淺析電子商務安全中的防火墻技術和入侵檢測技術

摘 要：隨著網絡技術的快速發展，電子商務逐漸成為了企業的主要經營模式。為了促進企業的發展，必須提高網絡安全性。本文首先對防火墻技術進行了詳細概述，主要包括防火墻技術的作用以及對應的功能，并且從入侵檢測技術的原理以及檢測方法兩個方面對入侵檢測技術進行了詳細概述，最后討論了兩種技術相結合的綜合應用模式，事實證明兩者之間的綜合應用效果最佳，提高了計算機網絡整體防護效果。

關鍵詞：電子商務；防火墻；入侵檢測

電子商務已經逐漸融入到人們的生活當中，利用Internet開展電子商務活動成為了人們關注的重點。雖然電子商務為人們的生活帶來了便利，與此同時也存在著一些安全問題，構建一個便利、安全的電子商務應用環境成為了目前的重點解決問題[ 1 ]。電子商務交易與網絡安全之間具有相輔相成的關系，缺一不可。因此，本文研究的淺析電子商務安全中的防火墻技術和入侵檢測技術具有重大意義。

一、防火墻技術概述

（一）防火墻技術的作用

防火墻技術實際上就是對一些沒有經過授權就對網絡進行訪問的行為進行攔截，采用邊界控制的方式提高內部網絡安全性，其應用位置在內部網絡與外部網絡之間[ 2 ]。

假如計算機當中沒有防火墻，那么所有的安全防護都需要依賴每一個計算機主機，這就要求每一個主機的安全水平必須非常高。以“木桶原理”為例，木桶的能夠承載的水量與位于最低處的木板密切相關，同樣網絡安全水平與內部主機密不可分，想要達到一定的安全級別就必須對所有的主機的安全級別進行有效統一，并且滿足相應的安全指標，這種安全方法實現起來非常困難。

假如計算機當中應用了防火墻技術，那么攻擊人員就沒有辦法對內部網絡造成直接性的攻擊，所以整個內部網絡的安全就交給了防火墻，利用防火墻技術對內部網絡進行有效管理，不僅操作便捷，同時也容易被操作人員控制，有利于內部網絡安全運行。

（二）防火墻技術的功能

1.控制訪問

在防火墻技術功能當中，控制訪問功能是一項基本功能，主要是針對用戶的訪問設置相應的權限，對于一些特定的資源，只允許特定的用戶進行訪問或者禁止所有的用戶對其進行訪問[3]。該項功能不僅使得網絡內部資源得以有效保護，同時還使得一些網絡中的數據得以有效保護，其主要功能主要包括控制方向、控制服務、控制行為以及控制用戶等。

2.控制內容

將數據內容作為網絡控制的主要依據，不僅可以實現敏感詞匯的過濾，同時還能夠對外部訪問進行有效限制，訪問的內容只能是本地網絡中的部分數據信息。

3.全面的日志

防火墻技術的日志功能比較全面，可以將所有的網絡訪問情況全部記錄下來，并且可以保證其完整性，如果網絡遭受了攻擊或者外部入侵，只要查詢和審計日志中的內容就可以知道問題所在[ 4 ]。

4.自身的安全性以及可用性

防火墻技術需要保障自身的安全性，如果攻擊人員對其進行入侵，那么就很難保證網絡的正常運行。與此同時，防火墻技術也需要保障自身的可用性，這樣才能夠保證網絡的持續使用，使得網絡連接的價值得以充分體現。

5.集中管理

對于一般安全體系來說，防火墻的數量都在一臺以上，這是就需要利用防火墻技術的集中管理功能，從而提高管理人員的工作效率。

6.轉換網絡地址

防火墻技術還具轉換網絡地址的功能，也可以將其稱為NAT功能。主要是利用數據包中的目的地址或者源地址來對IP地址資源進行有效管理，這樣不僅可以節省IP地址資源，同時還能夠將內部的IP地址隱藏起來，從而起到一定保護作用。

7.虛擬專用網（VPN）

VPN實際上就是使用加密技術以及數據封裝技術，以往只能依靠私有網絡才能夠進行傳輸的重要文件，現在可以保證其在公共網絡當中可以安全傳輸。VPN的形式比較繁雜，其在防火墻方面的應用具有局限性，但是通常情況下都可以使用VPN。

二、入侵檢測技術的概述

（一）入侵檢測的主要原理

入侵檢測實際上就是對存在的入侵行為或者入侵動作加以確定或者發現，也可以將其理解為可以及時發現、記錄計算機網絡或者系統中沒有授權的行為。除此之外，還可以將其理解為對系統當中的感染病毒或者試圖入侵行為進行相關調查[ 5 ]。

入侵檢測技術可以提高網絡安全性，其對應的保護形勢為主動保護。該項技術可以對防火墻技術不足之處進行有效補充，在一定程度上提高系統管理人員的安全能力，主要是協助系統對網絡攻擊采取相應的保護措施，從而使得信息結構得以完整。

入侵檢測技術可以說是計算機系統的第二道防線，將網絡正常運行作為檢測的前提條件，對整個計算機系統的網絡進行全面檢測[ 6 ]。如圖1為入侵檢測技術的原理圖。

（二）入侵檢測的方法

1.靜態配置分析

靜態配置分析實際上就是對當前系統的相關配置進行有效分析，從而確定系統是否遭受攻擊。因此在使用靜態配置分析法時，必須對系統的缺陷進行全面了解，如果了解的不夠全面，那么攻擊人員就會避開檢測系統，對未知的安全缺陷采取一定攻擊[ 7 ]。

2.異常性檢測

異常性檢測方法操作非常簡單，不僅不需要操作系統，同時還不需要對安全性缺陷專業知識有所了解，是一種可以對非法入侵人員的身份進行有效檢測的方法。該方法雖然簡便，但是還存在一定不足之處，不能夠檢測入侵人員的具體行為，其主要原因在于很難構建具有正常行為模式的特征輪廓，不僅如此，對于用戶的異常活動的限定也存在一定的困難。

目前，為了構建系統的特征輪廓，大多數IDS采用基于規則描述的方法或者統計方法。“神經網絡”方法不僅具有自學習能力，同時還具有自適應能力，可以利用該方法提取出系統或者用戶活動的特征模式，從而避開統計特征難點。

3.基于行為的檢測

該項檢測方法主要是將以往入侵行為作為判定的標準，對于一些新的入侵行為沒有辦法檢測。其判定標準主要包括系統中的間接違背安全規則行為、系統缺陷，但是對于一些潛在的缺陷使用這種檢測方法也沒有效果。在實際應用當中，為了對檢測方法進行互補，通常情況下所采用的檢測方法不只一種。

4.入侵防護系統

運用IDS常常會有錯誤的報警情況出現。很多用戶在應用IDS以后，都會反映受到IDS報警信息頻繁，并且很多報警信息都不真實，其內容不合乎邏輯，很難處理這些報警信息。因此很有部分用戶選擇入侵防護系統（IPS）來取代IDS，IPS較IDS使用起來更簡便一些，只需要保證IPS在線即可。

IPS是一種入侵防范系統，也可以將其稱為阻止系統，主要對網絡進出口的行為進行有效檢測，一旦發現該行為具有攻擊企圖，那么就會采取相應措施隔斷攻擊源或者自動丟掉攻擊包。

實際上IPS的構建基礎為IDS，是一種新型的網絡安全產品，其檢測功能與IDS比較相似，不同之處在于IPS在檢測到攻擊行為以后會自動采取相應措施阻止攻擊。

雖然IPS具有很多優勢，但是不能夠將其理解為IPS可以完全取代IDS。至今為止，在事后追蹤方面以及安全審計方面，還沒有哪一種防范技術可以與之抗衡。在實際應用中，IPS以及IDS的檢測準確性都不是很強，很多用戶擔心IPS的錯誤判斷會造成非常嚴重的網絡服務影響，所以將IPS作為監控部分，與IDS結合起來運用到企業網絡當中，從而提升防護效果。

三、網絡安全設施的有效結合

由于電子商務交易與網絡安全之間具有相輔相成的關系，所以只依靠入侵檢測技術以及防火墻技術是不夠的，為了進一步提升網絡安全，還需要與其他相關防護措施進行有效結合，例如病毒防護。

（一）網絡安全受木馬、病毒的影響

計算機病毒實際上是一種程序代碼或者計算機指令，可以通過插入計算機程序的方式對其功能或者數據造成一定的破壞，從而影響計算機的正常運行，讓人覺得可怕的是病毒會在計算機當中自我復制，使得病毒對計算機造成的影響有所擴大。

木馬實際上是一種后門程序，可以隱藏在正常程序當中形成惡意代碼，這種代碼具有很多破壞功能，不僅可以將文件刪除，還可以記錄鍵盤，不僅如此，還可以將本機密碼發送給攻擊人員。目前，木馬已經被歸類為網絡病毒。

木馬和病毒傳播方式有很多種，不僅可以通過網絡進行傳播，還可以通過一些硬件設備廣泛傳播，例如U盤、移動硬盤。如果僅依靠入侵檢測技術以及防火墻技術，可以在一定程度上保障網絡進出口的安全，但是如果內網使用不正確仍然會形成很大的安全問題。一旦客戶端的安全問題傳播到電子商務服務器，涉及的安全問題就會很多。因此，對于電子商務網絡安全來說，需要采取單臺計算機病毒防護措施或者局域網病毒防護措施，這種防護措施可以彌補入侵檢測技術以及防火墻技術存在的不足之處。

（二）入侵檢測技術與防火墻技術的綜合應用

防火墻技術可以對訪問進行有效控制，檢查所有網絡流量，發現與安全策略不相符的數據包會立即給予攔截處理。對于傳統的防火墻技術來說，可以對網絡層的攻擊采取防止措施，拒絕一些較為明顯的可疑流量，但是不能夠準確的判斷這些網絡流量是否具有攻擊性，從而導致計算機網絡遭受攻擊。如果將防火墻與入侵檢測進行有效結合，雖然防火墻沒能夠發現入侵行為，但是當其經過入侵檢測時就會被檢測出來，甚至可以鎖定入侵人員，在數據受到損壞之前就可以將其阻止，這種方法不僅可以將破壞的危害降到最低，同時在很短的時間內就可以恢復，使得網絡可以正常運行。

通過防火墻技術與入侵檢測技術的綜合應用，防火墻技術可以發現一些不在安全策略之內的攻擊行為，入侵檢測技術可以在防火墻技術功能上對外來的入侵行為進行實時阻止，這種綜合應用的方式在很大程度上提高了計算機系統整體防護效果。

四、總結

電子商務交易為人們的生活帶來很大便利，但是其與計算機網絡安全有著密不可分的聯系，因此，提高網絡安全非常重要。本文主要利用了防火墻技術以及入侵檢測技術來提高網絡安全性，首先介紹了防火墻技術的作用與功能，接下來論述了入侵檢測技術的原理以及方法，在其基礎上，討論了網絡安全設施的有效結合，事實證明兩者之間的綜合應用效果最佳，提高了計算機網絡整體防護效果。

參考文獻：

[1] 王少英，黃留鎖.入侵檢測技術在電子商務安全中的應用[J].中州大學學報，2013，30（3）：111-115.

[2] 邢小東，侯飛，李千路.電子商務安全防范技術[J].山西大同大學學報（自然科學版），2011，27（1）：16-18.

[3] 許洸彧.電子商務安全中的防火墻技術和入侵檢測技術[J].信息網絡安全，2011（4）：21-23.

[4] 程亞星.電子商務交易的安全技術淺析[J].中國商論，2013（1Z）：80-81.

[5] 羅軍.電子商務網站的安全防范技術[J].中國新技術新產品，2010（16）：37.

[6] 廖革元，鄔芝權.電子商務網站安全分析與防范對策[J].中國商貿，2012（6）：135-136.

[7] 趙子舉.淺談入侵檢測與防火墻技術[J].電子世界，2014（14）：199-200.

作者簡介：

趙亮（1983-），男，本科，江西南昌人，研究方向：電子商務。