【文章內(nèi)容簡(jiǎn)介】 、支付網(wǎng)關(guān)。 (2)使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性：通過(guò)認(rèn)證才允許連通，從管理上，對(duì)所有接入數(shù)據(jù)必須進(jìn)行審計(jì)，對(duì)系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理。 (3)對(duì)入侵進(jìn)行檢測(cè)、審計(jì)、追蹤。防火墻系統(tǒng)提供這個(gè)功能。 中文名稱： 防火墻 英文名稱： fire protection wall。fire stopping。firewall 定義 1： 變電站內(nèi)，在兩臺(tái)充油設(shè)備間所建立的防止火焰從一臺(tái)設(shè)備蔓延至另一臺(tái)設(shè)備的隔墻。 應(yīng)用學(xué)科： 電力 （一級(jí)學(xué)科）； 變電（二級(jí)學(xué)科） 定義 2： 為封閉火區(qū)而砌筑的隔墻。 應(yīng)用學(xué)科： 煤炭科技（一級(jí)學(xué)科）；煤礦安全（二級(jí)學(xué)科）；礦山災(zāi)害（三級(jí)學(xué)科） 定義 3： 一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制、防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)、訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。 應(yīng)用學(xué)科： 通信科技（一級(jí)學(xué)科）；網(wǎng)絡(luò)安全 （二級(jí)學(xué)科 三、防火墻安全防護(hù) 三、防火墻安全防護(hù) 從上述對(duì)支撐網(wǎng)絡(luò)支付結(jié)算的 Inter網(wǎng)絡(luò)平臺(tái)系統(tǒng)的安全及相應(yīng)安全措施的敘述，防火墻系統(tǒng)的應(yīng)用是一個(gè)主要手段，是保證整個(gè)網(wǎng)絡(luò)平臺(tái)系統(tǒng)安全的第一道保護(hù)，也是關(guān)鍵的安全防護(hù)環(huán)節(jié)。下面介紹一下防火墻的安全防護(hù)原理及過(guò)程。 1. 防火墻的定義 防火墻， Firewall， 是在需要保護(hù)的網(wǎng)絡(luò)同可能帶來(lái)安全威脅的 Inter之間建立的第一道保護(hù)，主要是 一種用 計(jì)算機(jī)軟件和硬件組成的隔離設(shè)備 ，用于在 Intra和 Inter之間構(gòu)筑一道屏障，能夠按設(shè)置的條件進(jìn)行區(qū)分，實(shí)現(xiàn)內(nèi)外有別，用以保護(hù)Intra中的信息、資源等不受來(lái)自 Inter中非法用戶的侵犯，它控制 Intra與 Inter之間的所有數(shù)據(jù)流量， 控制和防止Intra中的有價(jià)值數(shù)據(jù)流入 Inter，也控制和防止來(lái)自Inter的無(wú)用垃圾和有害數(shù)據(jù)流入 Intra。 防火墻的應(yīng)用示意圖為： Inter 企業(yè)內(nèi)部網(wǎng)絡(luò)（如 Intra) 防火墻系統(tǒng)（堡壘主機(jī) +路由器等 ） 非安全網(wǎng)絡(luò) 安全網(wǎng)絡(luò) 防火墻 (Firewall)是借用詞，其本意是 “ 網(wǎng)絡(luò)門 ” 。好像兩個(gè)網(wǎng)絡(luò)之間的一道安全門，好像房屋的門、建筑物的大門、國(guó)境線上檢查站，只讓規(guī)定的事物通過(guò)，而阻止 “ 非法 ” 東西的流通。 圖 42 防火墻作用示意圖 確切地說(shuō)，防火墻是一個(gè)或一組系統(tǒng)，包括硬件和軟件，它在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行 雙向訪問(wèn)控制 策略。 2. 防火墻的組成 防火墻由下列幾個(gè)基本部分組成：外部過(guò)濾器、網(wǎng)關(guān)和內(nèi)部過(guò)濾器。如圖 4－ 3所示。 圖 43 防火墻的基本組成框圖 其中： 過(guò)濾器 filter：用于阻斷某些類型信息的通過(guò)。通常，外部過(guò)濾器用于保護(hù)網(wǎng)關(guān)免受來(lái)自 Inter的攻擊。當(dāng)網(wǎng)關(guān)遭到來(lái)自Inter的攻擊而受到破壞時(shí)，內(nèi)部過(guò)濾器用于對(duì)付網(wǎng)關(guān)受破壞后的后果。 過(guò)濾器執(zhí)行由防火墻管理機(jī)構(gòu)制訂的一組規(guī)則， 檢驗(yàn)各數(shù)據(jù)組決定是否允許放行。這些規(guī)則按 IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。 網(wǎng)關(guān) Gateway：提供中繼服務(wù)，以補(bǔ)償過(guò)濾器的影響，輔助過(guò)濾器控制業(yè)務(wù)流，網(wǎng)關(guān)往往是一臺(tái)或一組機(jī)器。一個(gè)暴露的網(wǎng)關(guān)計(jì)算機(jī)通常叫 “ 堡壘機(jī) ” 。 當(dāng)然上述組成不是固定的，實(shí)際上按需要改變配置。有的防火墻還包括域名服務(wù)和 Email過(guò)濾處理 等，輔助過(guò)濾器控制業(yè)務(wù)流，如圖 4－ 4所示。 圖 44 實(shí)際防火墻組成示例 3. 防火墻的功能 作為防火墻的計(jì)算機(jī)設(shè)備具有以下功能： (1)由內(nèi) Intra到外 Inter和由外到內(nèi)的所有訪問(wèn)都必須通過(guò)它； (2)只有本地安全策略所定義的合法訪問(wèn)才被允許通過(guò)它； (3)防火墻本身無(wú)法被穿透。 防火墻能保護(hù)站點(diǎn)不被任意鏈接，甚至能建立跟蹤工具，幫助總結(jié)并記錄有關(guān)正在進(jìn)行的連接資源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖。 4. 防火墻的安全業(yè)務(wù) (1)用戶認(rèn)證。對(duì)于防火墻來(lái)說(shuō)，認(rèn)證主要是對(duì)防火墻用戶的認(rèn)證和防火墻管理員對(duì)防火墻的認(rèn)證。 (2)域名服務(wù)。防火墻不能將內(nèi)部網(wǎng)內(nèi)主機(jī)的 IP地址泄露出去。 (3)EMAIL處理。電子郵件是一個(gè)主要業(yè)務(wù)，這些郵件都要通過(guò)防火墻檢驗(yàn)與過(guò)濾。 (4)防火墻的 IP安全性。防火墻可以提供機(jī)密性和完整性。一個(gè)Exter網(wǎng)可能由多個(gè)內(nèi)部網(wǎng)通過(guò) Inter相互連接而成。這些網(wǎng)之間要求數(shù)據(jù)機(jī)密性和完整性。 5. 防火墻的類型 防火墻的設(shè)計(jì)按網(wǎng)絡(luò)層次可分為兩類： 網(wǎng)絡(luò)級(jí)防火墻 和 應(yīng)用級(jí)防火墻 。它們采用不同的方式提供類似的功能，現(xiàn)在有些防火墻產(chǎn)品具有雙重性能，應(yīng)選擇適合當(dāng)前配置的防火墻類 型。 (1)網(wǎng)絡(luò)級(jí)防火墻 網(wǎng)絡(luò)級(jí)類型的防火墻使用簡(jiǎn)單的路由器，采用包過(guò)濾技術(shù)，檢查 IP 包，決定允許或禁止基于資源的服務(wù)、目的地址及使用端口。新式的防火墻還能監(jiān)控通過(guò)防 火墻的連接狀態(tài)等，這是一種易于實(shí)現(xiàn)的、快速的、 透明的 防火墻，具有很好的性價(jià)比。 有一種流行的網(wǎng)絡(luò)級(jí)防火墻 —— 隔離式主機(jī)防火墻，如下圖所示。在該設(shè)計(jì)里，路 由器在網(wǎng)絡(luò)級(jí)上運(yùn)行，控制所有出入內(nèi)部的訪問(wèn)，并將所有的請(qǐng)求傳給堡壘主機(jī)。 (2)應(yīng)用級(jí)防火墻。 應(yīng)用級(jí)防火墻通常是運(yùn)行在防火墻上的運(yùn)行代理服務(wù)器軟件部分（又名稱為應(yīng)用網(wǎng)關(guān)）。由于代理服務(wù)器是在同一級(jí)上運(yùn)行，所以它易于采集?？刂圃L問(wèn)信息，例如記錄用戶的連接站點(diǎn)和時(shí)間，有助于識(shí)別網(wǎng)絡(luò)上的攻擊。因此， 與網(wǎng)絡(luò)級(jí)防火墻比較，其安全性更強(qiáng)，但透明性差一些，網(wǎng)絡(luò)性能有所降低。 上圖是 雙宿主機(jī)網(wǎng)關(guān)防火墻 示意圖，這是應(yīng)用級(jí)防火墻的示例。雙宿主機(jī)是一臺(tái)代理服務(wù)器，帶有兩塊網(wǎng)絡(luò)接口卡 NIC。每一塊 NIC有一個(gè) IP地址，如果網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)想相互通信，必須與雙宿主機(jī)上能 “ 看到 ” 的 IP地址聯(lián)系，代理服務(wù)器軟件查看其規(guī)則是否允許連接，如果允許，代理服務(wù)器通過(guò)另一塊 NIC網(wǎng)卡啟動(dòng)與其他網(wǎng)絡(luò)的聯(lián)系。 6. 常見(jiàn)防火墻軟件 CheckPoint防火墻軟件 Firewall1 Firewall1是目前世界上最好的網(wǎng)絡(luò)防火墻產(chǎn)品之一，除擁有防火墻的一般功能和 GUI操作界面外，還提供獨(dú)有的客戶認(rèn)證功能。 中國(guó)上海創(chuàng)源公司的 SecuStar安全之星： 企業(yè)版 SecuStar FW2023 免費(fèi)的防火墻軟件： 如天網(wǎng)安全陣線提供的免費(fèi)個(gè)人版防火墻 “ 天網(wǎng)防火墻 ” ，用以抵御黑客的攻擊。 四 對(duì)稱密鑰加密及應(yīng)用 在計(jì)算機(jī)網(wǎng)絡(luò)用戶之間進(jìn)行通訊時(shí)，為了保護(hù)信息不被第三方竊取，必須采用各種方法對(duì)數(shù)據(jù)進(jìn)行加密。最常用的方法之一就是對(duì)稱密鑰加密法，或者稱之為 秘密密鑰加密法 (Secret— key Cryptography)。 原理： 信息發(fā)送方用一個(gè)密鑰對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行加密，信息的接收方能用 同樣的密鑰 解密，而且只能用這一密鑰解密。 由于雙方所用加密和解密的密鑰相同，所以叫作對(duì)稱密鑰加密法。由于這對(duì)密鑰不能被第三方知道，所以又叫作秘密密鑰加密法。 最常用的對(duì)稱密鑰加密法叫做 DES(Data Encryption Standard)算法。 如上頁(yè)圖所示，甲、乙兩公司之間進(jìn)行通訊，每個(gè)公司都持有共同的密鑰，甲公司要向乙公司訂購(gòu)鋼材，用此用共用的密鑰加密，發(fā)給乙公司，乙公司收到后，同樣用這一共用密鑰解密，就可以得到這 1份訂購(gòu)單。 由于對(duì)稱密鑰加密法需要在通訊雙方之間約定密鑰，一方生成密鑰后，要通過(guò) 獨(dú)立的安全的通道 送給另一方，然后才能開(kāi)始進(jìn)行通訊。 這種加密方法在專用網(wǎng)絡(luò)中使用效果較好，并且速度快 。因?yàn)橥ㄓ嵏鞣较鄬?duì)固定，可預(yù)先約定好密鑰。 具體在電子商務(wù)網(wǎng)絡(luò)支付時(shí)的應(yīng)用： 銀行內(nèi)部專用網(wǎng)絡(luò) 傳送數(shù)據(jù)一般都采用 DES算法加密，比如傳送某網(wǎng)絡(luò)支付方式用的 密碼。 軍事指揮網(wǎng)絡(luò)上一般也常用這種 秘密密鑰加密法。 但是，也有缺點(diǎn)，與多人通訊時(shí)， 需要太多的密鑰 ，因此在電子商務(wù)是面向千千萬(wàn)萬(wàn)客戶的，有時(shí)不可能給每一對(duì)用戶配置一把密鑰，所以電子商務(wù)只靠這種加密方式是不行的。 五 公開(kāi)密鑰加密法及應(yīng)用 在公開(kāi)網(wǎng)絡(luò)中，如在 Inter上，用對(duì)稱密鑰加密法傳送交易信息，就會(huì)發(fā)生困難。比如，一個(gè)商戶想在 Inter上同幾百萬(wàn)個(gè)用戶安全地進(jìn)行交易，每一位用戶都要由此商戶分配一個(gè)特定的密鑰并通過(guò)獨(dú)立的安全通道傳送，密鑰數(shù)太巨大，這幾乎是不可能的，這就必須采用 公開(kāi)密鑰加密法 (Public— key Cryptography) 。 公開(kāi)密鑰加密法的加密和解密所用的密鑰不同，所以又叫 非對(duì)稱密鑰加密法 (Asymmetric Cryptography)。 原理： 共用 2個(gè)密鑰，在 數(shù)學(xué)上相關(guān) ，稱作 密鑰對(duì) 。用密鑰對(duì)中任何一個(gè)密鑰加密，可以用另一個(gè)密鑰解密，而且只能用此密鑰對(duì)中的另一個(gè)密鑰解密。 商家采用某種算法（秘鑰生成程序） 生成了這 2個(gè)密鑰后，將其中一個(gè)保存好，叫做 私人密鑰 (Private Key)，將另一個(gè)密鑰公開(kāi)散發(fā)出去，叫做 公開(kāi)密鑰 (Public Key)。 任何一個(gè)收到公開(kāi)密鑰的客戶，都可以用此公開(kāi)密鑰加密信息，發(fā)送給這個(gè)商家，這些信息只能被這個(gè)商家的私人密鑰解密。只要商家沒(méi)有將私人密鑰泄漏給別人，就能保證發(fā)送的信息只能被這位商家收到。 （定點(diǎn)加密通訊） 公開(kāi)密鑰加密法的算法原理是完全公開(kāi)的，加密的關(guān)鍵是密鑰，用戶只要保存好自己的私人密鑰，就不怕泄密。 著名的公開(kāi)密鑰加密法是 RSA算法 。 RSA是這個(gè)算法三個(gè)發(fā)明人 (Rivest，Shamir和 Adleman)姓名首字母。 RSA加密算法的安全性能與密鑰的長(zhǎng)度有關(guān)，長(zhǎng)度越長(zhǎng)越難解密 。在用于 網(wǎng)絡(luò)支付安全的 SET系統(tǒng)中 使用的密鑰長(zhǎng)度為 1024位和 2048位。據(jù)專家測(cè)算，攻破 512位密鑰 RSA算法大約需要 8個(gè)月時(shí)間，而一個(gè) 768位密鑰的 RSA算法在 2023年之前是無(wú)法攻破的?，F(xiàn)在，在技術(shù)上還無(wú)法預(yù)測(cè)攻破具有 2048位密鑰的 RSA加密算法需要多少時(shí)間。美國(guó) LOTUS公司懸賞 l億美元，獎(jiǎng)勵(lì)能破譯其 DOMINO產(chǎn)品中 1024位密鑰的 RSA算法的人。從這個(gè)意義上說(shuō)，遵照 SET協(xié)議開(kāi)發(fā)的網(wǎng)上交易系統(tǒng)是絕對(duì)安全的。 但生成長(zhǎng)密鑰的技術(shù)是尖端的， 美國(guó)封鎖。 比對(duì)稱密鑰加密法如 DES算法等速度慢很多。 公開(kāi)密鑰加密法 是后面鑰講的 數(shù)字簽名手段 的技術(shù)基礎(chǔ)之一，可以用來(lái)解決在電子商務(wù)中如網(wǎng)絡(luò)支付結(jié)算中 “ 防抵賴 ”“ 認(rèn)證支付行為 ” 等作用。這可以從下面對(duì)公開(kāi)密鑰加密的兩種作用的敘述中看出來(lái)。 公開(kāi)密鑰加密的兩種作用：基于公開(kāi)密鑰的 2個(gè)密鑰之間的數(shù)學(xué)關(guān)系。 1） 2位用戶之間要互相交換信息，需要 各自生成一對(duì)密鑰 ， 將其中的私人密鑰保存好，將公開(kāi)密鑰發(fā)給對(duì)方。 交換信息時(shí)，發(fā)送方用接收方的公開(kāi)密鑰對(duì)信息加密，只能用接收方的私人密鑰解密。他們之間可以在無(wú)保障的公開(kāi)網(wǎng)絡(luò)中傳送消息，而不用擔(dān)心消息被別人竊取。 如下圖所示，甲公司要向乙公司訂購(gòu)鋼材，甲公司用 乙公司的公開(kāi)密鑰 將他要發(fā)給乙公司的消息加密，乙公司收到后， 只能用乙公司自己的私人密鑰解密 而得到甲公司發(fā)來(lái)的訂購(gòu)單。 只要乙公司保證沒(méi)有他人知道乙公司的私人密鑰，甲、乙兩公司就能確信，所發(fā)信息只有乙公司能看到。 （定點(diǎn)加密傳送） 2） 反之，消息發(fā)送者用自己的私人密鑰對(duì)數(shù)據(jù)加密后，發(fā)給接收方，接收方只能用發(fā)送方的公開(kāi)密鑰解密。由于發(fā)送方私人密鑰只有發(fā)送方知道，任何一個(gè)接收者都可以確認(rèn)消息是由發(fā)送方發(fā)來(lái)的。 如下圖所示，甲公司用自己的 私人密鑰 加密要發(fā)給乙公司的訂購(gòu)單，乙公司收到后， 只能 用 甲公司的公開(kāi)密鑰 解密，才可以得到甲公司發(fā)來(lái)的訂購(gòu)單。 只要甲公司保證沒(méi)有人知道自己的私人密鑰，乙公司可以斷定，訂購(gòu)單必定是甲公司發(fā)來(lái)的。 （不可抵賴發(fā)送行為，類似簽名認(rèn)證某行為，數(shù)字簽名技術(shù)之一） 數(shù)字信封 非對(duì)稱（公開(kāi)）密鑰的強(qiáng)大的加密功能使它具有比對(duì)稱密鑰更大的優(yōu)越性。但是，由于非對(duì)稱密鑰加密比對(duì)稱密鑰加密 速度慢得多 ，在加密數(shù)據(jù)量大的信息時(shí)，要花費(fèi)很長(zhǎng)時(shí)間。而對(duì)稱密鑰在加密速度方面具有很大優(yōu)勢(shì)。 所以在 SET協(xié)議中對(duì)信息的加密同時(shí)采用兩種加密方式，將兩者結(jié)合起來(lái)使用。 數(shù)字信封（ Digital Envelope）的原理 ：對(duì)需傳送的 信息（如 電子合同、支付指令 ）的加密采用對(duì)稱密鑰加密法；但密鑰不先由雙方約定，而是在加密前由發(fā)送