电子商务安全中的防火墙技术和入侵检测技术
发布时间:2011-05-24   作者:许洸彧

0引言


 随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。随着电子商务的发展,其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的问题。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。本文将就防火墙技术和入侵检测技术在电子商务安全中的应用展开讨论。

 

1防火墙技术

1.1防火墙的作用

防火墙通常放置在外部网络和内部网络之间,它的作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。

 

如果没有防火墙,整个内部网络的安全性就完全依赖于每个主机,也就是需要每台主机都达到一致的高度安全水平。这里面就有一个“木桶原理”——木桶能装多少水是由最低的那块木板决定的,所以内部的主机越多,要使其达到统一的安全级别水平就越困难。
 

如果采用了防火墙,那内部网络中的主机就不会直接暴露给来自Internet的攻击,因此对整个内部网络的安全管理就转变成了防火墙的安全管理,这样的安全管理将更为方便和易于控制,也使内部网络更加安全。

 

1.2防火墙的功能

 

1.2.1访问控制功能
 

这是基本功能,是通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据,它包括了服务控制、方向控制、用户控制、行为控制等功能。

 

1.2.2内容控制功能
 

根据数据内容进行控制,可以对敏感信息进行过滤,也可以限制外部访问,使它只能访问本地网中的部分信息。

 

1.2.3全面的日志功能
 

防火墙的日志功能将完整地记录网络访问情况,一旦网络发生了入侵或遭到了破坏,就可以对日志进行审计和查询。

 

1.2.4自身的安全和可用性
 

防火墙要保证自身的安全不被非法侵入,保证正常的工作。防火墙也要保证可用性,否则网络就会中断,网络连接也就没有了意义。

 

1.2.5集中管理功能
 

在一个安全体系中,防火墙可能不止一台,防火墙应该是易于集中管理中的,以方便管理员实施安全策略。

 

1.2.6网络地址转换
 

由于防火墙介于两个网络的边界,所以它必然能够完成网络地址转换,即俗称的NAT功能。它通过修改数据包的源地址或者目的地址来达到节省IP地址资源,并且隐藏内部IP地址。
 

同时它也能进行端口的转换,网络中每个服务大多对应一个或多个端口,一些熟知的端口的存在往往引起攻击者的好奇,比如3389就是远程桌面的默认端口。如果在地址转换的同时改变了使用的端口,那无疑也增加了安全性,还可以仅将需要的端口进行转换,而对一些不需要的端口进行隐蔽。比如电子商务的网站往往网站系统和数据库系统不在同一台设备上的,一般仅需要将网站的80端口进行转换即可,而数据库系统仍在内网中,网站的其他端口对外也是不开放的,这样就大大地减少了被攻击的风险。

 

1.2.7虚拟专用网络(VPN)
 

利用数据封装和加密技术,使本来只能在私有网络上传送的数据能够通过公共网络进行传输。由于VPN有多种形式,防火墙的VPN功能一般都有一定的局限性,但对于一般的应该足矣。

 

1.3防火墙作用的局限性
 

尽管防火墙对内部网起到了很好的保护作用,但是,作为管理人员应当注意,防火墙并不是坚不可摧的。
 

首先,防火墙不能防范恶意的知情者。尽管防火墙可以禁止系统用户经过网络连接发送保密信息。但是用户可以将数据复制到磁盘、磁带或者纸上,放在公文包里带出去。因此,如果侵袭者已经在防火墙的内部,防火墙实际上是无能为力的。内部用户能偷窃数据,破坏硬件和软件,并且巧妙地修改程序而从不接近防火墙。这种威胁只能靠加强内部安全防范来予以解决。
 

其次,防火墙不能控制不通过它的连接。防火墙仅能有效地控制穿过它的信息传输。然而,却无法控制不穿过它的信息传输。比如,用户或者系统管理员为了一时方便,临时地或者永久地设置了他们自己的网络“后门”(诸如拨号调制解调器连接等)。这就为网络安全埋下了隐患,而且,这种隐患轻易不会被发现。
 

再次,防火墙不能完全防止受病毒感染的文件或软件的传输,如果要在防火墙上完成对所有病毒代码的检查,防火墙的效率就会降到无法忍受的程度。而互联网上每天都会出现新的威胁或攻击,包括新的病毒或木马,防火墙作为一种被动的防护手段,是无法做到百分之百防护的。
 

事实上,任何运行着的系统,不管它运行于网络之上与否,在安全方面首先要考虑的不是安全设备有多先进或安全策略有多完善,而是人的因素。电子商务系统与其他应用于网络的应用系统不完全一样,它的安全性要求特别高,自然它对运营基础——网络安全,有着更高的要求。
 

防火墙不仅仅是一段单独的计算机程序或一件设备,而是整个Internet安全策略的体现。简单地将一个防火墙产品置于Internet上并不能提供企业所需要的保护。相反地,如果这种方式误导了管理员对安全的感觉,而致使其忽略了易受攻击之处的话,反而会增加企业的风险。

 

2入侵检测技术

 

2.1入侵检测的原理
 

入侵检测是指发现或确定入侵行为存在或出现的动作,也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为,或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。
 

入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力,提高了信息安全的基础结构的完整性。入侵检测被认定是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测。

 

2.2入侵检测系统(IDS)的优点
 

入侵检测系统具有以下一些优点:1)实时监测网络系统的非法行为;2)网络IDS系统不战胜系统的任何资源;3)网络IDS设别可以做到对黑客不透明,因此其自身的安全性很高;4)网络IDS系统及时实时监测系统,也是记录审计系统,它可以做到实时保护和事后取证分析;5)主机IDS系统运行于保护系统之上,可以直接保护和恢复系统;6)通过与防火墙的联动,可以更有效地阻止非法入侵和破坏。

 

2.3入侵检测的主要方法

 

2.3.1静态配置分析
 

入侵者对系统的攻击可能会留下痕迹,这可以通过检查系统的状态检测出来;系统管理员在建立系统时难免会出现一些疏漏;系统在遭受攻击后,入侵者可能会在系统中安装一些后门以方便对系统进一步攻击。诸如上述此类都是采用静态分析方法的原因。静态配置分析通过分析系统的当前配置,来检查系统是否已经或者可能会遭受破坏。所以静态配置分析方法需要尽可能地了解系统的缺陷,否则攻击者可以利用那些系统中未知的安全缺陷从而避开检测系统。

 

2.3.2异常性检测方法
 

异常性检测方法是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下就可以检测入侵者的方法,也是检测冒充合法用户的入侵者的有效方法。但是,仅使用异常性检测技术不可能检测出所有的入侵行为,因为为用户建立正常行为模式的特征轮廓及对用户活动异常性进行警报的门限值的确定相对比较困难,目前这一类IDS多采用统计、或者基于规则描述的方法,建立系统主体的行为特征轮廓。
 

有一种“神经网络”方法具有自学习、自适应能力,可以通过自学习提取正常的用户或系统活动的特征模式,避开选择统计特征这一难题。

 

2.3.3基于行为的检测方法n
 

通过检测用户行为中那些与已知入侵行为类似的行为,那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵行为。它不能检测新的入侵攻击以及未知的、潜在的系统缺陷。
 

现实中的更多的IDS往往同时采用多种方法,互补不足,来共同完成检测任务。

 

2.3.4入侵防护系统
 

IDS往往会带来大量的错误报警。一些用户认为,IDS经常不断发报警信息,结果大部分是误报,而且报警信息不合乎逻辑,处理IDS的报警信息是一个让人头痛的问题。所以有些用户用入侵防护系统(IPS)来替代IDS,因为IPS只需保持在线就可以阻止攻击。
 

IPS的一种主动的、积极的入侵防范及阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源隔断。IPS是建立在IDS发展的基础上的新生网络安全产品,它的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击。
 

尽管如此,但不能说IPS能够很快取代IDS。到目前为止,IDS在安全审计和事后追踪方面仍然无法替代。实际上,IDS和IPS使用相同的检测技术,两者都会受到检测准确性的困扰。由于担心IPS的错误判断有可能影响正常的网络服务,大多数用户将IPS以IDS(仅用于监控)模式接入到企业网络中。

 

3网络安全设施的相互结合
 

前面已经提到:计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。而计算机网络安全除了利用上述的防火墙和入侵检测技术外,还需要其他相关的手段配合,比如说病毒的防护。

 

3.1病毒、木马对网络安全的影响
 

计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击等特殊功能的后门程序。现在往往把木马也归纳为网络病毒的一类。
 

病毒、木马的传播并不是只通过网络一种媒介,除了网络外,目前使用广泛的移动硬盘以及U盘(闪存)也是病毒、木马传播的一个重要媒介,也许网络进出口防范得很好,但在内网由于使用不当造成重大安全隐患,而对这些隐患,防火墙和入侵检测是无能为力的。当来自客户端的漏洞影响到电子商务服务器的时候,安全将不仅仅是一个“问题”了。所以立足单台计算机或者计算机局域网的病毒防护对电子商务的网络安全也是必需的。它是防火墙和入侵检测的有效补充。

 

3.2防火墙和入侵检测系统的结合运行
 

防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。传统的防火墙作为第一道防线,能够防止网络层攻击,拒绝那些明显可疑的网络流量,但仍允许某些流量通过,所以对某些入侵防火墙也可能无能为力。如果在防火墙之后加入入侵检测,能够迅速地检测到入侵,甚至能确认入侵者,并能在破坏发生或数据损坏前加以阻止,能够有效减少破坏的危害并迅速地恢复系统。高效的检测系统也能够起到一定的威慑作用,可以在一定程度上阻止进一步入侵。入侵检测系统能够收集有关入侵的信息,可以用来加强入侵阻止设施。
 

让IDS(IPS)和防火墙结合起来互动运行,防火墙能够发现其安全策略之外的攻击行为,IDS也可以通过防火墙对外来入侵及时加以阻止,这样就大大地提高了整体防护性能。
 

所以,面对当前的安全挑战,多数人认为:层层防设,让防火墙、IPS和IDS等各自发挥优势,是当前保护企业网络的最佳手段,自然也是电子商务网络安全的有力保障。

文章来源:信息网络安全
  • 联系我们 | 网站地图 | 法律声明 | 投资者关系 | 产品体验
  • © 启明星辰1996-2012 版权所有 京ICP备05032414号 京公网安备110108003435号