淺談防火墻在大慶石化財務管理信息系統中的應用

［摘要］ 財務管理信息系統網絡是企業重要的管理信息系統，其安全性至關重要。但由于網絡的開放性，網絡經常會受到計算機病毒、黑客的侵襲，造成計算機和服務器數據和文件丟失，系統癱瘓。因此，財務管理信息系統網絡系統必須采取必要的安全防范措施。本文主要探討防火墻在財務管理信息系統中的應用。

［關鍵詞］ 財務管理信息系統； 網絡； 網絡安全； 防火墻技術； 數據包

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 049

［中圖分類號］TP393.08 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）18- 0075- 02

１前言

財務管理信息系統作為大慶石化局域網的子網絡，是基于ＴＣＰ／ＩＰ協議、采用Ｉｎｔｅｒｎｅｔ通信標準和Ｗｅｂ信息流通模式的Ｉｎｔｒａｎｅｔ，它具有開放性，因而使用極其方便。但開放性也帶來了黑客攻擊、病毒入侵等安全性問題。如果安全問題得不到很好地解決，就可能出現商業秘密泄露、設備損壞、財務數據丟失、財務系統癱瘓等嚴重后果，對正常的財務管理活動造成極大的負面影響。因此企業財務管理需要一個更安全的網絡系統。

目前局域網絡存在的安全隱患很多，其中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以財務管理信息系統應該以防范黑客和為主。

針對局域網中存在的安全隱患，信息管理部門采取了安全防御措施，包括防火墻技術、數據加密技術、認證技術等，其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就防火墻技術在財務管理信息系統中的應用進行探討。

２防火墻技術概述

２．１防火墻的基本概念

防火墻是保護內部網絡安全的一道防護墻。從理論上講，網絡防火墻是用來防止外部網上的各類危險傳播到某個受保護網內，財務上主要用于保護計算機和服務器不受攻擊，確保數據安全。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現方式可以有所不同，但它通常是一組硬件設備（路由器、主機）和軟件的多種組合；而從本質上來說，防火墻是一種保護裝置，用來保護網絡數據、資源和用戶的聲譽；從技術上來說，網絡防火墻是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進／出兩個方向的通信，防火墻主要用來保護安全網絡免受來自不安全網絡的入侵，如安全網絡可能是企業的內部網絡，不安全網絡是互聯網。當然，防火墻不只是用于某個網絡與互聯網的隔離，也可用于內部網絡中部門網絡之間的隔離。

２．２防火墻的工作原理

防火墻的工作原理是按照事先制定的配置和規則，監控所有通過防火墻的數據流，只允許授權的數據通過，同時記錄有關的聯接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監測和跟蹤。防火墻本身必須能夠防止滲透。

２．３防火墻的功能

一般來說，防火墻具有以下幾種功能：

（１） 能夠防止非法用戶進入內部網絡。

（２） 可以很方便地監視網絡的安全性，并報警。

（３） 可以作為部署 ＮＡＴ（Ｎｅｔｗｏｒｋ Ａｄｄｒｅｓｓ Ｔｒａｎｓｌａｔｉｏｎ，網絡地址變換）的地點，利用 ＮＡＴ 技術，將有限的 ＩＰ 地址動態或靜態地與內部的 ＩＰ 地址對應起來，用來緩解地址空間短缺的問題。 （４） 可以連接到一個單獨的網段上，從物理上與內部網段隔開，并在此部署 ＷＷＷ服務器和 ＦＴＰ 服務器，將其作為向外部發布內部信息的地點。從技術角度來講，就是所謂的停火區（ＤＭＺ）。

２．４防火墻的分類

（１） 包過濾型防火墻，又稱篩選路由器（Ｓｃｒｅｅｎｉｎｇ Rｏｕｔｅｒ）或網絡層防火墻（Ｎｅｔｗｏｒｋ Lｅｖｅｌ Fｉｒｅｗａｌｌ），它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制，根據所收到的數據包的源ＩＰ地址、目的ＩＰ地址、ＴＣＰ／ＵＤＰ源端口號及目標端口號、ＩＣＭＰ消息類型、包出入接口、協議類型和數據包中的各種標志等參數，與用戶預定的訪問控制表進行比較，決定數據是否符合預先制定的安全策略，決定數據包的轉發或丟棄，即實施過濾。目前在財務管理系統中使用的主要就是過濾型防火墻。

（２） 代理服務器型防火墻。代理服務器型防火墻通過在主機上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程，它代替網絡用戶完成特定的ＴＣＰ／ＩＰ功能。一個代理服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。

（３） 復合型防火墻。由于對更高安全性的要求，通常把數據包過濾和代理服務系統的功能和特點綜合起來，構成復合型防火墻系統。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品已不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術：①動態包過濾；②內核透明技術；③用戶認證機制；④內容和策略感知能力：⑤內部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

３財務管理信息系統的防火墻設計

３．１防火墻的系統總體設計思想

（１） 設計防火墻系統的拓撲結構。在確定防火墻系統的拓撲結構時，首先必須確定被保護網絡的安全級別，財務數據在企業屬于非常重要的核心數據。從整個系統的成本，安全保護的實現、維護、升級、改造以及重要資源的保護等方面進行考慮，以決定防火墻系統的拓撲結構。

（２） 制定網絡安全策略。在實現過程中，未經允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網絡安全的第一條策略是拒絕一切未經許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發所有的信息，逐項刪除被禁止的服務。

（３） 確定包過濾規則。包過濾規則是以處理ＩＰ包頭信息為基礎，在設計包過濾規則時，一般先組織好包過濾規則，然后再進行具體設置。

（４） 設計代理服務。代理服務器接受外部網絡節點提出的服務請求，如果此請求被接受，代理服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網絡安全性，解決包過濾所不能解決的問題。

（５） 嚴格定義功能模塊，分散實現。防火墻由各種功能模塊組成，如包過濾器、代理服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現，功能分散減少了實現的難度，增加了可靠程度。

（６） 防火墻維護和管理方案的考慮。防火墻的日常維護是對訪問記錄進行審計，發現入侵和非法訪問情況。據此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據網絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能，以保證網絡及其信息的安全性。

３．２實例：數據包防火墻設計

數據包過濾防火墻工作于ＤＯＤ （ Ｄｅｐａｒｔｍｅｎｔ ｏｆ Ｄｅｆｅｎｓｅ）模型的網絡層，其技術核心是對是流經防火墻每個數據包進行審查，分析其包頭中所包含的源地址、目的地址、封裝協議（ＴＣＰ， ＵＤＰ、ＩＣＭＰ， ＩＰ Ｔｕｎｎｅｌ等）、ＴＣＰ／ＵＤＰ源端口號和目的端口號、輸入輸出接口等信息，確定其是否與系統預先設定的安全策略相匹配，以決定允許或拒絕該數據包的通過，從而起到保護內部網絡的作用，這一過程就稱為數據包過濾。

內部網絡使用的網段為１０．１１４．*．*，ｅｔｈ ０為防火墻與Ｉｎｔｅｒｎｅｔ接口的網卡，ｅｔｈ １為防火墻與內部網絡接口的網卡。

數據包過濾規則的設計如下：

３．２．１與服務有關的安全檢查規則

這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸，這類服務包括ＷＷＷ， ＦＴＰ， Ｔｅｌｎｅｔ， ＳＭＴＰ等。本文以ＷＷＷ包過濾為例，來分析這類數據包過濾的實現。

ＷＷＷ數據包采用ＴＣＰ或ＵＤＰ協議，其端口為８０，設置安全規則為允許內部網絡用戶對Ｉｎｔｅｒｎｅｔ的ＷＷＷ訪問，而限制Ｉｎｔｅｒｎｅｔ用戶僅能訪問內部網部的ＷＷＷ服務器（假定其ＩＰ地址為１０．１１４．９．６８）。

要實現上述ＷＷＷ安全規則，設置ＷＷＷ數據包過濾規則為：在防火墻ｅｔｈ ０端僅允許目的地址為內部網絡ＷＷＷ服務器地址數據包通過，而在防火墻ｅｔｈ １端允許所有來自內部網絡ＷＷＷ數據包通過。

＃Ｄｅｆｉｎｅ ＨＴＴＰ ｐａｃｋｅｔｓ

＃允許Ｉｎｔｅｒｎｅｔ客戶的ＷＷＷ包訪問ＷＷＷ服務器

／ｓｂｉｎ／ｉｐｃｈａｉｎｓ－Ａ ｉｎｐｕｔ －ｐ ｔｃｐ －ｓ ０．０．０．０／０ １０２４： －ｄ １０．１１４．９．６８／３２ ｗｗｗ －ｉ ｅｔｈ０－ｊ ＡＣＣＥＰＴ

／ｓｂｉｎ／ｉｐｃｈａｉｎｓ－Ａ ｉｎｐｕｔ －ｐ ｔｃｐ －ｓ ０．０．０．０／ｆｌ １０２４：－ｄ １１０．１１４．９．６８／３２ ｗｗｗ －ｉ ｅｔｈ０－ｊ ＡＣＣＥＰＴ

＃允許ＷＷＷ服務器回應Ｉｎｔｅｒｎｅｔ客戶的ＷＷＷ訪問請求

／ｓｂｉｎ／ｉｐｃｈａｉｎｓ－Ａ ｉｎｐｕｔ－ｐｔｃｐ －ｓ１０．１１４．９．６８／３２ｗｗｗ：－ｄ ０．０．０．０／０ １０２４：－ｉ ｅｔｈｌ－ｊ ＡＣＣＥＰＴ

／ｓｂｉｎ／ｉｐｃｈａｉｎｓ－Ａ ｉｎｐｕｔ －ｐ ｕｄｐ －ｓ １０．１１４．９．６８ ／３２ｗｗｗ：－ｄ ０．０．０．０／０ １０２４：－ｉ ｅｔｈ１－ｊ ＡＣＣＥＰＴ

顯然，設置此類數據過濾的關鍵是限制與服務相應的目的地址和服務端口。

與此相似，可以建立與ＦＴＰ， Ｔｅｌｎｅｔ， ＳＭＴＰ等服務有關的數據包檢查規則。

３．２．２與服務無關的安全檢查規則

這類安全規則是通過對路由表、數據包的特定ＩＰ選項和特定段等內容的檢查來實現的。

（１） 數據包完整性檢查。安全規則為拒絕不完整數據包進入。Ｉｐｃｈａｉｎｓ本身并不具備碎片過濾功能，實現完整性檢查的方法是利用ＲＥＤＨＡＴ，在編譯其內核時設定ＩＰ： ａｌｗａｙｓ ｄｅｆｒａｙｍｅｎｔｓ ｓｅｔ ｔｏ‘ｙ’。 ＲＥＤＨＡＴ檢查進入的數據包的完整性，合并片段而拋棄碎片。

（２） 源地址ＩＰ欺騙。安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機，企圖滲透到內部網絡中。要實現這一安全規則，設置拒絕數據包過濾規則為：在防火墻ｅｔｈ ０端拒絕IＰ源地址為內部網絡地址的數據包通過。

（３） 源路由欺騙。安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息，實現的方法也是借助ＲＥＤＨＡＴ的路由功能，拒絕來自外部的包含源路由選項的數據包。

總之，防火墻優點眾多，但也并非萬無一失。所以，安全管理人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到理想的效果。

主要參考文獻

［１］張 曄，劉玉莎． 防火墻技術的研究與探討［Ｊ］ ． 計算機系統應用， １９９９（１１）．

［２］ 王麗艷． 淺談防火墻技術與防火墻系統設計［Ｊ］． 遼寧工學院學報， ２００１（１）．

［３］郭偉． 數據包過濾技術與防火墻的設計［Ｊ］． 江漢大學學報，２００１（３）．