淺析電子商務(wù)安全中的防火墻技術(shù)和入侵檢測技術(shù)

摘 要：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)逐漸成為了企業(yè)的主要經(jīng)營模式。為了促進企業(yè)的發(fā)展，必須提高網(wǎng)絡(luò)安全性。本文首先對防火墻技術(shù)進行了詳細概述，主要包括防火墻技術(shù)的作用以及對應(yīng)的功能，并且從入侵檢測技術(shù)的原理以及檢測方法兩個方面對入侵檢測技術(shù)進行了詳細概述，最后討論了兩種技術(shù)相結(jié)合的綜合應(yīng)用模式，事實證明兩者之間的綜合應(yīng)用效果最佳，提高了計算機網(wǎng)絡(luò)整體防護效果。

關(guān)鍵詞：電子商務(wù)；防火墻；入侵檢測

電子商務(wù)已經(jīng)逐漸融入到人們的生活當(dāng)中，利用Internet開展電子商務(wù)活動成為了人們關(guān)注的重點。雖然電子商務(wù)為人們的生活帶來了便利，與此同時也存在著一些安全問題，構(gòu)建一個便利、安全的電子商務(wù)應(yīng)用環(huán)境成為了目前的重點解決問題[ 1 ]。電子商務(wù)交易與網(wǎng)絡(luò)安全之間具有相輔相成的關(guān)系，缺一不可。因此，本文研究的淺析電子商務(wù)安全中的防火墻技術(shù)和入侵檢測技術(shù)具有重大意義。

一、防火墻技術(shù)概述

（一）防火墻技術(shù)的作用

防火墻技術(shù)實際上就是對一些沒有經(jīng)過授權(quán)就對網(wǎng)絡(luò)進行訪問的行為進行攔截，采用邊界控制的方式提高內(nèi)部網(wǎng)絡(luò)安全性，其應(yīng)用位置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間[ 2 ]。

假如計算機當(dāng)中沒有防火墻，那么所有的安全防護都需要依賴每一個計算機主機，這就要求每一個主機的安全水平必須非常高。以“木桶原理”為例，木桶的能夠承載的水量與位于最低處的木板密切相關(guān)，同樣網(wǎng)絡(luò)安全水平與內(nèi)部主機密不可分，想要達到一定的安全級別就必須對所有的主機的安全級別進行有效統(tǒng)一，并且滿足相應(yīng)的安全指標(biāo)，這種安全方法實現(xiàn)起來非常困難。

假如計算機當(dāng)中應(yīng)用了防火墻技術(shù)，那么攻擊人員就沒有辦法對內(nèi)部網(wǎng)絡(luò)造成直接性的攻擊，所以整個內(nèi)部網(wǎng)絡(luò)的安全就交給了防火墻，利用防火墻技術(shù)對內(nèi)部網(wǎng)絡(luò)進行有效管理，不僅操作便捷，同時也容易被操作人員控制，有利于內(nèi)部網(wǎng)絡(luò)安全運行。

（二）防火墻技術(shù)的功能

1.控制訪問

在防火墻技術(shù)功能當(dāng)中，控制訪問功能是一項基本功能，主要是針對用戶的訪問設(shè)置相應(yīng)的權(quán)限，對于一些特定的資源，只允許特定的用戶進行訪問或者禁止所有的用戶對其進行訪問[3]。該項功能不僅使得網(wǎng)絡(luò)內(nèi)部資源得以有效保護，同時還使得一些網(wǎng)絡(luò)中的數(shù)據(jù)得以有效保護，其主要功能主要包括控制方向、控制服務(wù)、控制行為以及控制用戶等。

2.控制內(nèi)容

將數(shù)據(jù)內(nèi)容作為網(wǎng)絡(luò)控制的主要依據(jù)，不僅可以實現(xiàn)敏感詞匯的過濾，同時還能夠?qū)ν獠吭L問進行有效限制，訪問的內(nèi)容只能是本地網(wǎng)絡(luò)中的部分數(shù)據(jù)信息。

3.全面的日志

防火墻技術(shù)的日志功能比較全面，可以將所有的網(wǎng)絡(luò)訪問情況全部記錄下來，并且可以保證其完整性，如果網(wǎng)絡(luò)遭受了攻擊或者外部入侵，只要查詢和審計日志中的內(nèi)容就可以知道問題所在[ 4 ]。

4.自身的安全性以及可用性

防火墻技術(shù)需要保障自身的安全性，如果攻擊人員對其進行入侵，那么就很難保證網(wǎng)絡(luò)的正常運行。與此同時，防火墻技術(shù)也需要保障自身的可用性，這樣才能夠保證網(wǎng)絡(luò)的持續(xù)使用，使得網(wǎng)絡(luò)連接的價值得以充分體現(xiàn)。

5.集中管理

對于一般安全體系來說，防火墻的數(shù)量都在一臺以上，這是就需要利用防火墻技術(shù)的集中管理功能，從而提高管理人員的工作效率。

6.轉(zhuǎn)換網(wǎng)絡(luò)地址

防火墻技術(shù)還具轉(zhuǎn)換網(wǎng)絡(luò)地址的功能，也可以將其稱為NAT功能。主要是利用數(shù)據(jù)包中的目的地址或者源地址來對IP地址資源進行有效管理，這樣不僅可以節(jié)省IP地址資源，同時還能夠?qū)?nèi)部的IP地址隱藏起來，從而起到一定保護作用。

7.虛擬專用網(wǎng)（VPN）

VPN實際上就是使用加密技術(shù)以及數(shù)據(jù)封裝技術(shù)，以往只能依靠私有網(wǎng)絡(luò)才能夠進行傳輸?shù)闹匾募?，現(xiàn)在可以保證其在公共網(wǎng)絡(luò)當(dāng)中可以安全傳輸。VPN的形式比較繁雜，其在防火墻方面的應(yīng)用具有局限性，但是通常情況下都可以使用VPN。

二、入侵檢測技術(shù)的概述

（一）入侵檢測的主要原理

入侵檢測實際上就是對存在的入侵行為或者入侵動作加以確定或者發(fā)現(xiàn)，也可以將其理解為可以及時發(fā)現(xiàn)、記錄計算機網(wǎng)絡(luò)或者系統(tǒng)中沒有授權(quán)的行為。除此之外，還可以將其理解為對系統(tǒng)當(dāng)中的感染病毒或者試圖入侵行為進行相關(guān)調(diào)查[ 5 ]。

入侵檢測技術(shù)可以提高網(wǎng)絡(luò)安全性，其對應(yīng)的保護形勢為主動保護。該項技術(shù)可以對防火墻技術(shù)不足之處進行有效補充，在一定程度上提高系統(tǒng)管理人員的安全能力，主要是協(xié)助系統(tǒng)對網(wǎng)絡(luò)攻擊采取相應(yīng)的保護措施，從而使得信息結(jié)構(gòu)得以完整。

入侵檢測技術(shù)可以說是計算機系統(tǒng)的第二道防線，將網(wǎng)絡(luò)正常運行作為檢測的前提條件，對整個計算機系統(tǒng)的網(wǎng)絡(luò)進行全面檢測[ 6 ]。如圖1為入侵檢測技術(shù)的原理圖。

（二）入侵檢測的方法

1.靜態(tài)配置分析

靜態(tài)配置分析實際上就是對當(dāng)前系統(tǒng)的相關(guān)配置進行有效分析，從而確定系統(tǒng)是否遭受攻擊。因此在使用靜態(tài)配置分析法時，必須對系統(tǒng)的缺陷進行全面了解，如果了解的不夠全面，那么攻擊人員就會避開檢測系統(tǒng)，對未知的安全缺陷采取一定攻擊[ 7 ]。

2.異常性檢測

異常性檢測方法操作非常簡單，不僅不需要操作系統(tǒng)，同時還不需要對安全性缺陷專業(yè)知識有所了解，是一種可以對非法入侵人員的身份進行有效檢測的方法。該方法雖然簡便，但是還存在一定不足之處，不能夠檢測入侵人員的具體行為，其主要原因在于很難構(gòu)建具有正常行為模式的特征輪廓，不僅如此，對于用戶的異常活動的限定也存在一定的困難。

目前，為了構(gòu)建系統(tǒng)的特征輪廓，大多數(shù)IDS采用基于規(guī)則描述的方法或者統(tǒng)計方法?！吧窠?jīng)網(wǎng)絡(luò)”方法不僅具有自學(xué)習(xí)能力，同時還具有自適應(yīng)能力，可以利用該方法提取出系統(tǒng)或者用戶活動的特征模式，從而避開統(tǒng)計特征難點。

3.基于行為的檢測

該項檢測方法主要是將以往入侵行為作為判定的標(biāo)準，對于一些新的入侵行為沒有辦法檢測。其判定標(biāo)準主要包括系統(tǒng)中的間接違背安全規(guī)則行為、系統(tǒng)缺陷，但是對于一些潛在的缺陷使用這種檢測方法也沒有效果。在實際應(yīng)用當(dāng)中，為了對檢測方法進行互補，通常情況下所采用的檢測方法不只一種。

4.入侵防護系統(tǒng)

運用IDS常常會有錯誤的報警情況出現(xiàn)。很多用戶在應(yīng)用IDS以后，都會反映受到IDS報警信息頻繁，并且很多報警信息都不真實，其內(nèi)容不合乎邏輯，很難處理這些報警信息。因此很有部分用戶選擇入侵防護系統(tǒng)（IPS）來取代IDS，IPS較IDS使用起來更簡便一些，只需要保證IPS在線即可。

IPS是一種入侵防范系統(tǒng)，也可以將其稱為阻止系統(tǒng)，主要對網(wǎng)絡(luò)進出口的行為進行有效檢測，一旦發(fā)現(xiàn)該行為具有攻擊企圖，那么就會采取相應(yīng)措施隔斷攻擊源或者自動丟掉攻擊包。

實際上IPS的構(gòu)建基礎(chǔ)為IDS，是一種新型的網(wǎng)絡(luò)安全產(chǎn)品，其檢測功能與IDS比較相似，不同之處在于IPS在檢測到攻擊行為以后會自動采取相應(yīng)措施阻止攻擊。

雖然IPS具有很多優(yōu)勢，但是不能夠?qū)⑵淅斫鉃镮PS可以完全取代IDS。至今為止，在事后追蹤方面以及安全審計方面，還沒有哪一種防范技術(shù)可以與之抗衡。在實際應(yīng)用中，IPS以及IDS的檢測準確性都不是很強，很多用戶擔(dān)心IPS的錯誤判斷會造成非常嚴重的網(wǎng)絡(luò)服務(wù)影響，所以將IPS作為監(jiān)控部分，與IDS結(jié)合起來運用到企業(yè)網(wǎng)絡(luò)當(dāng)中，從而提升防護效果。

三、網(wǎng)絡(luò)安全設(shè)施的有效結(jié)合

由于電子商務(wù)交易與網(wǎng)絡(luò)安全之間具有相輔相成的關(guān)系，所以只依靠入侵檢測技術(shù)以及防火墻技術(shù)是不夠的，為了進一步提升網(wǎng)絡(luò)安全，還需要與其他相關(guān)防護措施進行有效結(jié)合，例如病毒防護。

（一）網(wǎng)絡(luò)安全受木馬、病毒的影響

計算機病毒實際上是一種程序代碼或者計算機指令，可以通過插入計算機程序的方式對其功能或者數(shù)據(jù)造成一定的破壞，從而影響計算機的正常運行，讓人覺得可怕的是病毒會在計算機當(dāng)中自我復(fù)制，使得病毒對計算機造成的影響有所擴大。

木馬實際上是一種后門程序，可以隱藏在正常程序當(dāng)中形成惡意代碼，這種代碼具有很多破壞功能，不僅可以將文件刪除，還可以記錄鍵盤，不僅如此，還可以將本機密碼發(fā)送給攻擊人員。目前，木馬已經(jīng)被歸類為網(wǎng)絡(luò)病毒。

木馬和病毒傳播方式有很多種，不僅可以通過網(wǎng)絡(luò)進行傳播，還可以通過一些硬件設(shè)備廣泛傳播，例如U盤、移動硬盤。如果僅依靠入侵檢測技術(shù)以及防火墻技術(shù)，可以在一定程度上保障網(wǎng)絡(luò)進出口的安全，但是如果內(nèi)網(wǎng)使用不正確仍然會形成很大的安全問題。一旦客戶端的安全問題傳播到電子商務(wù)服務(wù)器，涉及的安全問題就會很多。因此，對于電子商務(wù)網(wǎng)絡(luò)安全來說，需要采取單臺計算機病毒防護措施或者局域網(wǎng)病毒防護措施，這種防護措施可以彌補入侵檢測技術(shù)以及防火墻技術(shù)存在的不足之處。

（二）入侵檢測技術(shù)與防火墻技術(shù)的綜合應(yīng)用

防火墻技術(shù)可以對訪問進行有效控制，檢查所有網(wǎng)絡(luò)流量，發(fā)現(xiàn)與安全策略不相符的數(shù)據(jù)包會立即給予攔截處理。對于傳統(tǒng)的防火墻技術(shù)來說，可以對網(wǎng)絡(luò)層的攻擊采取防止措施，拒絕一些較為明顯的可疑流量，但是不能夠準確的判斷這些網(wǎng)絡(luò)流量是否具有攻擊性，從而導(dǎo)致計算機網(wǎng)絡(luò)遭受攻擊。如果將防火墻與入侵檢測進行有效結(jié)合，雖然防火墻沒能夠發(fā)現(xiàn)入侵行為，但是當(dāng)其經(jīng)過入侵檢測時就會被檢測出來，甚至可以鎖定入侵人員，在數(shù)據(jù)受到損壞之前就可以將其阻止，這種方法不僅可以將破壞的危害降到最低，同時在很短的時間內(nèi)就可以恢復(fù)，使得網(wǎng)絡(luò)可以正常運行。

通過防火墻技術(shù)與入侵檢測技術(shù)的綜合應(yīng)用，防火墻技術(shù)可以發(fā)現(xiàn)一些不在安全策略之內(nèi)的攻擊行為，入侵檢測技術(shù)可以在防火墻技術(shù)功能上對外來的入侵行為進行實時阻止，這種綜合應(yīng)用的方式在很大程度上提高了計算機系統(tǒng)整體防護效果。

四、總結(jié)

電子商務(wù)交易為人們的生活帶來很大便利，但是其與計算機網(wǎng)絡(luò)安全有著密不可分的聯(lián)系，因此，提高網(wǎng)絡(luò)安全非常重要。本文主要利用了防火墻技術(shù)以及入侵檢測技術(shù)來提高網(wǎng)絡(luò)安全性，首先介紹了防火墻技術(shù)的作用與功能，接下來論述了入侵檢測技術(shù)的原理以及方法，在其基礎(chǔ)上，討論了網(wǎng)絡(luò)安全設(shè)施的有效結(jié)合，事實證明兩者之間的綜合應(yīng)用效果最佳，提高了計算機網(wǎng)絡(luò)整體防護效果。

參考文獻：

[1] 王少英，黃留鎖.入侵檢測技術(shù)在電子商務(wù)安全中的應(yīng)用[J].中州大學(xué)學(xué)報，2013，30（3）：111-115.

[2] 邢小東，侯飛，李千路.電子商務(wù)安全防范技術(shù)[J].山西大同大學(xué)學(xué)報（自然科學(xué)版），2011，27（1）：16-18.

[3] 許洸彧.電子商務(wù)安全中的防火墻技術(shù)和入侵檢測技術(shù)[J].信息網(wǎng)絡(luò)安全，2011（4）：21-23.

[4] 程亞星.電子商務(wù)交易的安全技術(shù)淺析[J].中國商論，2013（1Z）：80-81.

[5] 羅軍.電子商務(wù)網(wǎng)站的安全防范技術(shù)[J].中國新技術(shù)新產(chǎn)品，2010（16）：37.

[6] 廖革元，鄔芝權(quán).電子商務(wù)網(wǎng)站安全分析與防范對策[J].中國商貿(mào)，2012（6）：135-136.

[7] 趙子舉.淺談入侵檢測與防火墻技術(shù)[J].電子世界，2014（14）：199-200.

作者簡介：

趙亮（1983-），男，本科，江西南昌人，研究方向：電子商務(wù)。