防火牆在電子商務中應用的實例

A. 防火牆在電子商務安全中有什麼作用

電子商務面臨的威脅的出現導致了對電子商務安全的需求，也是真正實現一個安全電子商務系統所要求做到的各個方面，主要包括機密性、完整性、認證性和不可抵賴性。1.機密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的（尤其Internet是更為開放的網路），維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術來對傳輸的信息進行加密處理來實現。2.完整性。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。完整性一般可通過提取信息消息摘要的方式來獲得。3.認證性。由於網路電子商務交易系統的特殊性，企業或個人的交易通常都是在虛擬的網路環境中進行，所以對個人或企業實體進行身份性確認成了電子商務中得很重要的一環。對人或實體的身份進行鑒別，為身份的真實性提供保證，即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗證其聲明的正確性，一般都通過證書機構CA和證書來實現。4.不可抵賴性。電子商務可能直接關繫到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴，確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。不可抵賴性可通過對發送的消息進行數字簽名來獲取。5.有效性。電子商務以電子形式取代了紙張，那麼如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此，要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。電子商務安全中的主要技術電子商務安全是信息安全的上層應用，它包括的技術范圍比較廣，主要分為網路安全技術和密碼技術兩大類，其中密碼技術可分為加密、數字簽名和認證技術等。1.網路安全技術網路安全是電子商務安全的基礎，一個完整的電子商務系統應建立在安全的網路基礎設施之上。網路安全所涉及到的方面比較，如操作系統安全、防火牆技術、虛擬專用網VPN技術和各種反黑客技術和漏洞檢測技術等。其中最重要的就是防火牆技術。防火牆是建立在通信技術和信息安全技術之上，它用於在網路之間建立一個安全屏障，根據指定的策略對網路數據進行過濾、分析和審計，並對各種攻擊提供有效的防範。主要用於Internet接入和專用網與公用網之間的安全連接。VPN也使一項保證網路安全的技術之一，它是指在公共網路中建立一個專用網路，數據通過建立好的虛擬安全通道在公共網路中傳播。企業只需要租用本地的數據專線，連接上本地的公眾信息網，其各地的分支機構就可以互相之間安全傳遞信息；同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全面控制等好處，是目前和今後企業網路發展的趨勢。2.加密技術加密技術是保證電子商務安全的重要手段，許多密碼演算法現已成為網路安全和商務信息安全的基礎。密碼演算法利用密秘密鑰（secretkeys）來對敏感信息進行加密，然後把加密好的數據和密鑰（要通過安全方式）發送給接收者，接收者可利用同樣的演算法和傳遞來的密鑰對數據進行解密，從而獲取敏感信息並保證了網路數據的機密性。利用另外一種稱為數字簽名（digitalsignature）的密碼技術可同時保證網路數據的完整性和真實性。利用密碼技術可以達到對電子商務安全的需求，保證商務交易的機密性、完整性、真實性和不可否認性等。密碼技術雖然在第二次世界大戰期間才開始流行，在當前才廣泛應用於網路安全和電子商務安全之中，但其起源可追溯到幾千年前，其思想目前還在使用，只是在處理過程中增加了數學上的復雜性。加密技術包括私鑰加密和公鑰加密。私鑰加密，又稱對稱密鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據，目前常用的私鑰加密演算法包括DES和IDEA等。對稱加密技術的最大優勢是加/解密速度快，適合於對大數據量進行加密，但密鑰管理困難。公鑰密鑰加密，又稱不對稱密鑰加密系統，它需要使用一對密鑰來分別完整家密和解密操作，一個公開發布，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密。通過數學的手段保證加密過程是一個不可逆過程，即用公鑰加密的信息只能是用與該公鑰配對的私有密鑰才能解密。常用的演算法是RSA、ElGamal等。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢的多為了充分利用公鑰密碼和對稱密碼演算法的優點，克服其缺點，解決每次傳送更換密鑰的問題，提出混合密碼系統，即所謂的電子信封（envelope）技術。發送者自動生成對稱密鑰，用對稱密鑰加密鑰發送的信息，將生成的密文連同用接收方的公鑰加密後的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰，並用它來解密密文。這樣保證每次傳送都可由發送方選定不同密鑰進行，更好的保證了數據通信的安全性。使用混合密碼系統可同時提供機密性保障和存取控制。利用對稱加密演算法加密大量輸入數據可提供機密性保障，然後利用公鑰加密對稱密鑰。如果想使多個接收者都能使用該信息，可以對每一個接收者利用其公鑰加密一份對稱密鑰即可，從而提供存取控制功能。3.數字簽名數字簽名中很常用的就是散列（HASH）函數，也稱消息摘要(MessageDigest)、哈希函數或雜湊函數等，其輸入為一可變長輸入，返回一固定長度串，該串被稱為輸入的散列值(消息摘要)日常生活中，通常通過對某一文檔進行簽名來保證文檔的真實有效性，可以對簽字方進行約束，防止其抵賴行為，並把文檔與簽名同時發送以作為日後查證的依據。在網路環境中，可以用電子數字簽名作為模擬，從而為電子商務提供不可否認服務。數字簽名相對於手寫簽名在安全性方面具有如下好處：數字簽名不僅與簽名者的私有密鑰有關，而且與報文的內容有關，因此不能將簽名者對一份報文的簽名復制到另一份報文上，同時也能防止篡改報文的內容。4.認證機構和數字證書

B. 電子商務交易安全的案例

案例一：
淘寶「錯價門」引發爭議
互聯網上從來不乏標價1元的商品。近日，淘寶網上大量商品標價1元，引發網民爭先恐後哄搶，但是之後許多訂單被淘寶網取消。隨後，淘寶網發布公告稱，此次事件為第三方軟體「團購寶」交易異常所致。部分網民和商戶詢問「團購寶」客服得到自動回復稱：「伺服器可能被攻擊，已聯系技術緊急處理。」這起「錯價門」事件發生至今已有兩周，導致「錯價門」的真實原因依然是個謎，但與此同時，這一事件暴露出來的我國電子商務安全問題不容小覷。在此次「錯價門」事件中，消費者與商家完成交易，成功付款下了訂單，買賣雙方之間形成了合同關系。作為第三方交易平台的淘寶網關閉交易，這種行為本身是否合法？蔣蘇華認為，按照我國現行法律法規，淘寶網的行為涉嫌侵犯了消費者的自由交易權，損害了消費者的合法權益，應賠禮道歉並賠償消費者的相應損失。
總結：目前，我國電子商務領域安全問題日益凸顯，比如，支付寶或者網銀被盜現象頻頻發生，給用戶造成越來越多的損失，這些現象對網路交易和電子商務提出了警示。然而，監管不力導致消費者權益難以保護。公安機關和電信管理機關、電子商務管理機關應當高度重視電子商務暴露的安全問題，嚴格執法、積極介入，徹查一些嚴重影響互聯網電子商務安全的惡性事件，切實保護消費者權益，維護我國電子商務健康有序的發展。

C. 《論防火牆對電子商務的保障作用》

據最新統計，目前我國95％的與網際網路相聯的網路管理中心都遭到過黑客的攻擊或侵入，受害涉及的覆蓋面越來越大、程度越來越深。據國際互聯網保安公司symantec2002年的報告指出，中國已經成為全球黑客的第三大來源地，竟然有6．9％的攻擊國際互聯網活動都是由中國發出的。另從國家計算機病毒應急處理中心日常監測結果來看，計算機病毒呈現出異常活躍的態勢。在2001年，我國有73％的計算機曾感染病毒，到了2002年上升到近84％，2003年上半年又增加到85％。而微軟的官方統計數據稱2002年因網路安全問題給全球經濟直接造成了130億美元的損失。

2003年8月，沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴涌而出，8天內導致全球電腦用戶損失高達20億美元之多，無論是企業系統或家庭電腦用戶無一倖免。

據賽門鐵克互聯網安全威脅報告書顯示，在2003年上半年，有超過994種新的Win32病毒和蠕蟲被發現，這比2002年同時期的445種多出一倍有餘。而目前Win32病毒的總數大約是4千個。在2001年的同期，只有308種新Win32病毒被發現。

芬蘭赫爾辛基理工大學的教授漢努·卡里認為，如果病毒和垃圾郵件迅猛增加等不利情況得不到有效遏制，那麼不能排除網際網路因不堪重負而最短在兩年內崩潰的可能性。

眾所周知，安全才是網路的生存之本。沒有安全保障的信息資產，就無法實現自身的價值。作為信息的載體，網路亦然。網路安全的危害性顯而易見，而造成網路安全問題的原因各不相同。

二、下面我們通過幾個安全案例進一步認識電子商務安全問題的重要性

1．國外案例

96年8月17日，美國司法部的網路伺服器遭到黑客入侵，並將「美國司法部」的主頁改為「美國不公正部」，將司法部部長的照片換成了阿道夫．希特勒，將司法部徽章換成了納粹黨徽，並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
96年9月18日，黑客又光顧美國中央情報局的網路伺服器，將其主頁由「中央情報局」改為「中央愚蠢局」。
96年12月29日，黑客侵入美國空軍的全球網網址並將其主頁肆意改動，其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
2000年2月7日－9日，Yahoo， ebay， Amazon 等著名網站被黑客攻擊，直接和間接損失10億美元。
2004年10月19日，一個電腦黑客非法侵入了位於美國舊金山的伯克利加州大學的計算機系統，訪問了約140萬人的個人資料和社會保障號碼。
2．國內案例：

2004年10月17日18時，著名殺毒軟體廠商江民公司的網站(http://www．jiangmin．com/)主頁被黑。首頁上只有署名為河馬史詩的人所寫的一句話)。

D. 防火牆是什麼在網路環境中的應用

防火牆（英語：Firewall）在計算機科學領域中是一個架設在互聯網與企業內網之間的信息安全系統，根據企業預定的策略來監控往來的傳輸。

防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備，從專業角度來說，防火牆是位於兩個(或多個)網路間，實行網路間訪問或控制的一組組件集合之硬體或軟體。

功能

防火牆最基本的功能就是隔離網路，透過將網路劃分成不同的區域（通常情況下稱為ZONE），制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。

它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是:根據最小特權原則，在不同水平的信任區域，透過連通安全政策的運行，提供受控制的連通性。

例如：TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。

如果電腦有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，使得任何人都有機會瀏覽目錄內的文件。

且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這里是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。

防火牆的本義，是指古代構築和使用木製結構房屋時，為防止火災發生及蔓延，人們將堅固石塊堆砌在房屋周圍做為屏障，這種防護結構建築就被稱為防火牆。

現代網路時代引用此喻意，指隔離本地網路與外界網路或是區域網間與互聯網或互聯網的一道防禦系統，藉由控制過濾限制消息來保護內部網資料的安全。

(4)防火牆在電子商務中應用的實例擴展閱讀：

防火牆的重要性

1、記錄計算機網路之中的數據信息

數據信息對於計算機網路建設工作有著積極的促進作用，同時其對於計算機網路安全也有著一定程度上的影響。

通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，藉此找出其中存在安全隱患的數據信息，採取針對性的措施進行解決，有效防止這些數據信息影響到計算機網路的安全。

除此之外，工作人員在對防火牆之中記錄的數據信息進行總結之後，能夠明確不同類型的異常數據信息的特點，藉此能夠有效提高計算機網路風險防控工作的效率和質量。

2、防止工作人員訪問存在安全隱患的網站

計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控，一旦發現工作人員即將進入存在安全隱患的網站，防火牆就會立刻發出警報，藉此有效防止工作人員誤入存在安全隱患的網站，有效提高訪問工作的安全性。

3、控制不安全服務

計算機網路在運行的過程當中會出現許多不安全服務，這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險，其能夠將不安全服務有效攔截下來，有效防止非法攻擊對計算機網路安全造成影響。

此外，通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控，藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行，有效防止因為計算機網路問題給用戶帶來經濟損失。

缺點

正常狀況下，所有互聯網的數據包軟體都應經過防火牆的過濾，這將造成網路交通的瓶頸。例如在攻擊性數據包出現時，攻擊者會不時寄出數據包，讓防火牆疲於過濾數據包，而使一些合法數據包軟體亦無法正常進出防火牆。

E. 求論文一篇：計算機網路在電子商務中的應用

計算機網路在電子商務中的應用

摘要：隨著計算機網路技術的飛進發展，電子商務正得到越來越廣泛的應用。由於電子商務中的交易行為大多數都是在網上完成的， 因此電子商務的安全性是影響躉易雙方成敗的一個關鍵因素。本文從電子商務系統對計算機網路安全，商務交易安全性出發，介紹利用網路安全枝術解決安全問題的方法。
關鍵詞：計算機網路，電子商務安全技術

一． 引言
近幾年來．電子商務的發展十分迅速 電子商務可以降低成本．增加貿易機會，簡化貿易流通過程，提高生產力，改善物流和金流、商品流．信息流的環境與系統 雖然電子商務發展勢頭很強，但其貿易額所佔整個貿易額的比例仍然很低。影響其發展的首要因素是安全問題．網上的交易是一種非面對面交易，因此「交易安全「在電子商務的發展中十分重要。可以說．沒有安全就沒有電子商務。電子商務的安全從整體上可分為兩大部分．計算機網路安全和商務交易安全。計算機網路安全包括計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題，實施網路安全增強方案．以保證計算機網路自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Interne'(上應用時產生的各種安全問題．在計算機網路安全的基礎上．如何保障電子商務過程的順利進行。即實現電子商務的保密性．完整性．可鑒別性．不可偽造性和不可依賴性。

二、電子商務網路的安全隱患
1竊取信息：由於未採用加密措施．數據信息在網路上以明文形式傳送．入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容．造成網上傳輸信息泄密
2．篡改信息：當入侵者掌握了信息的格式和規律後．通過各種技術手段和方法．將網路上傳送的信息數據在中途修改 然後再發向目的地。這種方法並不新鮮．在路由器或者網關上都可以做此類工作。
3假冒由於掌握了數據的格式，並可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。
4惡意破壞：由於攻擊者可以接入網路．則可能對網路中的信息進行修改．掌握網上的機要信息．甚至可以潛入網路內部．其後果是非常嚴重的。

三、電子商務交易中應用的網路安全技術
為了提高電子商務的安全性．可以採用多種網路安全技術和協議．這些技術和協議各自有一定的使用范圍，可以給電子商務交易活動提供不同程度的安全保障。
1．防火牆技術。防火牆是目前主要的網路安全設備。防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務 由於它假設了網路的邊界和服務，對內部的非法訪問難以有效地控制。因此．最適合於相對獨立的與外部網路互連途徑有限、網路服務種類相對集中的單一網路(如常見的企業專用網) 防火牆的隔離技術決定了它在電子商務安全交易中的重要作用。目前．防火牆產品主要分為兩大類基於代理服務方式的和基於狀態檢測方式的。例如Check Poim Fi rewalI-1 4 0是基於Unix、WinNT平台上的軟體防火牆．屬狀態檢測型 Cisco PIX是硬體防火牆．也屬狀態檢測型。由於它採用了專用的操作系統．因此減少了黑客利用操作系統G)H攻擊的可能性：Raptor完全是基於代理技術的軟體防火牆 由於互聯網的開放性和復雜性．防火牆也有其固有的缺點(1)防火牆不能防範不經由防火牆的攻擊。例如．如果允許從受保護網內部不受限制地向外撥號．一些用戶可以形成與Interne'(的直接連接．從而繞過防火牆：造成一個潛在的後門攻擊渠道，所以應該保證內部網與外部網之間通道的唯一性。(2)防火牆不能防止感染了病毒的軟體或文件的傳輸．這只能在每台主機上裝反病毒的實時監控軟體。(3)防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Interne'(主機上並被執行而發起攻擊時．就會發生數據驅動攻擊．所以對於來歷不明的數據要先進行殺毒或者程序編碼辨證，以防止帶有後門程序。
2．數據加密技術。防火牆技術是一種被動的防衛技術．它難以對電子商務活動中不安全的因素進行有效的防衛。因此．要保障電子商務的交易安全．就應當用當代密碼技術來助陣。加密技術是電子商務中採取的主要安全措施， 貿易方可根據需要在信息交換的階段使用。目前．加密技術分為兩類．即對稱加密／對稱密鑰加密／專用密鑰加密和非對稱加密／公開密鑰加密。現在許多機構運用PKI(punickey nfrastructur)的縮寫．即 公開密鑰體系」)技術實施構建完整的加密／簽名體系．更有效地解決上述難題．在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。在PKI中．密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開．而另一把則作為專用密鑰{解密密鑰)加以保存。公開密鑰用於對機密�6�11生息的加密．專用密鑰則用於對加信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握．公開密鑰可廣泛發布．但它只對應用於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是 貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開：得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲 貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。
3．身份認證技術。身份認證又稱為鑒別或確認，它通過驗證被認證對象的一個或多個參數的真實性與有效性 來證實被認證對象是否符合或是否有效的一種過程，用來確保數據的真實性。防止攻擊者假冒 篡改等。一般來說。用人的生理特徵參數f如指紋識別、虹膜識別)進行認證的安全性很高。但目前這種技術存在實現困難、成本很高的缺點。目前，計算機通信中採用的參數有口令、標識符 密鑰、隨機數等。而且一般使用基於證書的公鑰密碼體制(PK I)身份認證技術。要實現基於公鑰密碼演算法的身份認證需求。就必須建立一種信任及信任驗證機制。即每個網路上的實體必須有一個可以被驗證的數字標識 這就是 數字證書(Certifi2cate)」。數字證書是各實體在網上信息交流及商務交易活動中的身份證明。具有唯一性。證書基於公鑰密碼體制．它將用戶的公開密鑰同用戶本身的屬性(例如姓名，單位等)聯系在一起。這就意味著應有一個網上各方都信任的機構 專門負責對各個實體的身份進行審核，並簽發和管理數字證書，這個機構就是證書中心(certificate authorities．簡稱CA}。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數字簽名，產生用戶的數字證書。在基於證書的安全通信中．證書是證明用戶合法身份和提供用戶合法公鑰的憑證．是建立保密通信的基礎。因此，作為網路可信機構的證書管理設施 CA主要職能就是管理和維護它所簽發的證書 提供各種證書服務，包括：證書的簽發、更新 回收、歸檔等。
4．數字簽名技術。數字簽名也稱電子簽名 在信息安全包括身份認證，數據完整性、不可否認性以及匿名性等方面有重要應用。數字簽名是非對稱加密和數字摘要技術的聯合應用。其主要方式為：報文發送方從報文文本中生成一個1 28b it的散列值(或報文摘要)，並用自己的專用密鑰對這個散列值進行加密 形成發送方的數字簽名：然後 這個數字簽名將作為報文的附件和報文一起發送給報文的接收方 報文接收方首先從接收到的原始報文中計算出1 28bit位的散列值(或報文摘要)．接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密 如果兩個散列值相同 那麼接收方就能確認該數字簽名是發送方的．通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
四、結束語
電子商務安全對計算機網路安全與商務安全提出了雙重要求．其復雜程度比大多數計算機網路都高。在電子商務的建設過程中涉及到許多安全技術問題 制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展，同時也促進安全的電子商務體系的形成。當然，任何一個安全技術都不會提供永遠和絕對的安全，因為網路在變化．應用在變化，入侵和破壞的手段也在變化，只有技術的不斷進步才是真正的安全保障。

參考文獻：
[1]肖滿梅 羅蘭娥：電子商務及其安全技術問題．湖南科技學院學報，2006，27
[2]豐洪才 管華 陳珂：電子商務的關鍵技術及其安全性分析．武漢工業學院學報 2004，2
[3]閻慧 王偉：寧宇鵬等編著．防火牆原理與技術[M]北京：機械工業出版杜 2004

F. 防火牆在企業網中的應用

在IT安全領域，防火牆是一個重要的角色，通常被部署在企業網路和外部互聯網中間，來保護企業網中的計算機、應用程序和其它資源免遭外部攻擊。然而由於很多人對防火牆接觸的很少，加上防火牆種類繁多，常常讓一些新手朋友在選擇購買防火牆的時候感到困惑，本文筆者將和大家一起簡單了解一下在購買防火牆需要明確的一些概念，以及不同類型防火牆的主要優點和缺點。
一、防火牆概念及選購要素

盡管防火牆有很多種分類，我們還是可以給它下一個廣泛的定義：一系列相關的安全程序被安裝在一個網路入口伺服器(或專用設備)上，兩者共同築起一道安全「牆」，共同保護內網資源免遭外網人員攻擊。

盡管所有防火牆都運行軟體，防火牆市場本身還是被人們劃分為兩大陣營：硬體防火牆和軟體防火牆。硬體防火牆是專門的安全設備，上面預裝著安全軟體，其操作系統一般是專用操作系統。另一方面，軟體防火牆通常可以被安裝在任何可用的伺服器上，伺服器的操作系統一般是通用的網路操作系統，諸如Windows或Linux等。

企業在選擇防火牆產品的時候，沒有一套完全正確的規則可參考，因為每個企業的實際網路環境不一樣，而且每個企業對防火牆功能要求也不同，因此企業通常要立足於需要和自己公司的實際情況來選擇合適的防火牆。不過在選購防火牆的時候，還是有一些要考慮的共同問題，如以下問題。

·防火牆的體系架構(硬體還是軟體);

·防火牆要求的並發會話(session)數量是多少，並發會話數是防火牆能夠同時處理的點對點會話連接的最大數目，它反映防火牆對多個連接的訪問控制能力和連接狀態跟蹤能力。這個參數的大小可以直接影響到防火牆所能支持的最大信息點數;

·外部訪問的類型和范圍要求;

·需要的VPN(虛擬專用網)協議的數量和類型;要求保護的並發VPN的數量;

·喜歡的管理用戶界面(命令行、圖形或基於網頁)，以及是否需要高可用性功能。

防火牆的價格相差很大，用戶保護家庭或小企業網路的簡單防火牆價格比較低，而用於專門保護企業資源的行業級別的硬體防火牆價格則非常高。

沒有兩個企業的網路是完全相同的，因此廠商提供了許多不同類型的防火牆實現(包括基於硬體和軟體的)，來滿足特定客戶需要。最基本的實現可以被劃分為包過濾、電路層和應用層三類。

二、包過濾防火牆
單純的包過濾防火牆除了過濾數據包之外什麼操作也不做。包過濾防火牆根據預先定義好的規則來決定接受或拒絕IP數據包。通過包過濾，該防火牆仔細的檢查每一個數據包的協議和地址信息;數據包的內容不檢查。

包過濾防火牆檢查每一個傳入包，查看包中可用的基本信息(源地址和目的地址、埠號、協議等)。然後，將這些信息與設立的規則相比較。舉個例子來說，如果你設定了規則阻擋外網用戶對內網計算機或設備使用telnet，而包的目的埠是23的話，那麼該包就會被丟棄。

圖1、包過濾防火牆

多個復雜規則的組合也是可行的。如果允許Web連接，但只針對特定的伺服器，目的埠和目的地址二者必須與規則相匹配，才可以讓該包通過。

主要優勢：

包過濾防火牆相對比較簡單，成本較低，部署簡單快速。

現在單純的硬體包過濾防火牆已經比較少，不過多數防火牆中都具有包過濾功能。而一般家用和小企業用的軟體防火牆多數屬於此類防火牆，Windows早期內置的防火牆就屬於包過濾防火牆。另外，對於使用Linux操作系統的朋友來說，也可以配置其自帶防火牆實現包過濾功能。

三、鏈路級防火牆
這類防火牆不是簡單的接受或拒絕數據包，它還根據一系列預定義規則來決定一個連接是否合法。如果一切通過驗證，防火牆會打開一個會話，並允許指定源地址的數據通過防火牆進入網路內部。這個通信只被允許在限定時間內進行。

圖2、鏈路級防火牆

另外，這個防火牆還可以根據以下對象來執行連接驗證，例如源IP地址或源埠，目的IP地址或目的埠，使用的協議，用戶ID，密碼和時間等等，多數情況下要根據幾種條件的組合來進行驗證。我們可以看出，包級別的過濾在這種防火牆中也可能發生。

主要優點：

·鏈路級防火牆通常比應用層防火牆更快，因為它們執行更少的操作;

·通過禁用特定互聯網源地址與內部計算機的連接，鏈路級防火牆可以幫助保護整個網路;

·通過與網路地址解析聯合使用，你可以使用鏈路級防火牆來阻止外部用戶訪問內部網路IP地址。

主要缺點：

·運行在傳輸層，因此必須要對傳輸函數編程進行比較大的修改。這可能影響到網路的性能和運行。

·鏈路級防火牆需要安裝人員和維護人員具有一定的專業知識。

四、應用級防火牆
在這種防火牆實現方式中，防火牆的角色是一個應用程序代理，與遠端系統實現所有數據交換。這種防火牆背後的設計思想是讓所有伺服器藏在防火牆後面，對遠端系統不可見。

一個應用層防火牆可以根據特定規則來接受或拒絕通信。舉個例子來說，這種防火牆可以允許某些命令被傳送到一個伺服器上，而拒絕其它命令。這個技術還可以被用來限制訪問特定的文件類型，同樣也可以為授權和未授權用戶提供不同級別的訪問級別。

圖3、應用級防火牆

對於那些喜歡對網路流量進行詳細監控和記錄日誌的用戶來說，可能會比較喜歡應用層防火牆，因為使用應用防火牆實現這些功能非常簡單，而且不會進一步影響性能。IT管理員可以設定一個應用層防火牆來實現在預定義事件發生的時候觸發報警器和發出提示。應用程序網關一般被部署在一台單獨的聯網計算機上，人們通常稱之為代理伺服器。

除了上述三種類型的防火牆外，還有一種狀態檢查多級防火牆，這類防火牆通常由廠商作為「最佳品牌」解決方案來提供，目的是將前面幾種防火牆的優點組合起來。狀態防火牆可以執行網路包過濾，同時還可以識別和處理應用層的數據。這類防火牆通常可以提供超強網路保護，但是價格可能比較昂貴。

另外值得注意的是，多數防火牆廠商提供了一系列的輔助功能，來提供那些基本防火牆服務之外的功能。此類的功能包括反病毒保護，內容過濾，入侵防護和網路行為和使用報表。隨著網路安全的迅速發展，對於企業來說，購買一個可以輕松升級到更高性能和更多新功能的產品，這是一個不錯的觀點。

G. 通過案例說明防火牆技術的具體應用

宏基恆信防火牆成功案例分析

隨著金融電子化的發展，全球金融通信網路已初具規模。某金融單位組建的計算機通信網路覆蓋全國，有力的促進了該企業各種金融業務的發展。然而網路技術的普及、網路規模的延伸，開始逐步讓該企業對網路安全提出了更高的要求。
為了進一步促進金融電子化的建設，保障金融網路安全運行，該企業經過前期充分的調研分析與論證，實施了防火牆/VPN系統建設項目。項目包括企業總部及30餘家下屬省級機構的防火牆系統實施。

系統部署結構如圖：

部署說明：

根據需求，該項目中防火牆系統保護的安全區域定義為總部及各省級機構的區域網
防火牆部署在各安全區域邊界，即區域網及外連路由器之間；
總部及各省級分支機構防火牆採用NetScreen公司產品NS-100A，共計36台；
防火牆部署採用『透明模式'模式，相當於網橋，因此無須改動該企業現有IP規劃結構，無須改動相關網路設備、主機的網路配置參數。

連接說明：

NS-100A的外埠（untrust口）相當於一般主機的網路介面，內埠（trust口）則相當於交換機埠。因此，其外埠同路由器的以太口相連要用交叉線，內埠同區域網交換機連接也要用交叉線。
對於有多個外連路由器的分支機構，需要准備一台HUB，連接時將防火牆外埠用直連線連接到該HUB上，然後再將HUB外連到各路由器。

設備管理說明：

為實現對防火牆的管理與配置，為防火牆分配一系統IP（sys-ip），該IP可為路由器內網口所在網段的任意有效IP。
對防火牆的管理通過https。

VPN系統工作模式：

說明：

VPN通道是在NetScreen防火牆之間建立，各NetScreen防火牆作為VPN網關；
VPN的部署設計採用LAN-TO-LAN的工作模式，總部和各省級分支機構之間各建一條VPN通道，省級分支機構間不建通道。
VPN的密鑰管理採用自動密鑰交換方式。
為緩解因採用VPN技術而對防火牆處理能力及網路吞吐能力的影響，只有關鍵業務採用VPN傳輸。

對防火牆系統的管理採取以下原則：

省級機構管理員管理所屬防火牆的配置和日常維護；
總部管理員管理總部所屬防火牆的配置和日常維護；
總部管理員可以監控和查看各省級分支機構的防火牆運行狀態，但沒有配置許可權。
遵循本原則，防火牆系統的管理採用集中監控，分布管理的方式，示意如圖：

技術說明：

在總部使用一台 PC 機，安裝 NetScreen 防火牆集中管理軟體 Global Manager ；
針對 Global Manager 集中監控的需要，在總部防火牆建立相應的訪問策略，允許該主機對各省級單位防火牆的相應管理服務埠的訪問；
經省級機構管理員授權，總部管理員通過該管理軟體可集中監控（查看）全 轄網路 系統部署的 NetScreen 防火牆；
總部及各省分支機構防火牆的配置維護許可權限制為各自的本地用戶。

H. .電子商務網站的安全防範技術

電子商務網站的安全措施

2.1 防火牆技術防火牆是指一個由硬體設備或軟體、或軟硬體組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網路與外部網路在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分為兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。代理防火牆能夠將網路通信鏈路分為兩段,使內部網與Internet不直接通信,而是使用代理伺服器作為數據轉發的中轉站,只有那些被認為可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和埠號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網路就公開了。代理防火牆比包過濾器慢, 當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較復雜,有時會導致錯誤配置和安全漏洞。由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作為保護方法。

2.2 入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網路內外的危險行為,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又網路時空不會將正常的活動包含進來。 (2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

2.3 網路漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網路漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網路安全漏洞。網路漏洞掃描器分為內部掃描和外部掃描兩種工作方式: (1)外部掃描:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。 (2)內部掃描:漏洞掃描器以root身份登錄目標主機, 記錄系統配置的各項主要參數,將之與安全配置標准庫進行比較和匹配,凡不滿足者即視為漏洞。

2.4 防病毒系統病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品, 實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有: (1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特徵。病毒掃描軟體可搜索這些特徵或其它能表示有某種病毒存在的代碼段。 (2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。 (3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行為封鎖軟體就會檢測到並警告用戶。

2.5 啟用安全認證系統企業電子商務網站的安全除網站本身硬體和軟體的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站伺服器中啟用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。SSL安全協議主要提供三方面的服務: (1)認證用戶和伺服器,使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。 (2)加密數據以隱藏被傳送的數據。 (3)維護數據的完整性,確保數據在傳輸過程中不被改變。

3 結束語

任何一種安全措施都有其局限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行為時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和伺服器、安全產品與安全產品之間都需要進行必要的數據通信,為了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網路安全才能得到保障。

I. 幫我找找有關於防火牆的用途和例子，我寫論文用的謝謝

防火牆的概念
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。
參考資料：http://bbs.btbbt.com/viewthread.php?tid=358293

防火牆的用途簡單的說，就是防止非法程序對計算機的入侵。非法程序包括病毒，木馬程序，黑客入侵，等等，只要是未經許可的入侵，均可視為非法。

防火牆的用途（Firewall Purpose）
撰文者： Indeepnight 位於 上午 8:55
防火牆是近年才開始受大眾注目，以前都只把焦點放在防毒軟體的能力上

不過，防火牆的用意雖然是好的，可是對於大眾來說，它的功能經常都會讓人摸不著頭緒，甚至會防礙原有操作電腦的順暢性

現在的作業系統，也都預設有防火牆的功能（M$、Linux皆有），不過大多數都是行銷策略的手法，讓大家感覺到物超所值，但實際的應用面就...乏人問津，至於硬體與軟體之間的差異，可以參考筆者先前寫的防火牆的使用，有粗略的說明

今天筆者就來說明一些較為常見的應用與設定：

Internet的發展給企業帶來了革命性的改革和開放，企業正努力通過利用

它來提高市場反應速度和辦事效率，以便更具競爭力。企業通過Internet，可

以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰

和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問；以

及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加註安全的

「戰壕」，而這些「戰壕」又要在哪裡修建呢?

基於Internet體系應用有兩大部分：Intranet和Extranet。Intranet是借

助Internet的技術和設備在Internet上面構造出企業3W網，可放入企業全部信

息；而Extranet是在電子商務、互相合作的需求下，用Intranet間的通道，可

獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火牆戰壕須在

以下位置上位置：

①保證對主機和應用安全訪問；

②保證多種客戶機和伺服器的安全性；

③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與

遠程訪問的雇員、客戶、供應商提供安全通道。

同時防火牆的安全性還要來自其良好的技術性能。一般防火牆具備以下特

點：

①廣泛的服務支持，通過將動態的、應用層的過濾能力和認證相結合，可

實現WWW瀏覽器、HTTP伺服器、FTP等；

②對私有數據的加密支持，保證通過Internet進行虛擬私人網路和商務活

動不受損壞；

③客戶端認證只允許指定的用戶訪問內部網路或選擇服務，是企業本地網

與分支機構、商業夥伴和移動用戶間安全通信的附加部分；

④反欺騙，欺騙是從外部獲取網路訪問權的常用手段，它使數據包好似來

自網路內部。Firewall-1能監視這樣的數據包並能扔掉它們；C/S 模式

和跨平台支持，能使運行在一平台的管理模塊控制運行在另一平台的監

視模塊。

網路安全：初上網者必看---我們為什麼需要防火牆
來源：賽迪網 時間：2006-10-04 09:10:44

很多網路初級用戶認為，只要裝了殺毒軟體，系統就絕對安全了，這種想法是萬萬要不得的！在現今的網路安全環境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟體、間諜軟體也行風作浪。怎樣才能讓我們的系統立於如此險惡的網路環境呢？光靠殺毒軟體足以保證我們的系統安全嗎？下面我就從影響系統安全的幾個方面來剖析防火牆的重要性。

現在的網路安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟體攻擊。殺毒軟體發展了十幾年，依然是停留在被動殺毒的層面（別看那些自我標榜主動防禦，無非是一些騙人的幌子，看看這個文章就知道了http://column.chinabyte.com/388/2014388.shtml），而國外的調查表明，當今全球殺毒軟體對80%的病毒無法起到識別作用，也就是說，殺毒軟體之所以能殺毒，純粹是根據病毒樣本的代碼特徵來識別他是否是病毒，就如警察抓住一個小偷，這個小偷留著大鬍子，於是警察就天天在街上盯著大鬍子的人。這樣的殺毒效果可想而知。同樣的道理，殺毒軟體對於木馬、間諜軟體的防範也是基於這種方式。

現在病毒、木馬的更新很快，從全球范圍內來看，能造成較大損失的病毒木馬，大部分都是新出現的，或者是各類變種，由於這些病毒木馬的特徵並沒有被殺毒軟體掌握，因此殺毒軟體對它們是既不能報警，也無法剿殺。難道我們就任病毒木馬宰割了嗎？當然不！高手豈能向幾個病毒木馬低頭！雖然殺毒軟體只能乾瞪眼，可是我們還有嚴守大門的防火牆呢！

防火牆為什麼就能擋住病毒木馬甚至是最新的病毒木馬變種呢？這就要從防火牆的防禦機制說起了。防火牆是根據連接網路的數據包來進行監控的，也就是說，防火牆就相當於一個嚴格的門衛，掌管系統的各扇門（埠），它負責對進出的人進行身份核實，每個人都需要得到最高長官的許可才可以出入，而這個最高長官，就是你自己了。每當有不明的程序想要進入系統，或者連出網路，防火牆都會在第一時間攔截，並檢查身份，如果是經過你許可放行的（比如在應用規則設置中你允許了某一個程序連接網路），則防火牆會放行該程序所發出的所有數據包，如果檢測到這個程序並沒有被許可放行，則自動報警，並發出提示是否允許這個程序放行，這時候就需要你這個「最高統帥」做出判斷了。一般來說，自己沒有運行或者不太了解的程序，我們一律阻攔，並通過搜索引擎或者防火牆的提示確認該軟體的性質。

寫到這里，大家估計對殺毒軟體和防火牆的區別有一定了解了，舉個直觀的例子：你的系統就好比一座城堡，你是這個城堡的最高統帥，殺毒軟體和防火牆是負責安全的警衛，各有分工。殺毒軟體負責對進入城堡的人進行鑒別，如果發現可疑的人物就抓起來（當然，抓錯的幾率很大，不然就沒有這么多誤殺誤報事件了）；而防火牆則是門衛，對每一個進出城堡的人都進行檢查，一旦發現沒有出入證的人就向最高統帥確認。因此，任何木馬或者間諜軟體，或許可能在殺毒軟體的眼皮底下偷偷記錄你的帳號密碼，可是由於防火牆把城門看得死死的，再多的信息也傳不出去，從而保護了你的系統安全。

另外，對於黑客攻擊，殺毒軟體是沒有任何辦法的，因為黑客的操作不具有任何特徵碼，殺毒軟體自然無法識別，而防火牆則可以把你系統的每個埠都隱藏起來，讓黑客找不到入口，自然也就保證了系統的安全。

目前全球范圍內防火牆種類繁多，不過從個人經驗來說，推薦天網防火牆給大家。天網防火牆可以有效的防止黑客、木馬或者其他惡意程序盜取您的隱私包括：網上銀行、網路游戲、QQ等的帳號和密碼。