【正文】 7 上一頁 下一頁 結(jié) 束 防火墻的概念 防火墻是指一種邏輯裝置，用來保護內(nèi)部的網(wǎng)絡(luò)不受來自外界的侵害。也就是在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造一個保護層，并強制所有的連接都必須經(jīng)過此保護層，在此進行檢查和連接。只有被授權(quán)的通信才能通過此保護層，從而保護內(nèi)部網(wǎng)資源免遭非法入侵。 防火墻圖示 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 68 上一頁 下一頁 結(jié) 束 Inter 1) 企業(yè)內(nèi)聯(lián)網(wǎng) 2) 部門子網(wǎng) 3) 分公司網(wǎng)絡(luò) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 69 上一頁 下一頁 結(jié) 束 防火墻的功能及特點 防火墻主要用于實現(xiàn)網(wǎng)絡(luò)路由的安全性 。 網(wǎng)絡(luò)路由的安全性包括兩個方面： ⑴ 限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問 ， 從而保護內(nèi)部網(wǎng) 特定資源免受非法侵犯 ⑵ 限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問 ， 主要是針對一些 不健康信息及敏感信息的訪問 防火墻具有以下優(yōu)點 ⑴ 保護那些易受攻擊的服務(wù) ⑵ 控制對特殊站點的訪問 ⑶ 集中化的安全管理 ⑷ 對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 70 上一頁 下一頁 結(jié) 束 防火墻的安全控制模型 ⑴ 沒有被列為允許訪問的服務(wù)都是被禁止的 這種控制模型需要確定所有可以被提供的服務(wù)以及它們的安全特性 ， 然后 ， 開放這些服務(wù) ， 并將所有其它未被列入的服務(wù)排除在外 ， 禁止訪問 。 ⑵ 沒有被列為禁止訪問的服務(wù)都是被允許的 這種防火墻模型與上種模型正好相反，它需要確定那些被認為是不安全的服務(wù)，禁止其訪問；而其它服務(wù)則被認為是安全的，允許訪問。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 71 上一頁 下一頁 結(jié) 束 防火墻的工作原理 ⑴ 數(shù)據(jù)包過濾 （ Packet Filter） 數(shù)據(jù)包過濾是利用路由器里安裝防火墻軟件方式來保護網(wǎng)絡(luò)內(nèi)部系統(tǒng)。這種包過濾實際上是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯規(guī)則，檢查數(shù)據(jù)流中每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源、目的地址、所用的 IP端口等因素來確定是否允許該數(shù)據(jù)包通過。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 72 上一頁 下一頁 結(jié) 束 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 數(shù)據(jù)包過濾防火墻實現(xiàn)原理圖 內(nèi)部受保護的網(wǎng)絡(luò) 外層網(wǎng)絡(luò) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 73 上一頁 下一頁 結(jié) 束 ⑵ 應(yīng)用網(wǎng)關(guān)（ Application Gateways） 應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用協(xié)議，使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必須的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上 。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 74 上一頁 下一頁 結(jié) 束 應(yīng)用網(wǎng)關(guān)防火墻實現(xiàn)原理示意 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 外層網(wǎng)絡(luò) 內(nèi)部受保護的網(wǎng)絡(luò) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 75 上一頁 下一頁 結(jié) 束 (3) 代理服務(wù)（ Proxy Service） 代理服務(wù)使用一個客戶程序與特定的中間結(jié)點（代理服務(wù)器，即防火墻）建立連接，然后中間結(jié)點與服務(wù)器進行實際連接。代理服務(wù)在應(yīng)用層上進行。 防火墻代理 訪問 控制 客戶 代理 服務(wù)器 代理 服務(wù)器 客戶 請求 應(yīng)答 請求 轉(zhuǎn)發(fā) 轉(zhuǎn)發(fā) 應(yīng)答 代理服務(wù)器防火墻數(shù)據(jù)控制及傳輸示意 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 76 上一頁 下一頁 結(jié) 束 防火墻實現(xiàn)方式 [1] IP包過濾路由器 IP包過濾路由器（ IP Packet Filtering Router) 是基于數(shù)據(jù)包過濾技術(shù)上的防火墻。它在路由器里安裝防火墻軟件。這個路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處。該軟件對于每個試圖通過的 IP包，都要和安全訪問控制表進行比較，以確定該包是否可以通過防火墻。 特點：安全模式為 “ 沒有被列為禁止訪問的服務(wù)都是被允許的 ” ；使用存取表單 (accesslist)來過濾數(shù)據(jù)包。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 77 上一頁 下一頁 結(jié) 束 Inter IP Packet Filtering Router 基于 IP包過濾路由器防火墻體系圖示 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 78 上一頁 下一頁 結(jié) 束 [2] 雙穴防范網(wǎng)關(guān) 雙穴防范網(wǎng)關(guān) (Dual Homed Gateway)也稱堡壘主機體系結(jié)構(gòu)防火墻，它是在被保護網(wǎng)絡(luò)（內(nèi)部網(wǎng)）和Inter網(wǎng)絡(luò)之間設(shè)置一個系統(tǒng)網(wǎng)關(guān)（稱堡壘主機），用來隔斷 TCP/IP的直接傳輸。被保護網(wǎng)絡(luò)中的主機與該網(wǎng)關(guān)可以通信， Inter中的主機也能與網(wǎng)關(guān)通信，但是兩個網(wǎng)絡(luò)中的主機不能直接通信。 雙穴防范網(wǎng)關(guān)體系結(jié)構(gòu)是基于應(yīng)用網(wǎng)關(guān)和代理服務(wù)兩種技術(shù)上的。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 79 上一頁 下一頁 結(jié) 束 Inter IP Filtering Router 應(yīng)用網(wǎng)關(guān) 應(yīng)用通道 Server ? FTP/HTTP 被保護 局域網(wǎng) 基于雙穴防范網(wǎng)關(guān)防火墻體系圖示 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 80 上一頁 下一頁 結(jié) 束 [3] 過濾主機網(wǎng)關(guān) 過濾主機網(wǎng)關(guān) (Screened Host Gateway）采用被屏蔽主機體系結(jié)構(gòu)。這種體系結(jié)構(gòu)是綜合前兩種結(jié)構(gòu)（ IP包過濾路由器結(jié)構(gòu)和堡壘主機結(jié)構(gòu)）而成的。一般用于堡壘的主機設(shè)置在被保護網(wǎng)絡(luò)一端，路由器設(shè)置在堡壘主機與 Inter之間。 過濾主機網(wǎng)關(guān)防火墻比較安全，因為從 Inter網(wǎng)絡(luò)只能訪問到堡壘主機，不允許訪問被保護網(wǎng)絡(luò)的其它資源。同時，由于堡壘主機居于被保護網(wǎng)絡(luò)，且是被保護網(wǎng)絡(luò)唯一可到達 Inter網(wǎng)絡(luò)的系統(tǒng)，因此局域網(wǎng)中的用戶與該主機的可達性相當好。但是，這種防火墻一旦被攻擊都擊破，危害性就會變得極大，整個被保護網(wǎng)絡(luò)都可能是攻擊的目標。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 81 上一頁 下一頁 結(jié) 束 Inter IP Filtering Router 應(yīng)用網(wǎng)關(guān) 被保護 局域網(wǎng) Server 過濾主機網(wǎng)關(guān)防火墻示意圖 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 82 上一頁 下一頁 結(jié) 束 [4] 過濾子網(wǎng)防火墻 過濾子網(wǎng)防火墻是在配置防火墻時有必要在被保護網(wǎng)絡(luò)和 Inter 網(wǎng)絡(luò)之間設(shè)置一個狐立的子網(wǎng)，這種方法使經(jīng)過防火墻的所有應(yīng)用程序都必須經(jīng)過應(yīng)用網(wǎng)關(guān)，同時牽扯到網(wǎng)絡(luò)間路由的重新選擇，這樣就可以隱藏被保護網(wǎng)絡(luò)可能遺留的痕跡。 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 83 上一頁 下一頁 結(jié) 束 過濾子網(wǎng)防火墻示意圖 Inter 郵件服務(wù)器 E_mail Server 被保護局域網(wǎng) Protected LAN Information Server 應(yīng)用網(wǎng)關(guān) Application Gateway 路由器 2 Router2 路由器 1 Router1 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 84 上一頁 下一頁 結(jié) 束 這里兩個路由器的作用分別如下： 路由器 1(Router1): 路由從 Inter來的應(yīng)用程序到 Application Gateway處理 路由來自 Application Gateway的應(yīng)用程序到 Inter 路由從 E_mail Server來的郵件到 Inter 路由從 Inter來的郵件到 E_mail Server 路由從 Inter來的 FTP、 HTTP至 Information Server 路由器 2(Router2): 路由從 Application Gateway來的應(yīng)用程序到內(nèi)部網(wǎng) 路由從內(nèi)部網(wǎng)來的應(yīng)用程序到 Application Gateway進行處理（ 放行 ） 路由從 E_mail Server來的 E_mail 到內(nèi)部網(wǎng) 路由從內(nèi)部網(wǎng)來 E_mail到 E_mail Server 路由從 Information Server來的 FTP、 HTTP至內(nèi)部網(wǎng) 防火墻技術(shù) 網(wǎng) 絡(luò) 金 融 安 全 85 上一頁 下一頁 結(jié) 束 本章小結(jié) 網(wǎng)絡(luò)金融的安全技術(shù)是基于網(wǎng)絡(luò)金融活動中的安全需求產(chǎn)生的。 一般地，網(wǎng)絡(luò)金融的安全需求有： 對交易者身份認證的需求 信息的保密性需求；信息的完整性需求； 信息的認可需求；信息訪問控制的需求； 信息有效性的需求。 對應(yīng)的安全技術(shù)有： 信息加密技術(shù)；鑒別技術(shù)；網(wǎng)絡(luò)安全技術(shù)等。 網(wǎng) 絡(luò) 金 融 安 全 86 上一頁 下一頁 結(jié) 束