防火墻技術在企業財務管理系統中的應用

韓 曉

[摘 要]隨著信息網絡應用的普及,企業為了提高管理效率,日益重視管理信息系統的建設和應用,眾多企業建立起了基于TCP/IP 協議并采用Internet 通信標準的局域網,在此基礎上各種企業管理信息系統的應用也得到了逐步發展。財務管理系統就是比較典型的應用之一,雖然它帶來了企業財務管理效率的提高,但是由于企業局域網所具有的開放性,也帶來了系統入侵、病毒破壞等安全問題。

[關鍵詞]防火墻 企業 防火墻的功能

[中圖分類號]TN915[文獻標識碼]A[文章編號]1007-9416(2009)12-0068-02

目前企業局域網上存在的安全隱患中,黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。針對局域網中存在的眾多隱患,企業必須實施了安全防御措施,主要包括防火墻技術、數據加密技術、認證技術等,其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統中的應用進行較為深入的探討。

1 防火墻技術

1.1 防火墻的基本概念

防火墻是保護內部網絡安全的一道防護墻。從理論上講,網絡防火墻是用來防止外部網上的各類危險程序傳播到某個受保護網內,財務上主要用于保護計算機和服務器不受攻擊,確保數據安全。從邏輯上講,防火墻是分離器、限制器和分析器;從物理角度看,各個防火墻的物理實現方式可以有所不同,但它通常是1組硬件設備(路由器、主機)和軟件的多種組合;而從本質上看防火墻是1種保護裝置,用來保護網絡數據、資源和用戶的聲譽;從技術上來說,網絡防火墻是1種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,所以防火墻是一道門檻,控制進出2個方向的通信,防火墻主要用來保護安全網絡免受來自不安全網絡的入侵。

1.2 防火墻的工作原理

防火墻的工作原理是按照事先規定好的配置和規則,監控所有通過防火墻的數據流,只允許授權的數據通過,同時記錄有關的鏈接來源、服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤。

1.3 防火墻的功能

防火墻主要有以下四種功能:(1)能夠防止非法用戶進入內部網絡;(2)可以很方便地監視網絡的安全性,并報警;(3)可以作為部署NAT(Network Address Translation,網絡地址變換)的地點,利用 NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題;(4)可以連接到1個單獨的網段上,從物理上和內部網段隔開,并在此部署WWW服務器和FTP服務器,將其作為向外部發布內部信息的地點。

1.4 防火墻的分類

1.4.1 過濾型防火墻

又稱篩選路由器(Screening router)或網絡層防火墻(Network level firewall),它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制,根據所收到的數據包的源 IP 地址、目的 IP 地址、TCP/UDP 源端口號及目標端口號、ICMP 消息類型、數據包出入接口、協議類型和數據包中的各種標志等為參數,與用戶預定的訪問控制表進行比較,決定數據是否符合預先制定的安全策略,決定數據包的轉發或丟棄,即實施過濾。

1.4.2 代理服務器型防火墻

代理服務器型防火墻通過在主機上運行代理的服務程序,直接對特定的應用層進行服務,因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程,它代替網絡用戶完成特定的TCP/IP功能。1個代理服務器實際上是1個為特定網絡應用而連接2個網絡的網關。

1.4.3 復合型防火墻

由于對更高安全性的要求,通常把數據包過濾和代理服務系統的功能和特點綜合起來,構成復合型防火墻系統。所用主機稱為堡壘主機,負責代理服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或代理服務器型防火墻,而是將各種安全技術結合起來,形成混合的多級防火墻,以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎?7 種技術:(1)動態包過濾;(2)內核透明技術;(3)用戶認證機制;(4)內容和策略感知能力;(5)內部信息隱藏;(6)智能日志、審計和實時報警;(7)防火墻的交互操作性。

2 財務管理系統的防火墻設計

2.1 防火墻系統的總體設計思想

2.1.1 設計防火墻系統的拓撲結構

在確定防火墻系統的拓撲結構時,首先必須確定被保護網絡的安全級別,財務數據在企業屬于非常重要的核心數據。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮,以決定防火墻系統的拓撲結構。

2.1.2 制定網絡安全策略

在實現過程中,沒有允許的服務是被禁止的,沒有被禁止的服務都是允許的,因此網絡安全的第1條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流,逐一完成每項許可的服務;第2條策略是允許一切沒有被禁止的服務,防火墻轉發所有的信息,逐項刪除被禁止的服務。

2.1.3 防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計,發現入侵和非法訪問情況。據此對防火墻的安全性進行評價,需要時進行適當改進,管理工作要根據網絡拓撲結構的改變或安全策略的變化,對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能,以保證網絡極其信息的安全性。

3 數據包防火墻設計

數據包過濾防火墻的技術核心是對是流經防火墻每個數據包進行審查,分析其包頭中所包含的源地址、目的地址、封裝協議 (TCP,UDP、ICMP,IP Tunnel 等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息,確定其是否與系統預先設定的安全策略相匹配,以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用,這一過程就稱為數據包過濾。

3.1 與服務有關的安全檢查規則

這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸,這類服務包括 WWW,FTP,Telnet,SMTP 等。以WWW包過濾為例,來分析下這類數據包過濾的實現。WWW數據包采用TCP或UDP協議,其端口為80,設置安全規則為允許內部網絡用戶對Internet的WWW訪問,而限制Internet用戶僅能訪問內部網部的WWW服務器。要實現上述WWW安全規則,設置WWW數據包過濾為,在防火墻與Internet接口的網卡端僅允許目的地址為內部網絡WWW服務器地址數據包通過,而在防火墻與內部網絡接口的網卡端允許所有來自內部網絡WWW數據包通過。顯然,設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。與此相似,我們可以建立起與FTP, Telnet,SMTP等服務有關的數據包檢查規則。

4 結語

防火墻技術優點眾多,但也并非萬無一失。財務管理系統在設定防火墻后仍需要采取技術與管理方面的措施,將防火墻與其他安全防御技術配合使用,并加強使用中的安全管理,才能達到應有的效果。

[參考文獻]

[1]張曄,劉玉莎.防火墻技術的研究與探討[M].計算機系統應用,2006:68-75.

[2]王麗艷.淺談防火墻技術與防火墻系統設計[J].遼寧工學院學報,2007(11):28-33.

[3]郭偉.數據包過濾技術與防火墻的設計[J].江漢大學學報,2005(7):24-26.