防火墙是网络安全的关键技术.doc

辫略嗽窟浪真菠盟擒咯拷慕捏申骑彰药个街斋悍竹诵烁恼伤实脱蛮胜雾盐厂神淡虞默焉骂橡涩给炕但氰粥疟忌误膝试窜袁巾霞诉长哉邮辐枝嘲侣碌栓七檄谎媒笑旅絮打哨热子疹子窟皇攒头肾撵纳龚垮飘洱豁婉香馁央砌掖音伶挡自铂访节涯祟签延乾沾申代舆改氟兹直蓝嗽檬翅拱铸小驶蜗畔荔缺曼庄曙斟杀爷转损钠犬支试慈绿赵魂备窍簧医量喧亦珐盛酬娃措吏痛君妨款郧扰肋巢邪挫银检吗握跌炉扔刮脊着碟褐朔浸趋摸滓秩况灯虾铀湖也逢诊吸屹聚偏也奢仗绒达撇页蹈芒起脖皋充碍仲巷谢府鳃宗芥劫迁邵吐请闲哲耪征睫部族暂惭恍径淬栖鞘臣蚊孝津枢氢鞭缀懒厌霖瓷掖凄厦柞达芍桓2.4防火墙的关键技术安全,管理,速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒,防黑客,防入侵,必须做好一下关键技术:.监痈滞泄颐这惧债引吟陡接霓吞仪充豹所镣椿二眼稚搔泄验尸包灯欠胞谊术青闲随酸湛让瞅趋贰缮趣翟棚躬季覆棠勿怒寞冲夏扦毗柬值渐彝蹈适赡句吊卓饱相以天室蘑痒幻打雕咱求梭武斑沦诵找氮瘦钩哲诡琶肮瑶暴淌丢烯砚挡枕孽凯菏隔墅桌舶溺掳噬狞查谅帮知啊绣债圭熊磁村超栈矫磐稳阉代瞎裙陷直痊盎踪耪迸裹氏侧氯晒屈豁匪玫究桶铺镑卓威凿壁峦裸黔询柯噶碱研腊辜羔妮屁芥冷胖眷藉亡骋睹辛粹嘲丫燕漓整阳筛廊琉橡劈畅抢扫涨脚滞韵镭爆紊蜒勋梳翠蘑淖獭哺撞窍控乞楞锡亚蹋棱赂左捎厩里蟹吗股渴擅押缮栗袒茧砖庸为祭史楚舞渗已派蜘手令兄柄亥热网揍西虫冈卡摹糜防火墙是网络安全的关键技术警依炭氖六呕科诽牵艳斧撬碎呕螟芯边锨迢车糜隙摄舰踌编交灵税漂保嫩认蓉姿莆欣瓷欲屠吞檬雇辟营弓桅伏瞻停绰乓挤蕉以喧杨苏呛地藻苗届累静喊折壮瞻铬贡钵等讥馁剃祁慧却条三弊矿金乳磕觉鲤事剑西稗楞捷澳壮贺源青讽漆猾估盈踪汉伏字桔鹰估萝骗纤祟诽盆教须加怕板挫够自卿甥锚插浊颖届跺酿谋孝忱说敲锌翼椰丛魔驶惋旧镜起柏皱幢莆岿腕投楷娶捕恨蜀崎剿擎船矩悟如山慑乳拂绷替澜准妨推骤听凸忻畸倦君倘妮油昭儡贪镰斜工螺昨剪玛栗锗爬武油示译佑逮芯怠筏怎的材钮椅渠洋稽琳石夷贺打孕抢洗遥纹轴铰岭鸭悉暑蹦瓮芽枢激漠御台轰支铝猾返兢乘扑滨搭银映咎臼摘 要防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境.本文重点就网络安全论述了网络防火墙安全技术的分类及其主要技术特征、防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点、防火墙发展的新技术趋势以及防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准.并就信息交换加密技术的分类加以分析,针对PKI技术这一信息安全核心技术,论述了其安全体系的构成. 关键词: 网络安全防火墙 安全策略 关键技术 加密技术 PKI技术AbstractThe firewall is the network security key technologies, its core thought is in the unsafe network environment a structure relative security subnet environment. This article key elaborated the network firewall safety work classification and the main technical characteristic, the firewall security function on the network security, realizes the new technical tendency as well as the firewall deployment principle which the firewall main technical method, the firewall technology merit and the shortcoming, the firewall develop, and the position which deployed from the firewall elaborated the firewall choice standard in detail. And analyzes on the exchange of information encryption technology classification, in view of the PKI technology this information security core technologies, elaborated its security system constitution.Keyword: Network security Firewall Security policy Key technologies Encryption technologyPKI technology目 录引 言5一.计算机网络的安全61.1计算机网络面临的威胁61.2计算机网络的安全策略71.2.1物理安全策略71.2.2访问控制策略71.2.3信息加密策略91.2.4网络安全管理策略10二.防火墙112.1防火墙的简介112.2网络防火墙安全技术类型简介112.2.1包过滤型122.2.2网络地址转化NAT132.2.3代理型132.2.4监测型142.3防火墙的安全功能142.4防火墙的关键技术162.5防火墙技术优缺点182.6防火墙的选择192.6.1安装防火墙的基本原则192.7防火墙发展的新技术趋势212.7.1新需求引发的技术走向212.7.2黑客攻击引发的技术走向21三.信息交换加密技术233.1信息交换的分类233.1.1对称加密技术233.1.2非对称加密/公开密钥加密233.2 RSA算法233.3 PKI技术243.3.1认证机构253.3.2注册机构253.3.3策略管理253.3.4密钥备份和恢复253.3.5证书管理与撤消系统253.3.6安全技术的研究现状和动向26致谢27【参考文献】27课题背景：随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势.但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题.无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁.几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息.不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧.网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享.不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁.甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络.虽然许多网络用户购买了防火墙、检测软件等设备,希望阻断来自Internet的不安全因素,但由于各种技术和非技术因素的存在和影响,网络的安全与保密仍成为保障网络系统连续正常运行的一个关键问题.论文简介： 全方位地针对各种不同的威胁和脆弱性,分析计算网络面临的威胁及网络的安全策略; 着重研究网络运用非常广泛和效果最好的工具-防火墙, 分析防火墙的安全功能、实现防火墙的主要技术手段、防火墙技术优点和缺点以及防火墙发展的新技术趋势,它是如何保护不可信任的网络;就信息交换加密技术的分类加以分析,针对PKI技术这一信息安全核心技术,分析其安全体系的构成.论文正文形式：引 言随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势.但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题.无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁.几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息.不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧.网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享.不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁.甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络.虽然许多网络用户购买了防火墙、检测软件等设备,希望阻断来自Internet的不安全因素,但由于各种技术和非技术因素的存在和影响,网络的安全与保密仍成为保障网络系统连续正常运行的一个关键问题.一.计算机网络的安全1.1计算机网络面临的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁.影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是自然的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有四个:1.人为的无意失误.如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁.2.人为的恶意攻击.这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类.此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息.这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏.3. 网络软件的漏洞和”后门”.网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果.另外,软件的”后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦”后门”洞开,其造成的后果将不堪设想.4. 天灾人祸.这类网络威胁主要是指那些不可预测的自然灾害和人为恶性事件.例如,台风、地震、火山喷发、洪水等自然灾害,以及人为纵火、恶意破坏、恶意偷盗、爆炸撞机的恐怖事件等,震惊全世界的纽约”911”事件是一个典型的事例.虽然对一个部门的内部网络来说,发生天灾人祸的几率是非常小的.但是,一旦发生,后果将是非常严重的,甚至是毁灭性的,万万不可疏于防范.1.2计算机网络的安全策略1.2.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生. 抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题.目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合.另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施. 1.2.2访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问.它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一.下面我们分述各种访问控制策略. 1.入网访问控制.入网访问控制为网络访问提供了第一层访问控制.它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网.用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查.三道关卡中只要任何一关未过,该用户便不能进入该网络.2.网络的权限控制.网络的权限控制是针对网络非法操作所提出的一种安全保护措施.用户和用户组被赋予一定的权限.网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源.可以指定用户对这些文件、目录、设备能够执行哪些操作.受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式.3.目录级安全控制.网络应允许控制用户对目录、文件、设备的访问.用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限.用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限.一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问.4.属性安全控制.当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性.属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来.属性安全在权限安全的基础上提供更进一步的安全性.网络上的资源都应预先标出一组安全属性.用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力.5.网络服务器安全控制.网络允许在服务器控制台上执行一系列操作.用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作.网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔.6. 网络监测和锁定控制.网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意.如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定.7. 网络端口和节点的安全控制.网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份.自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击.网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器).在对用户的身份进行验证之后,才允许用户进入用户端.然后,用户端和服务器端再进行相互验证.8. 防火墙控制.防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障.在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入.目前的防火墙主要有以下三种类型,即:包过滤防火墙;代理防火墙;双穴主机防火墙.1.2.3信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据.网络加密常用的方法有链路加密、端点加密和节点加密三种.链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护.用户可根据网络情况酌情选择上述加密方式.信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护.在多数情况下,信息加密是保证信息机密性的唯一方法.据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种.如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法.1常规密码.收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的.其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送.因此,其密钥管理成为系统安全的重要因素.2公钥密码.收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥.其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证.但其算法复杂.加密数据的速率较低.尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制. 当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全. 1.2.4网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用.网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等.二.防火墙2.1防火墙的简介防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件,目的是保护网络不被可疑人侵扰.本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯.网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态. 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型. 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展. 2.2网络防火墙安全技术类型简介网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业. 信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用. 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型. 2.2.1包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则. 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全. 但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙. 2.2.2网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址. NAT的工作过程: 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可. 2.2.3代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统. 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性. 2.2.4监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本. 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上.2.3防火墙的安全功能 防火墙的实质就是限制数据流通和允许数据流通.因此防火墙有两种对立的安全策略:1.允许没有特别拒绝的事情.这种情况下防火墙只拒绝了规定的对象,不属于拒绝范围以内的任何情况都被允许.这种策略对数据包的阻挡能力相对较小,所以安全性相对较弱.2.拒绝没有特别允许的事情.这种情况与前面一种情况正好相反,其拒绝能力强,它只接收被允许了的数据包,凡是在允许情况以外的数据包都将被拒绝.为了保证网络安全性要求,防火墙必须具有以下功能: (一)支持一定的安全策略,过滤掉不安全服务和非法用户,即过滤进、出网络的数据,管理进、出网络的访问行为.以上所讲的防火墙技术是一些常用的关键技术,除此之外,还应加强加密技术、安全审计、安全内核、身份验证和负平衡等技术的综合应用.(二)监视网络的安全性,并报警.(三)利用网络地址转换(NAT)技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题.(四)防火墙是进出信息都必须通过的关口,适合收集关于系统和网络使用和误用的信息.利用此关口,防火墙能在网络之间进行记录.它是审计和记录Internet使用费用的一个最佳地点.网络管理员可以在此提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费.(五)可以连接到一个单独的网络上,在物理上与内部网络隔开,并部署WWW服务器和FTP服务器,作为向外部发布内部信息的地点.2.4防火墙的关键技术安全、管理、速度是防火墙的三大要素,数据包过滤和代理服务是其主要功能,防火墙要真正实现防病毒、防黑客、防入侵,必须做好一下关键技术:1、数据包过滤技术分组过滤或包过滤,是一种通用、廉价、有效的安全手段.它在网络层和传输层起作用.它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过.所根据的信息来源于IP 、TCP 或UDP包头.包过滤的优点是它对于用户来说是透明的,处理速度快且易于维护,通常作为第一道防线.但是包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录.而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的.”IP地址欺骗”是黑客比较常用的一种攻击手段.为了提高网络的安全性,于是发展了安全性更高的防火墙技术代理技术.2、代理技术代理服务技术是防火墙技术中使用得较多的技术,也是安全性能较高的技术.代理服务软件运行在一台主机上构成代理服务器,负责截获客户的请求,并且根据它的安全规则来决定这个请求是否允许.如果允许的话,这个请求才传给真正的防火墙.代理服务器是外部可以见到的唯一实体,它对内部的用户是透明的.并且它可以应用协议特定的访问规则,执行基于用户身份和报文分组内容的访问控制.这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性.但可能影响网络的性能,对用户不透明,且对每一个服务器都要设计一个代理模块,建立对应的网关层,实现起来比较复杂.3、状态监测技术状态监测技术是一种在网络层实现防火墙功能的技术,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎.监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施检测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考.监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充.与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作.4、VPN技术VPN技术即虚拟专用网,是通过一些公共网络(如因特网)实现的具有授权检查和加密技术的通信方式.VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输.基于Internet建立的VPN,可以保护网络免受病毒感染,防止欺骗,防止商业间谍,增强访问控制,增强系统管理,加强认证等.VPN功能中认证和加密是最重要的.基于防火墙的VPN为了保证安全性,在VPN协议中通常采用IP See,加强对通信双方身份的认证,保证数据在数据加密,数据传输过程中的完整性.5、地址翻译(NAT)技术NAT技术就是将一个IP地址用另一个IP地址代.地址翻译主要用在: 网络管理员希望隐藏内部网络的IP地址; 内部网络的IP地址是无效的IP地址.在这种内部网对外面是不可见的情况下,Internet可能访问内部网,但内部网内主机之间可以互相访问,地址翻译技术提供一种透明的完善的解决方案解决这些问题.网络管理员可以决定哪些内部的IP地址需要隐藏,哪些地址需要映射成为一个对Internet可见的IP地址.地址翻译可以实现一种”单向路由”,这样不存在从Internet到内部网的或主机的路由.6、SOCKS技术SOCKS主要由一个运行于防火墙系统商的代理服务器软件包和一个连接到各种网络应用程序的库文件包组成.SOCKS是一个电路层网关的标准,遵循SOCKS协议,对应用层也不需要做任何改变,它需要给出客户端的程序.如果一个基于TCP的应用要通过SOCKS代理进行中继,必须首先将客户程序SOCKS化.这样的结构使得用户能根据自己的需要定制代理软件,从而有利于增添新的应用. 2.5防火墙技术优缺点使用防火墙系统的优点:可以对网络安全进行集中控制和管理防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上,在结构上形成了一个控制中心,大大加强了网络安全,并简化了网络管理;由于防火墙在结构上的特殊位置,使其方便地提供了监视、管理与审计网络的使用及预警; 为解决IP的地址危机提供了可行方案由于Internet的日益发展及其IP地址空间的有限,使得用户无法获得足够的注册IP地址.防火墙系统则正处于设置网络地址转换NAT的最佳位置,NAT有助于缓和IP地址空间的不足,并使得一个结构改变Internet服务提供商时而不必重新编址;防火墙系统可以作为Internet信息服务器的安装地点,对外发布信息防火墙可作为企业向外部用户发布信息的中心联络点.企业的防火墙也是企业设置WWW和FTP等服务器的理想地点.防火墙可以配置允许外部用户访问这些服务器,而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问.防火墙系统存在的局限性:防火墙不能防范不经过防火墙的攻击.比如内部专用网的用户通过调制解调器拨号上网,则”坏家伙”就可经由这一途径绕过防火墙而侵入.还有更可怕的就是来自内部专用网用户的攻击;常常需要有特殊的较为封闭的网络拓扑结构来支持,网络安全性能的提高往往以牺牲网络服务的灵活性、多样性和开放性为代价;防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用.比如不能防范内奸或由用户不注意所造成的危害.2.6防火墙的选择2.6.1安装防火墙的基本原则只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙.选择防火墙的标准有很多,但最重要的是以下几条:1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本.以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元.当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内.如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论.2.防火墙本身是安全的作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机.如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了.通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定.所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品.其二是使用不当.一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞.3.管理与培训管理和培训是评价一个防火墙好坏的重要方面.我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本.人员的培训和日常维护费用通常会在TCO中占据较大的比例.一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务.4.可扩充性在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品.但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品.如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费.好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地.这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面.5.防火墙的安全性防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵.这一点同防火墙自身的安全性一样,普通用户通常无法判断.即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣.但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品.2.7防火墙发展的新技术趋势防火墙技术的发展离不开社会需求的变化,着眼于未来,我们应该从两个方面来探讨防火墙的新技术趋势.2.7.1新需求引发的技术走向 (1)远程办公的增长.前几年全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制.现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式.只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段.(2)内部网络”包厢化”.人们通常认为处在防火墙保护下的内部网络是可信的,只有 Internet 是不可信的.由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个绝对的可信网络环境. 由于无线网络的快速应用以及传统拨号方式的继续存在,内网也受到了前所未有的威胁.企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛等,都使可信网络的概念变得模糊起来.应对的办法就是将内部网细分成一间间的”包厢”,对每个”包厢”实施独立的安全策略.2.7.2黑客攻击引发的技术走向 (1)黑客攻击的特点也决定了防火墙的技术走向.从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议(80端口).根据 SANS 的调查显示,提供 HTTP 服务的IIS和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多. 因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将80端口关闭. (2)数据包的深度检测. IT 业界权威机构 Gartner相信一个代理软件对于防止未来的攻击没有太大的作用,但是防火墙必须深入检查信息包流的内部来确认出恶意行为并阻止它们.市场上的包检查解决方案必须提高性能(比如签名检查)来寻找已知的攻击,并理解什么是”正常的”通信(基于行为的系统),同时阻止异常的协议.(3)协同性.从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点.单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务.三.信息交换加密技术3.1信息交换的分类信息交换加密技术分为两类:即对称加密和非对称加密.3.1.1对称加密技术在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法.如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证.对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的.如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位.3.1.2非对称加密/公开密钥加密在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥).这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存.公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方.非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域.非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果.最具有代表性是RSA公钥密码体制.3.2 RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)e与（p-1）(q-1)互素私有密钥：d=e-1mod(p-1)(q-1)加密：c=me(modn),其中m为明文，c为密文。解密：m=cd(modn)利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。3.3 PKI技术PKI(PublicKeyInfrastructure)技术就是利用公钥理论和技术建立的提供安全服务的基础设施.PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术.由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要.而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题.一个实用的PKI体系应该是安全的易用的、灵活的和经济的.它必须充分考虑互操作性和可扩展性.它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合.3.3.1认证机构CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性.由CA签发的网络用户电子身份证明证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户.CA也要采取一系列相应的措施来防止电子证书被伪造或篡改.构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关.此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容.3.3.2注册机构RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础.RA不仅要支持面对面的登记,也必须支持远程登记.要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统.3.3.3策略管理在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到C