防火墙技术在企业财务管理系统中的应用2010-06-10 09:02:02 作者:韩晓 来源:万方数据 0 网友评论 0 条 分享 | 摘要: 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大针对局域网中存在的众多隐患,企业必须实施了安全防御措施主要包括防火墙技术,数据 关键词: 防火墙企业防火墙防火墙功能信息安全代理服务器 目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大针对局域网中存在的众多隐患,企业必须实施了安全防御措施主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨 1、防火墙技术 1.1防火墙的基本概念 防火墙是保护内部网络安全的一道防护墙从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击确保数据安全从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。
1.2防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪 1.3防火墙的功能 防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点 1.4防火墙的分类 1.4.1过滤型防火墙 又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它工作在网络层和传输层它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号,ICMP 消息类型,数据包出入接口、协议类准和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较。
决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤 1.4.2代理服务器型防火墙 代理服务器艘防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务因此也称为应用型防火墙其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/lP功能1个代理服务器实际上是1个为特定网络应用丽连接2个网络的网关 1.4.3复合型防火墙 由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统所用主机称为堡垒主机,负责代理服务各种类型的防火墙都有其各自的优缺点当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成混合的多级防火墙,以提高防火墙的灵活性和安全性混合型防火墙一般采用7种技术:(1)动态包过滤;(2)内核透明技术;(3)用户认证机制;(4)内容和策略感知能力,(5)内部信息隐藏;(6)智能日志、审计和实时报警,(7)防火墙的交互操作性 2、财务管理系统的防火墙设计 2.1 防火墙系统的总体设计思想 2.1.1设计防火墙系统的拓扑结构 在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别,财务数据在企业属于非常重要的核心数据。
从整个系统的成本,安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构 2.1.2制定网络安全策略 在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第1条策略是拒绝一切未许可的服务防火墙封锁所有信息流,逐一完成每项许可的服务;第2条策略是允许一切没有被禁止的服务防火墙转发所有的信息,逐项朋除被禁止的服务 2.1.3防火墙维护和管理方案的考虑 防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化.对防火墙进行硬件和软件的修改和升级通过维护和管理进一步优化其性能,以保证网络极其信息的安全性 3、数据包防火墙设计 数据包过滤防火墙的技术核心是对是流经防火墙每个数据包进行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IP Tunnel等)、TCP/UDP源端口号和目的端口号、输入输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过从而起到保护内部网络的作用,这一过程就称为数据包过滤。
3.1与服务有关的安全检查规则 这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输,这类服务包括WWW,FTP,Telnet,SMTP等以WWW包过滤为倒,来分析下这类数据包过滤的实现WWW数据包采用TCP或UDP协议,其端口为80,设置安全规则为允许内部网络用户对Internet的WWW访问,而限制Internet用户仅能访问内部网部的WWW服务器要实现上述WWW安全规则,设置WWW数据包过滤为,在防火墙与Intemet接口的网卡端仅允许目的地址为内韶网络WWW服务器地址数据包通过而在防火墙与内部网络接口的网卡端允许所有来自内部网络WWW数据包通过显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则 4、结语 防火墙技术优点众多,但也并非万无一失财务管理系统在设定防火墙后仍需要采取技术与管理方面的措施,将防火墙与其他安全防御技术配合使用,并加强使用中的安全管理,才能达到应有的效果责任编辑:韩雨彤)声明:凡注明CIO时代网()原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
