防火墙技术在企业财务管理系统中的应用2010-06-1009:02:02作者:韩晓来源:万方数据分享|摘要:目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据关键词:防火墙企业防火墙防火墙功能信息安全代理服务器目前企业局域网上存在的安全隐患中,黑客恶意攻击和病毒感染的威胁最大,造成的破坏也最大。针对局域网中存在的众多隐患,企业必须实施了安全防御措施。主要包括防火墙技术,数据加密技术、认证技术等,其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。1、防火墙技术1.1防火墙的基本概念防火墙是保护内部网络安全的一道防护墙。从理论上讲,网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内,财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲,防火墙是分离器,限制器和分析器;从物理角度看,各个防火墙的物理实现方式可以有所不同,但它通常是1组硬件设备(路由器、主机)和软件的多种组合,而从本质上看防火墙是1种保护装置,用来保护网络数据、资源和用户的声誉,从技术上来说,网络防火墙是1种访问控制技术,在某个机构的网络和不安垒的网络之间设置障碍,阻止对信息资源的非法访问,所以防火墙是一道门槛,控制进出2个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵。1.2防火墙的工作原理防火墙的工作原理是按照事先规定好的配置和规则,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的链接来源,服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。1.3防火墙的功能防火墙主要有以下四种功能:(1)能够防止非法用户进入内部网络;(2)可以很方便地监视网络的安全性,并报警;(3)可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题;(4)可以连接到1个单独的网段上,从物理上和内部网段隔开,并在此部署服务器,将其作为向外部发布内部信息的地点。1.4防火墙的分类1.4.1过滤型防火墙又称筛选路由器(Screeningrouter)或网络层防火墙(Networklevelfirewall),它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号,ICMP消息类型,数据包出入接口、协议类准和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较。决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。1.4.2代理服务器型防火墙代理服务器艘防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务。因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/lP功能。1个代理服务器实际上是1个为特定网络应用丽连接2个网络的网关。1.4.3复合型防火墙由于对更高安全性的要求,通常把数据包过滤和代理服务系统的功能和特点综合起来,构成复合型防火墙系统。所用主机称为堡垒主机,负责代理服务。各种类型的防火墙都有其各自的优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙一般采用7种技术:(1)动态包过滤;(2)内核透明技术;(3)用户认证机制;(4)内容和策略感知能力,(5)内部信息隐藏;(6)智能日志、审计和实时报警,(7)防火墙的交互操作性。2、财务管理系统的防火墙设计2.1防火墙系统的总体设计思想2.1.1设计防火墙系统的拓扑结构在确定防火墙系统的拓扑结构时,首先必须确定被保护网络的安全级别,财务数据在企业属于非常重要的核心数据。从整个系统的成本,安全保护的实现、维护、升级、改造以及重要的资源的保护等方面进行考虑,以决定防火墙系统的拓扑结构。2.1.2制定网络安全策略在实现过程中,没有允许的服务是被禁止的,没有被禁止的服务都是允许的,因此网络安全的第1条策略是拒绝一切未许可的服务。防火墙封锁所有信息流,逐一完成每项许可的服务;第2条策略是允许一切没有被禁止的服务。防火墙转发所有的信息,逐项朋除被禁止的服务。2.1.3防火墙维护和管理方案的考虑防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况。据此对防火墙的安全性进行评价,需要时进行适当改进,管理工作要根据网络拓扑结构的改变或安全策略的变化.对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络极其信息的安全性。3、数据包防火墙设计数据包过滤防火墙的技术核心是对是流经防火墙每个数据包进行审查,分析其包头中所包含的源地址、目的地址、封装协议(TCP,UDP、ICMP,IPTunnel等)、TCP/UDP源端口号和目的端口号、输入输出接口等信息,确定其是否与系统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过。从而起到保护内部网络的作用,这一过程就称为数据包过滤。3.1与服务有关的安全检查规则这类安全检查是根据特定服务的需要来决定是否允许相关的数据包被传输,这类服务包括,FTP,Telnet,SMTP等。以包过滤为倒,来分析下这类数据包过滤的实现。协议,其端口为80,设置安全规则为允许内部网络用户对Internet的访问,而限制Internet用户仅能访问内部网部的服务器。要实现上述安全规则,设置数据包过滤为,在防火墙与Intemet接口的网卡端仅允许目的地址为内韶网络服务器地址数据包通过。而在防火墙与内部网络接口的网卡端允许所有来自内部网络数据包通过。显然,设置此类数据过滤的关键是限制与服务相应的目地地址和服务端口。与此相似,我们可以建立起与FTP,Telnet,SMTP等服务有关的数据包检查规则。4、结语防火墙技术优点众多,但也并非万无一失。财务管理系统在设定防火墙后仍需要采取技术与管理方面的措施,将防火墙与其他安全防御技术配合使用,并加强使用中的安全管理,才能达到应有的效果。(责任编辑:韩雨彤)声明:凡注明CIO时代网()原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。