用自己的 私人密鑰 加密要發(fā)給乙公司的訂購單，乙公司收到后， 只能 用 甲公司的公開密鑰 解密，才可以得到甲公司發(fā)來的訂購單。 只要甲公司保證沒有人知道自己的私人密鑰，乙公司可以斷定，訂購單必定是甲公司發(fā)來的。 （不可抵賴發(fā)送行為，類似簽名認證某行為，數(shù)字簽名技術(shù)之一） 數(shù)字信封 非對稱（公開）密鑰的強大的加密功能使它具有比對稱密鑰更大的優(yōu)越性。但是，由于非對稱密鑰加密比對稱密鑰加密 速度慢得多 ，在加密數(shù)據(jù)量大的信息時，要花費很長時間。而對稱密鑰在加密速度方面具有很大優(yōu)勢。 所以在 SET協(xié)議中對信息的加密同時采用兩種加密方式，將兩者結(jié)合起來使用。 數(shù)字信封（ Digital Envelope）的原理 ：對需傳送的 信息（如 電子合同、支付指令 ）的加密采用對稱密鑰加密法；但密鑰不先由雙方約定，而是在加密前由發(fā)送