浙江財經(jīng)學(xué)院信息學(xué)院 程亞星

近年來，隨著越來越多的商家與企業(yè)加入電子商務(wù)大軍，2012年天貓、京東、蘇寧易購、騰訊都進行了不斷的收購，騰訊投資10億元到電商業(yè)務(wù)。據(jù)艾瑞咨詢發(fā)布的統(tǒng)計數(shù)據(jù)，截至2012年6月底，中國網(wǎng)民數(shù)量達到5.38億，受益于網(wǎng)購市場的高速發(fā)展全年網(wǎng)購交易規(guī)模突破13000億，電子商務(wù)產(chǎn)業(yè)已成為我國經(jīng)濟中的亮麗風(fēng)景。同時，電子商務(wù)交易安全問題日益嚴(yán)重，信息安全已成為未來電子商務(wù)順利發(fā)展的重要保證，確保商務(wù)交易中的安全是當(dāng)前電子商務(wù)發(fā)展面臨的巨大挑戰(zhàn)。近年來已經(jīng)逐漸發(fā)展成熟的防火墻與入侵檢測技術(shù)已頗具成效，成為解決電子商務(wù)交易網(wǎng)絡(luò)安全的重要手段。其中，防火墻技術(shù)因其靜態(tài)防御的特性而在策略完善和攻擊的識別上還存在很多不足之處，入侵檢測技術(shù)能夠很好地對惡意攻擊網(wǎng)絡(luò)行為進行有效的識別，可以對防火墻的不足進行補充。它若與防火墻技術(shù)結(jié)合使用，便可對電子商務(wù)交易安全發(fā)揮重要作用。

1 防火墻的關(guān)鍵技術(shù)

防火墻是利用了IP封包過濾技術(shù)，被放置在Internet與被保護的網(wǎng)絡(luò)兩者之間的屏障。它可以對過往的信息與數(shù)據(jù)進行不安全因素監(jiān)測與分析，對不良數(shù)據(jù)與惡意信息進行過濾，對各種病毒與木馬入侵進行攔截；防止網(wǎng)絡(luò)信息被攻擊和篡改。一般的防火墻系統(tǒng)主要包括Telnet、Email、WWW、FTP等代理服務(wù)器，以及用戶登錄、加密、審計、過濾路由、身份審核與驗證、堡壘主機等基本功能模塊組成。各個服務(wù)器與各個功能模塊分工明確，經(jīng)過有效的配合，能夠?qū)崿F(xiàn)共同抵御不安全網(wǎng)絡(luò)攻擊行為的目標(biāo)。

防火墻具有很多功能，主要體現(xiàn)在：（1）防火墻可以將網(wǎng)絡(luò)內(nèi)部的信息屏蔽起來，避免外界干擾和攻擊。（2）防火墻可以監(jiān)測、審計和分析進入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，對惡意信息進行篩選。（3）壁壘主機功能模塊可以有效阻斷外部入侵。（4）防火墻可以阻止所有可疑的對網(wǎng)絡(luò)的訪問，攔截所有攜帶病毒攻擊的報文，并且可以預(yù)防這些病毒與木馬的傳播和擴散。但是，具有了這些功能網(wǎng)絡(luò)也并不是絕對安全的，實踐證明防火墻體系還存在許多漏洞，諸如盡管防火墻可以記錄一切網(wǎng)絡(luò)訪問的活動，但是卻也為黑客提供了入侵的端口，也有些黑客也能夠繞過防火墻而進入網(wǎng)絡(luò)，這些漏洞需要我們認(rèn)真對待，及時完善防火墻技術(shù)。

1.1 包過濾技術(shù)

包過濾技術(shù)是防火墻技術(shù)中的一種，該技術(shù)的主要通過數(shù)據(jù)包過濾來實現(xiàn)的。其作用是阻塞某些主機及網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的連接，這種技術(shù)主要工作在網(wǎng)絡(luò)層。它為危機四伏的網(wǎng)絡(luò)提供著過濾路由器的技術(shù)。例如，利用這種技術(shù)可以限制網(wǎng)絡(luò)訪問者去訪問非法、色情站點等。可以通過選擇系統(tǒng)內(nèi)部的訪問控制表Access Control List，選取恰當(dāng)?shù)木W(wǎng)絡(luò)位置，并在這個位置對數(shù)據(jù)包選擇性的濾取，滿足網(wǎng)絡(luò)傳輸要求的數(shù)據(jù)包被過濾出來，并且可以通過一些網(wǎng)絡(luò)安全協(xié)議在網(wǎng)絡(luò)間進行有序的傳輸，其余不符合網(wǎng)絡(luò)傳輸要求的數(shù)據(jù)包則被過濾出來，并最終在數(shù)據(jù)流中徹底刪除，避免危害網(wǎng)絡(luò)安全。

數(shù)據(jù)包過濾技術(shù)也存在一定漏洞，例如它只能通過數(shù)據(jù)包的端口號碼、目的地址及協(xié)議類型等對數(shù)據(jù)包進行分析和判斷，是只工作在網(wǎng)絡(luò)層的過濾技術(shù)。這就決定了該技術(shù)不能對網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)進行篩選和分析，對于應(yīng)用層內(nèi)的不良網(wǎng)絡(luò)入侵不發(fā)揮功效。

1.2 代理(Proxy)技術(shù)

代理（Proxy）技術(shù)是完全不同于數(shù)據(jù)包過濾技術(shù)的應(yīng)用網(wǎng)關(guān)技術(shù)——Application Gateway。它主要攔截一切信息流，工作在網(wǎng)絡(luò)層，不同的應(yīng)用配有不同的程序?qū)崿F(xiàn)防護功能。代理技術(shù)以狀態(tài)性為主要特征，目標(biāo)是在網(wǎng)絡(luò)應(yīng)用層實現(xiàn)不安全訪問的防范。代理技術(shù)能夠展現(xiàn)與應(yīng)用和傳輸相關(guān)聯(lián)的所有信息與數(shù)據(jù)的狀態(tài)，并且能夠規(guī)范管理甚至及時處理這些傳輸應(yīng)用信息。

代理是內(nèi)外網(wǎng)間的網(wǎng)關(guān)，是工作在網(wǎng)絡(luò)應(yīng)用層上的特殊服務(wù)，且網(wǎng)絡(luò)應(yīng)用服務(wù)與應(yīng)用代理具有一對一的關(guān)系。這讓通信的網(wǎng)絡(luò)服務(wù)器與客戶之間不會進行直接的聯(lián)系，而是通過代理進行轉(zhuǎn)接與中繼。代理服務(wù)器主要分為服務(wù)器代理和客戶代理兩大分支，前者負(fù)責(zé)完成與服務(wù)器間的通訊，后者負(fù)責(zé)完成與客戶的對接通訊。隨之而來的是代理服務(wù)器與服務(wù)器方面以及地理服務(wù)器和客戶方面的兩大類連接，這些連接都需要代理技術(shù)來進行維持。對服務(wù)器方面而言，代理是客戶端，負(fù)責(zé)訪問服務(wù)。對客戶方面，代理是服務(wù)器，負(fù)責(zé)目的服務(wù)器與客戶的對接。

1.3 狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)是采用對網(wǎng)絡(luò)通信各層的數(shù)據(jù)傳輸進行檢測的手段，是利用檢測模塊對動態(tài)數(shù)據(jù)包過濾技術(shù)的完善。狀態(tài)檢測技術(shù)可以提取一些數(shù)據(jù)的狀態(tài)信息，并能夠?qū)⑦@些信息進行動態(tài)保存，目的是方便以后做出安全決策。這種技術(shù)本質(zhì)上講采用的還是以會話為基本原色的一種連接檢測機制，將屬于同一連接性質(zhì)的數(shù)據(jù)包同一成一個數(shù)據(jù)流整體后形成連接狀態(tài)表。通過這些表的相互協(xié)作達成對表中各個連接元素的分析和甄別，為提高傳輸效率可隨意排列這些表中的記錄。用戶的訪問到達網(wǎng)關(guān)以前，檢測設(shè)備要對數(shù)據(jù)進行分析和提取，根據(jù)網(wǎng)絡(luò)協(xié)議與傳輸要素，對這些用戶數(shù)據(jù)進行分析、鑒定、識別和過濾。這樣，提高了網(wǎng)絡(luò)的安全級別。

如果有的訪問不符合安全規(guī)范，或者有的數(shù)據(jù)不符合傳輸協(xié)議，防火墻中的安全警報器就會及時提醒系統(tǒng)拒絕這些訪問，及時地記錄這些活動，以備查詢分析。狀態(tài)檢測技術(shù)還能根據(jù)更高層網(wǎng)絡(luò)安全協(xié)議對數(shù)據(jù)會話狀態(tài)與上下報文進行監(jiān)測，能夠及時并準(zhǔn)確地對規(guī)則進行過濾性的調(diào)整以適應(yīng)協(xié)議需求，保障網(wǎng)絡(luò)安全。

2 入侵檢測技術(shù)

入侵檢測技術(shù)主要是為識別并處理對惡意使用計算機和網(wǎng)絡(luò)資源的活動提供的一種檢測技術(shù)，它主要囊括了內(nèi)部用戶的非法活動和外部用戶的惡意入侵。入侵檢測技術(shù)是利用主機系統(tǒng)與計算機網(wǎng)絡(luò)里對網(wǎng)絡(luò)內(nèi)部的關(guān)鍵信息實施識別、分析和采集。然后將識別出來的合法用戶資源濫用以及非法用戶入侵的惡意行為進行記錄，必要時作出響應(yīng)。這種技術(shù)實現(xiàn)了主動預(yù)防，比傳統(tǒng)的安全防范技術(shù)多了響應(yīng)和檢測步驟。傳統(tǒng)的技術(shù)防范是對不安全行為事后報警，入侵檢測技術(shù)已經(jīng)進化到可以事前提醒，及時處理不安全活動。這種技術(shù)對于網(wǎng)絡(luò)攻擊的非法行為也提供了準(zhǔn)確的記錄和有力的證據(jù)。可見，入侵檢測技術(shù)已經(jīng)逐步在發(fā)展和完善。入侵檢測系統(tǒng)主要包含了響應(yīng)單元、事件分析器和產(chǎn)生器、報警器等四個主要組件。各個組件只有通力配合，各盡其責(zé)，才能達成維護網(wǎng)絡(luò)安全的一致目標(biāo)。

2.1 事件產(chǎn)生器(Event Generators)

Event Generators——事件產(chǎn)生器，是入侵檢測系統(tǒng)的一個組件，事件產(chǎn)生器可以對網(wǎng)絡(luò)訪問日志、數(shù)據(jù)流等進行監(jiān)測與追蹤，對原始信息例如用戶活動、數(shù)據(jù)、網(wǎng)絡(luò)等等信息進行采集，并將采集到的所有信息以事件的形式供應(yīng)給系統(tǒng)的其它部分。需要注意的是，事件產(chǎn)生器可以在計算機網(wǎng)絡(luò)中，例如不同主機、不同網(wǎng)段這類不同關(guān)鍵點進行信息的采集與收錄。

2.2 事件分析器(Event Analyzers)

Event Analyzers事件分析器，是通過IDS的知識庫中的安全規(guī)范對接收到的一切事件信息進行識別和分析，按照庫中已經(jīng)有的安全規(guī)范判定訪問與入侵的異常活動。IDS在接收到事件信息以后會對事件與知識庫內(nèi)安全策略對比，知識庫有哪些報文屬于攻擊性質(zhì)的定義，系統(tǒng)發(fā)現(xiàn)異常立即處理和記錄。檢測技術(shù)報文中是否有攻擊性是最常用的定義知識庫的手段。事件分析器這種處理模式也是由簡單到復(fù)雜，簡單的處理即將報文數(shù)據(jù)與攻擊定義進行字符串比對，發(fā)現(xiàn)異常系統(tǒng)即刻報警提示。缺點是降低了工作效率與準(zhǔn)確度。這樣，技術(shù)人員后續(xù)的工作就會很繁瑣，還要進行TCP重組、檢查、解碼、IP碎片重組、校驗等工作，增加了人力工作量。

3 防火墻與入侵檢測技術(shù)的聯(lián)動

入侵檢測技術(shù)作為通過收集關(guān)鍵信息進行分析的一種主動防御的安全技術(shù)手段，也面臨著很多困難，如：檢測系統(tǒng)會提供很多誤報信息，大量的漏報信息也很難追蹤到；檢測數(shù)據(jù)的數(shù)量不斷增多，需要警報的信息也逐漸增多，無疑加重了系統(tǒng)負(fù)擔(dān)，降低了系統(tǒng)工作效率；入侵檢測技術(shù)對硬件配置要求較高；入侵檢測技術(shù)無法檢測諸如IPv6數(shù)據(jù)包以及未知攻擊的加密數(shù)據(jù)。以上這些問題是入侵檢測技術(shù)亟待解決的重要課題。防火墻與入侵檢測技術(shù)的有效結(jié)合，協(xié)調(diào)聯(lián)動就可以解決上述問題，因為入侵檢測技術(shù)可以檢測到防火墻檢測之外的侵犯活動，防火墻可以根據(jù)入侵檢測系統(tǒng)檢測到的不良活動及時調(diào)整防范策略，二者的有機結(jié)合，積極聯(lián)動是保障網(wǎng)絡(luò)安全的最有效手段。

3.1 檢測器設(shè)置的位置選擇分析

入侵檢測器是在防火墻以外的非軍事區(qū)域，該區(qū)域是在最外端防火墻與ISP間可以看到對Internet攻擊的檢測設(shè)備。當(dāng)遇到TCP攻擊時，過濾路由器和防火墻都能夠?qū)ζ溥M行封鎖，導(dǎo)致檢測漏檢現(xiàn)象出現(xiàn)。檢測過程大多需要對字符串進行對比，而字符傳送前提是TCP三次握手。盡管防火墻外的檢測器檢測不到入侵，檢測位置卻已經(jīng)是最佳的，對站點有能見到防火墻暴露在多少種攻擊下。因為防火墻內(nèi)部被攻擊次數(shù)明顯低于外部，將檢測器放在防火墻內(nèi)部可以減少誤報幾率，降低檢測干擾。

3.2 IDS與防火墻的接口

開放接口和防火墻與入侵技術(shù)形成一個系統(tǒng)，這樣兩種方式是防火墻與入侵檢測技術(shù)聯(lián)動的體現(xiàn)。前者是入侵系統(tǒng)或者是防火墻開放個接口按照通訊協(xié)議，供對方使用，完成網(wǎng)絡(luò)傳輸。后者是入侵檢測系統(tǒng)與防火墻形成一個統(tǒng)一的系統(tǒng)對流經(jīng)防火墻的數(shù)據(jù)流進行實時監(jiān)督與檢測。

要實現(xiàn)入侵檢測與防火墻模塊的統(tǒng)一，就要將入侵檢測系統(tǒng)嵌入式分布在主機與網(wǎng)絡(luò)邊界的防火墻中。第一道防線可以是防火墻過濾模塊，第二道防線可以設(shè)置成入侵檢測模塊。訪問與入侵的數(shù)據(jù)包要得到防火墻的檢驗合格，才能繼續(xù)傳輸。

4 結(jié)語

電子商務(wù)交易改變了市場結(jié)構(gòu)的同時也提高了企業(yè)的效率，給企業(yè)帶來了無限商機，但是不可避免的是新型電子商務(wù)交易安全和保密問題，而如何保障其安全性和保密性，正是新型電子商務(wù)發(fā)展應(yīng)該解決的問題。電子商務(wù)交易安全離不開先進的信息安全技術(shù)和科學(xué)的信息安全管理手段，融合防火墻和入侵檢測技術(shù)的網(wǎng)絡(luò)安全防護必將促進電子商務(wù)的發(fā)展。

[1] 胡平,李臻,彭紀(jì)奎.基于入侵檢測的分布式防火墻的應(yīng)研究[J].微電子學(xué)與計算機,2011,28(6).

[2] 鄭麗生,陳金聰.基于入侵防護系統(tǒng)的網(wǎng)絡(luò)安全研究[J].軟件導(dǎo)刊,2011(07).

[3] 張沛強.防火墻與入侵檢測協(xié)同方案分析[J].華章,2009(06).

[4] 韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實際應(yīng)用[J].科技資訊,2010(01).

[5] 余志高,周國祥.入侵檢測與防火墻協(xié)同應(yīng)用模型的研究與設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010(03).