[計算機]防火墻技術(shù)在企業(yè)財務管理系統(tǒng)中的應用

防火墻技術(shù)在企業(yè)財務管理系統(tǒng)中的應用2010-06-10 09:02:02 作者:韓曉 來源:萬方數(shù)據(jù) 0 網(wǎng)友評論 0 條 分享 | 摘要: 目前企業(yè)局域網(wǎng)上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大針對局域網(wǎng)中存在的眾多隱患,企業(yè)必須實施了安全防御措施主要包括防火墻技術(shù),數(shù)據(jù) 關(guān)鍵詞: 防火墻企業(yè)防火墻防火墻功能信息安全代理服務器 目前企業(yè)局域網(wǎng)上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大針對局域網(wǎng)中存在的眾多隱患,企業(yè)必須實施了安全防御措施主要包括防火墻技術(shù),數(shù)據(jù)加密技術(shù)、認證技術(shù)等,其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術(shù)本文就防火墻技術(shù)在財務管理信息系統(tǒng)中的應用進行較為深入的探討 1、防火墻技術(shù) 1.1防火墻的基本概念 防火墻是保護內(nèi)部網(wǎng)絡安全的一道防護墻從理論上講,網(wǎng)絡防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護網(wǎng)內(nèi),財務上主要用于保護計算機和服務器不受攻擊確保數(shù)據(jù)安全從邏輯上講,防火墻是分離器,限制器和分析器;從物理角度看,各個防火墻的物理實現(xiàn)方式可以有所不同,但它通常是1組硬件設備(路由器、主機)和軟件的多種組合,而從本質(zhì)上看防火墻是1種保護裝置,用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽,從技術(shù)上來說,網(wǎng)絡防火墻是1種訪問控制技術(shù),在某個機構(gòu)的網(wǎng)絡和不安壘的網(wǎng)絡之間設置障礙,阻止對信息資源的非法訪問,所以防火墻是一道門檻,控制進出2個方向的通信,防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵。
1.2防火墻的工作原理 防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則,監(jiān)控所有通過防火墻的數(shù)據(jù)流,只允許授權(quán)的數(shù)據(jù)通過,同時記錄有關(guān)的鏈接來源,服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監(jiān)測和跟蹤 1.3防火墻的功能 防火墻主要有以下四種功能:(1)能夠防止非法用戶進入內(nèi)部網(wǎng)絡;(2)可以很方便地監(jiān)視網(wǎng)絡的安全性,并報警;(3)可以作為部署NAT(Network Address Translation,網(wǎng)絡地址變換)的地點,利用NAT技術(shù),將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來用來緩解地址空間短缺的問題;(4)可以連接到1個單獨的網(wǎng)段上,從物理上和內(nèi)部網(wǎng)段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發(fā)布內(nèi)部信息的地點 1.4防火墻的分類 1.4.1過濾型防火墻 又稱篩選路由器(Screening router)或網(wǎng)絡層防火墻(Network level firewall),它工作在網(wǎng)絡層和傳輸層它基于單個數(shù)據(jù)包實施網(wǎng)絡控制,根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號,ICMP 消息類型,數(shù)據(jù)包出入接口、協(xié)議類準和數(shù)據(jù)包中的各種標志等為參數(shù),與用戶預定的訪問控制表進行比較。
決定數(shù)據(jù)是否符合預先制定的安全策略,決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄,即實施過濾 1.4.2代理服務器型防火墻 代理服務器艘防火墻通過在主機上運行代理的服務程序,直接對特定的應用層進行服務因此也稱為應用型防火墻其核心是運行于防火墻主機上的代理服務器進程,它代替網(wǎng)絡用戶完成特定的TCP/lP功能1個代理服務器實際上是1個為特定網(wǎng)絡應用麗連接2個網(wǎng)絡的網(wǎng)關(guān) 1.4.3復合型防火墻 由于對更高安全性的要求,通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來,構(gòu)成復合型防火墻系統(tǒng)所用主機稱為堡壘主機,負責代理服務各種類型的防火墻都有其各自的優(yōu)缺點當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻,而是將各種安全技術(shù)結(jié)合起來,形成混合的多級防火墻,以提高防火墻的靈活性和安全性混合型防火墻一般采用7種技術(shù):(1)動態(tài)包過濾;(2)內(nèi)核透明技術(shù);(3)用戶認證機制;(4)內(nèi)容和策略感知能力,(5)內(nèi)部信息隱藏;(6)智能日志、審計和實時報警,(7)防火墻的交互操作性 2、財務管理系統(tǒng)的防火墻設計 2.1 防火墻系統(tǒng)的總體設計思想 2.1.1設計防火墻系統(tǒng)的拓撲結(jié)構(gòu) 在確定防火墻系統(tǒng)的拓撲結(jié)構(gòu)時,首先必須確定被保護網(wǎng)絡的安全級別,財務數(shù)據(jù)在企業(yè)屬于非常重要的核心數(shù)據(jù)。
從整個系統(tǒng)的成本,安全保護的實現(xiàn)、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統(tǒng)的拓撲結(jié)構(gòu) 2.1.2制定網(wǎng)絡安全策略 在實現(xiàn)過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網(wǎng)絡安全的第1條策略是拒絕一切未許可的服務防火墻封鎖所有信息流,逐一完成每項許可的服務;第2條策略是允許一切沒有被禁止的服務防火墻轉(zhuǎn)發(fā)所有的信息,逐項朋除被禁止的服務 2.1.3防火墻維護和管理方案的考慮 防火墻的日常維護是對訪問記錄進行審計,發(fā)現(xiàn)入侵和非法訪問情況據(jù)此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據(jù)網(wǎng)絡拓撲結(jié)構(gòu)的改變或安全策略的變化.對防火墻進行硬件和軟件的修改和升級通過維護和管理進一步優(yōu)化其性能,以保證網(wǎng)絡極其信息的安全性 3、數(shù)據(jù)包防火墻設計 數(shù)據(jù)包過濾防火墻的技術(shù)核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進行審查,分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP,UDP、ICMP,IP Tunnel等)、TCP/UDP源端口號和目的端口號、輸入輸出接口等信息,確定其是否與系統(tǒng)預先設定的安全策略相匹配,以決定允許或拒絕該數(shù)據(jù)包的通過從而起到保護內(nèi)部網(wǎng)絡的作用,這一過程就稱為數(shù)據(jù)包過濾。
3.1與服務有關(guān)的安全檢查規(guī)則 這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關(guān)的數(shù)據(jù)包被傳輸,這類服務包括WWW,F(xiàn)TP,Telnet,SMTP等以WWW包過濾為倒,來分析下這類數(shù)據(jù)包過濾的實現(xiàn)WWW數(shù)據(jù)包采用TCP或UDP協(xié)議,其端口為80,設置安全規(guī)則為允許內(nèi)部網(wǎng)絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內(nèi)部網(wǎng)部的WWW服務器要實現(xiàn)上述WWW安全規(guī)則,設置WWW數(shù)據(jù)包過濾為,在防火墻與Intemet接口的網(wǎng)卡端僅允許目的地址為內(nèi)韶網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過而在防火墻與內(nèi)部網(wǎng)絡接口的網(wǎng)卡端允許所有來自內(nèi)部網(wǎng)絡WWW數(shù)據(jù)包通過顯然,設置此類數(shù)據(jù)過濾的關(guān)鍵是限制與服務相應的目地地址和服務端口與此相似,我們可以建立起與FTP,Telnet,SMTP等服務有關(guān)的數(shù)據(jù)包檢查規(guī)則 4、結(jié)語 防火墻技術(shù)優(yōu)點眾多,但也并非萬無一失財務管理系統(tǒng)在設定防火墻后仍需要采取技術(shù)與管理方面的措施,將防火墻與其他安全防御技術(shù)配合使用,并加強使用中的安全管理,才能達到應有的效果責任編輯:韓雨彤)聲明:凡注明CIO時代網(wǎng)()原創(chuàng)之作品(文字、圖片、圖表),轉(zhuǎn)載請務必注明出處,違者本網(wǎng)將依法追究責任。