《[計算機]防火墻技術在企業(yè)財務管理系統(tǒng)中的應用》由會員分享，可在線閱讀，更多相關《[計算機]防火墻技術在企業(yè)財務管理系統(tǒng)中的應用（3頁珍藏版）》請在裝配圖網上搜索。

1、防火墻技術在企業(yè)財務管理系統(tǒng)中的應用 2010-06-10 09:02:02 作者：韓曉 來源：萬方數據 0 網友評論 0 條 分享 | 摘要： 目前企業(yè)局域網上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數據 關鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務器 　　目前企業(yè)局域網上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數據加密技術、認證技術等，其中應用最為廣泛、實用

2、性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統(tǒng)中的應用進行較為深入的探討。 　　1、防火墻技術 　　1.1防火墻的基本概念 　　防火墻是保護內部網絡安全的一道防護墻。從理論上講，網絡防火墻是用來防止外部網上的各類危險程序傳播到某個受保護網內，財務上主要用于保護計算機和服務器不受攻擊。確保數據安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個防火墻的物理實現方式可以有所不同，但它通常是1組硬件設備(路由器、主機)和軟件的多種組合，而從本質上看防火墻是1種保護裝置，用來保護網絡數據、資源和用戶的聲譽，從技術上來說，網絡防火墻是1種訪問控制技術，在某個機

3、構的網絡和不安壘的網絡之間設置障礙，阻止對信息資源的非法訪問，所以防火墻是一道門檻，控制進出2個方向的通信，防火墻主要用來保護安全網絡免受來自不安全網絡的入侵。 　　1.2防火墻的工作原理 　　防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數據流，只允許授權的數據通過，同時記錄有關的鏈接來源，服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。 　　1.3防火墻的功能 　　防火墻主要有以下四種功能：(1)能夠防止非法用戶進入內部網絡；(2)可以很方便地監(jiān)視網絡的安全性，并報警；(3)可以作為部署NAT(Network Address Transla

4、tion，網絡地址變換)的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來。用來緩解地址空間短缺的問題；(4)可以連接到1個單獨的網段上，從物理上和內部網段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部發(fā)布內部信息的地點。 　　1.4防火墻的分類 　　1.4.1過濾型防火墻 　　又稱篩選路由器(Screening router)或網絡層防火墻(Network level firewall)，它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制，根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號，ICMP 消息類型，數據包

5、出入接口、協(xié)議類準和數據包中的各種標志等為參數，與用戶預定的訪問控制表進行比較。決定數據是否符合預先制定的安全策略，決定數據包的轉發(fā)或丟棄，即實施過濾。 　　1.4.2代理服務器型防火墻 　　代理服務器艘防火墻通過在主機上運行代理的服務程序，直接對特定的應用層進行服務。因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程，它代替網絡用戶完成特定的TCP/lP功能。1個代理服務器實際上是1個為特定網絡應用麗連接2個網絡的網關。 　　1.4.3復合型防火墻 　　由于對更高安全性的要求，通常把數據包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主

6、機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎?種技術：(1)動態(tài)包過濾；(2)內核透明技術；(3)用戶認證機制；(4)內容和策略感知能力，(5)內部信息隱藏；(6)智能日志、審計和實時報警，(7)防火墻的交互操作性。 　　2、財務管理系統(tǒng)的防火墻設計 　　2.1 防火墻系統(tǒng)的總體設計思想 　　2.1.1設計防火墻系統(tǒng)的拓撲結構 　　在確定防火墻系統(tǒng)的拓撲結構時，首先必須確定被保護網絡的安全級別，財務數據在企業(yè)屬于非常重

7、要的核心數據。從整個系統(tǒng)的成本，安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統(tǒng)的拓撲結構。 　　2.1.2制定網絡安全策略 　　在實現過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網絡安全的第1條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每項許可的服務；第2條策略是允許一切沒有被禁止的服務。防火墻轉發(fā)所有的信息，逐項朋除被禁止的服務。 　　2.1.3防火墻維護和管理方案的考慮 　　防火墻的日常維護是對訪問記錄進行審計，發(fā)現入侵和非法訪問情況。據此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據網絡拓撲

8、結構的改變或安全策略的變化.對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網絡極其信息的安全性。 　　3、數據包防火墻設計 　　數據包過濾防火墻的技術核心是對是流經防火墻每個數據包進行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IP Tunnel等)、TCP/UDP源端口號和目的端口號、輸入輸出接口等信息，確定其是否與系統(tǒng)預先設定的安全策略相匹配，以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用，這一過程就稱為數據包過濾。 　　3.1與服務有關的安全檢查規(guī)則 　　這類安全檢查是根據特定服務的需要來決定是否允許相關

9、的數據包被傳輸，這類服務包括WWW，FTP，Telnet，SMTP等。以WWW包過濾為倒，來分析下這類數據包過濾的實現。WWW數據包采用TCP或UDP協(xié)議，其端口為80，設置安全規(guī)則為允許內部網絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內部網部的WWW服務器。要實現上述WWW安全規(guī)則，設置WWW數據包過濾為，在防火墻與Intemet接口的網卡端僅允許目的地址為內韶網絡WWW服務器地址數據包通過。而在防火墻與內部網絡接口的網卡端允許所有來自內部網絡WWW數據包通過。顯然，設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數據包檢查規(guī)則。 　　4、結語 　　防火墻技術優(yōu)點眾多，但也并非萬無一失。財務管理系統(tǒng)在設定防火墻后仍需要采取技術與管理方面的措施，將防火墻與其他安全防御技術配合使用，并加強使用中的安全管理，才能達到應有的效果。 （責任編輯：韓雨彤） 聲明：凡注明CIO時代網（）原創(chuàng)之作品（文字、圖片、圖表），轉載請務必注明出處，違者本網將依法追究責任。