收藏
下载资源

防火墙技术在财务管理系统中的应用

上传人:wt****50 文档编号:46525980 上传时间:2018-06-27 格式:PDF 页数:2 大小:174.75KB
返回 下载 相关 举报
防火墙技术在财务管理系统中的应用_第1页
第1页 / 共2页
防火墙技术在财务管理系统中的应用_第2页
第2页 / 共2页
亲,该文档总共2页,全部预览完了,如果喜欢就下载吧!
资源描述

《防火墙技术在财务管理系统中的应用》由会员分享,可在线阅读,更多相关《防火墙技术在财务管理系统中的应用(2页珍藏版)》请在金锄头文库上搜索。

1、 炼 油 与 化 工 R E F I N I N G A N D C H E M I C A L I N D U S T R Y 第 2 0 卷 防火墙技术在财务管理系统中的应用 杨洪 利 ( 大庆石化公司培训 中心 , 黑龙江 大庆 1 6 3 7 1 1 ) 财务管理系统作为大庆石化局域网的子网络是基于 T C P I P协议并采用了 I n t e me t 的通信标准和 We b信息流通 模式的I n t r a n e t 系统。 它具有开放性, 因而使用极其方便。 但 开放性却带来了系统入侵、 病毒入侵等安全问题。 一旦安全 问题得不到很好的解决, 就可能出现商业秘密泄漏、 设备损

2、 坏、 财务数据丢失、 财务系统瘫痪等严重后果 , 给正常的财 务管理工作造成极大的负面影响。因此企业财务管理需要 一个更安全的网络 系统I lJ 。 目前局域网络存在的安全隐患主要有黑客恶意攻击、 病毒感染等。 在这众多的安全隐患中, 黑客恶意攻击和病毒 感染的威胁最大 , 造成的破坏也最大。 所 以财务管理系统应 该 以防范黑客为主。 针对局域网中存在的众多隐患, 信息管理部门实施了 安全防御措施, 其中包括防火墙技术、 数据加密技术、 认证 技术等, 其中应用最为广泛 、 实用性最强 、 效果最好的就是 防火墙技术。文中就放火墙技术在财务管理信息系统中的 应用进行 了探讨。 1 防火墙技

3、术 1 1 防火墙的基本概念 防火墙是保护内部网络安全的一道防护墙。从理论上 讲,网络防火墙是用来防止外部网上的各类危险程序传播 到某个受保护网内,财务上主要用于保护计算机和服务器 不受攻击, 确保数据安全。 从逻辑上讲, 防火墙是分离器、 限 制器和分析器; 从物理角度看 , 各个防火墙的物理实现方式 可以有所不同, 但它通常是 1 组硬件设备( 路由器、 主机) 和 软件的多种组合; 而从本质上看防火墙是 1 种保护装置, 用 来保护网络数据、 资源和用户的声誉; 从技术上来说, 网络 防火墙是 1 种访问控制技术,在某个机构的网络和不安全 的网络之间设置障碍, 阻止对信息资源的非法访问,

4、 所以防 火墙是一道门槛 , 控制进 出 2个方向的通信, 防火墙主要 用来保护安全网络免受来 自不安全网络的入侵。如安全网 络可能是企业的内部网络 , 不安 全网络是因特网 , 当然 , 防 火墙不 只是用于某个 网络与 因特网的隔离 ,也可用于内部 网络中的部门网络之间的隔离口 I。 1 2 防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则, 监控所有通过防火墙 的数据流 , 只允许授权的数据通过 , 同 时记录有关的联接来源 、服务器提供的通信量以及试图闯 入者的任何企图, 以方便管理员的监测和跟踪, 并且防火墙 本身也必须能够免于渗透。 1 3 防火墙的功能 防火墙具有

5、4种功能。( 1 ) 能够防止非法用户进入内 部网络。 ( 2 ) 可以很方便地监视网络的安全性, 并报警。 ( 3 ) 可以作为部署 N A T ( N e t w o r k A d d r e s s T r a n s l a t i o n , 网络地址 变换) 的地点 , 利用 N A T技术, 将有限的 I P地址动态或静 态地与内部的 I P地址对应起来, 用来缓解地址空间短缺的 问题。( 4 ) 可以连接到 1 个单独的网段上, 从物理上和内部 网段隔开, 并在此部署 www 服务器和 F I P服务器, 将其 作为向外部发布内部信息的地点。 从技术角度来讲, 就是所 谓的停

6、火 区( D MZ ) 。 1 4 防火墙的分类 ( 1 ) 过滤型防火墙, 又称筛选路由器( S c r e e n i n g r o u t e r ) 或网络层防火墙( N e t w o r k l e v e l fi r e w a l 1 ) , 它工作在网络层 和传输层。 它基于单个数据包实施网络控制, 根据所收到的 数据包的源 I P地址 、 目的 I P地址、 T C P U D P源端 口号及目 标端口号、 I C MP消息类型、 数据包出入接口、 协议类型和数 据包中的各种标志等为参数,与用户预定的访问控制表进 行比较, 决定数据是否符合预先制定的安全策略, 决定数据

7、 包的转发或丢弃 , 即实施过滤。目前大庆石化公司财务管理 系统使用的就是过滤型防火墙 。 ( 2 ) 代理服务器型防火墙。代理服务器型防火墙通过 在主机上运行代理的服务程序,直接对特定的应用层进行 服务, 因此也称为应用型防火墙。 其核心是运行于防火墙主 机上的代理服务器进程, 它代替网络用户完成特定的T C P I P功能。1 个代理服务器实际上是 1 个为特定网络应用而 连接 2 个 网络的网关 。 ( 3 ) 复合型防火墙。 由于对更高安全性的要求, 通常把 数据包过滤和代理服务系统的功能和特点综合起来,构成 复合型防火墙系统。所用主机称为堡垒主机,负责代理服 务。 各种类型的防火墙都

8、有其各自的优缺点。 当前的防火墙 产品 己不再是单一的包过滤型或代理服务 器型防火墙 , 而 是将各种安全技术结合起来, 形成混合的多级防火墙, 以提 高防火墙的灵活性和安全性。混合型防火墙一般采用 7种 技术: 动态包过滤; 内核透明技术; 用户认证机制; 内容和策略感知能力; 内部信息隐藏; 智能 日志 、 审计 和实时报警; 防火墙的交互操作性。 2 财务管理系统的防火墙设计 2 1 防火墙 系统的总体设计思想 2 1 1设计防火墙系统的拓扑结构在确定防火墙系统的 拓扑结构时, 首先必须确定被保护网络的安全级别, 财务数 2 0 0 9年 第 1 期 杨洪利肪 火墙技 术在 财务管理 系

9、统 中的应用 6 3 据在企业属于非常重要的核心数据。 从整个系统的成本、 安 全保护的实现、 维护、 升级 、 改造以及重要的资源的保护等 方面进行考虑, 以决定防火墙系统的拓扑结构。 2 1 2 制定网络安全策略在实现过程中, 没有允许的服务 是被禁止的, 没有被禁止的服务都是允许的, 因此网络安全 的第 1 条策略是拒绝一切未许可的服务。防火墙封锁所有 信息流, 逐一完成每项许可的服务; 第 2条策略是允许一切 没有被禁止的服务 , 防火墙转发所有的信息, 逐项删除被禁 止 的服务 。 2 1 3 确定包过滤规则包过滤规则是以处理 I P包头信息 为基础 , 设计在包过滤规则时, 一般先

10、组织好包过滤规则, 然后再进行具体设置。 2 1 4 设计代理服务代理服务器接受外部网络节点提出 的服务请求, 如果此请求被接受 , 代理服务器再建立与实服 务器的连接。由于它作用于应用层,故可利用各种安全技 术, 如身份验证、 日志登录 、 审计跟踪 、 密码技术等, 来加强 网络安全l性, 解决包过滤所不能解决的问题。 2 1 5 严格定义功能模块。 分散实现防火墙由各种功能模 块组成 , 如包过滤器、 代理服务器 、 认证服务器、 域名服务 器、 通信监控器等。 这些功能模块最好由路由器和单独的主 机实现, 功能分散减少了实现的难度, 增加了可靠程度。 2 1 6 防火墙维护和管理方案的

11、考虑防火墙的日常维护 是对访问记录进行审计 , 发现入侵和非法访问情况。 据此对 防火墙的安全性进行评价, 需要时进行适当改进 , 管理工作 要根据网络拓扑结构的改变或安全策略 的变化 ,对 防火墙 进行硬件和软件的修改和升级。通过维护和管理进一步优 化其性能, 以保证网络极其信息的安全性。 3 数据包防火墙设计 数 据 包 过 滤 防 火 墙 工 作 于 D O D ( D e p a r t me n t o f D e n s e ) 模型的网络层 , 其技术核心是对是流经防火墙每个 数据包进行审查,分析其包头中所包含的源地址、目的地 址、封装协议 ( T C P , U D P 、 I

12、 C M P ,I P T u n n e l 等) 、 T C P U D P 源端 口号和目的端口号 、 输人输出接口等信息, 确定其是否 与系统预先设定的安全策略相匹配,以决定允许或拒绝该 数据包的通过。 从而起到保护内部网络的作用, 这一过程就 称为数据包过滤。 3 1 与服 务有关的安全检查规则 这 类安全检查 是根据特 定服务 的需要 来决定是 否允 许相关 的数据包被传输 。这类 服务包括 www,F F P , T e l n e t , S M T P等。 现以 www包过滤为例, 来分析这类数据 包过滤 的实现 。 WWW 数据包采用 T C P或 U D P协 议 , 其

13、端 口为 8 0 , 设 置安全规则为允许内部网络用户对 I n t e r n e t 的 www 访 问,而限制 I n t e r n e t 用户仅能访问内部网部的 www 服务 器 , ( 假定其 I P地址为 l 0 1 1 4 9 6 8 ) 。 要实现上述 www安全规则, 设置 www数据包过滤 为, 在防火 e t h 0端仅允许目的地址为内部网络 www服务 器地址数据包通过 , 而在防火墙 e t h 1 端允许所有来 自内部 网络 www数据包通过, 其应用序列为: # De fi n e HT r P p a c k e t s ; # 允许 I n t e me

14、t 客户的Www包访问 www 服务器; s b i n i p c h a i n s- A i n p u t p t c p s 0 0 0 0 0 1 0 2 4 :一 d 1 0 1 1 4 9 6 8 3 2 w w w- i e t h 0 - j A C C E P T ; s b i n i p c h a i n s A i n p u t P t c p S 0 0 0 O fl 1 0 2 4 : - d 1 1 0 1 1 4 9 6 8 3 2 w w w i e t h 0 - j AC C E P T ; #允许 www 服 务器 回应 I n t e r n

15、e t 客户的 wwW 访问 请求; s bi n i p c h a i n s- A i n p ut -pt c p -s l O 1 1 4 9 68 32 www: - d 0 0 0 0 0 1 0 2 4 : 一 i e t h l - j A C C E PT ; s bi n i pc h a i n s A i np utp ud p S 1 0 1 1 49 68 32 www: 一 d 0 0 0 0 0 1 0 2 4 : - i e t h l - j A C C E PT 。 显然, 设置此类数据过滤的关键是限制与服务相应的 目地地址和服务端 口。与此相似 ,可以建立起与 F T P , T e l n e t , S M T P等服务有关的数据包检查规则。 3 2 与服务无关的安全检查规 则 这类安全规则是通过对路由表 、数据包的特定 I P选 项和特定段等内容的检查来实现的, 主要包括 3项内容。 ( 1 )数据包完整性检查:安全规则为拒绝不完整数据 包进入 I p c h a i n s 本身并不具备碎片过滤功能,实现完整性 检查的方法是利用 R E D H A T ,在编译其 内核时设定 I P; a l w a y s d e f r a y m e n t s s e t t o

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号