信息网络安全-防火墙与加密技术new

《信息网络安全-防火墙与加密技术new》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

信息网络安全:防火墙与加密技术衰超伟王桃荣(Ab京邮电大学91信箱)摘要本文介绍了防火墙的三种实现技术(数据包过浦、应用网关或线路中继8R,Proxy)创麟点;讨论了五种防火墙体系结构(过掳路由器结构、双属网关、过滩式主机网关、过7虑式子网、吊带式结构)的安全性能和系统复杂程度:阐述了数据加密的典型算法以及它们的几种应用(数字签名、混合加密、安全网络服务、安全应用服务):并针对不同规模安全需求的网络给出了几点建议。一引言近几年来，随着Internet网络在国际和国内的飞速发展，信息服务作为一种产业日渐深入人心，以win，技术为基础的多媒体信息服务也蓬勃发展起来。1994年，我国实现了与工nternet的TCP/IP连接，开通了Internet的全功脚民务，首都通信网络建设己初具规模，陆续开通了263.net,163.net,169.net。访问人数数以万计。政府上网工程启动，gov.on下的朔符域名己达1470个，其中有720个政府部门拥有WWWA及务器面向社会提掷良务，电子商务的应用势在必行。在这种发展趋势下，信息网络前景十分广阔，因而网络的安全性越来越受到川门的关注。安全性:信息网络安全的核心是基于Web的信息提供安全的访问控制。主要包括:数据的保密性、完整性、身份鉴别、授权访问。目前应用的方法主要是防火墙和数据加密。二防火墙防火墙技术是被动防卫性安全保障系统，它的特征是在网络边界上建立响应的网络通信监控系统来实现网络安全。它要求所保护的网络是一个相对封闭的拓扑结构，只在有限出口与外界网络相连接，并且假设不安全因素仅来自外部网络，建立防火墙就是利用专用安全软件、硬件以及管理配置，对内部网络与外部网络之间的往来信,@进行监测、控制和修改。防火墙技术有数据包过滤、应用网关(或线路中继器)和Proxyt11.数据包过滤工作在网络层和传输层，即在网络中适当的位置对数据包实施有选择通过。数据包过滤防火墙有三种基本类型:1边界路由器2具有安全子网的边界路由器 3具有信息包过滤器的双归宿防御性主机应用网关是建立在应用层上的协议过滤、转发功能，针对特别的网络应用服务协议指定过滤逻辑，并可形成分析结果及处理措施的统计报告。应用网关与线路中继器相比有较大优势:它能象功能强大的应用服务器一样向客户提供应用服务，更能严密监视与登录内部客户与外部Internet系统之间的对话，其最大优点是客户软件不需改动，缺点是速度稍慢。代理服务(Proxyserver)将所有跨越防火墙的网络通信链路分为二段，防火墙内外计算机系统之间的应用层的链接由两个终止于Proxyserver的链接来实现。防火墙体系结构有五类[3]:过滤路由器结构、双属网关、过滤式主机网关、过滤式子网、过滤路由器基本上不能满足安全性能要求;吊带式结构。其安全性能随着复杂程度的加深而变好。SOCKS服务器可以做到对用户透明;过滤式主机网关由过滤路由器和运行网关软件双属网关中的主机完成多种功能，配置困难，主机是网络中的单失效点:过游式子网是把的主机组成，缺点是主机组成的子网中;吊带式结构中作为代理服务器的网关主机位于周边网络主机功能分散到多个中，另外增加了内部过滤路由器保护内部网络的安全，RA服务器和认证服务器是内部网络的第一道防线，而内部路由器是第二道防线。把企业网络提供的公共服务置于周边网络中，育韵;减少内部网络的风险，缺点是结构较复杂，缺少集成化产品。根据网络对安全性要求的不同可将网络分为二低成本、低要求;中等要求;高成本、高要求。下面对这三种网络的安全分别加以阐述低成本、低要求网络:这种类型的网络一般是一些小型企业或个人站点。投入的资金和精力相对较少，责任较为明确，来自内部的攻击相对较少，可采用信息包过滤器中的双归宿防御性主机配置，它由边界路由器加一.个下游计算机化信息包过滤器，即防御性主机构成，它的缺点是增加了网络的开销，性能的影响取决于报文过滤的程度，另外对通过防火墙建立TCP和UCP的连接问题要建立渗透型的TCP/UCP连接解决。对于单机上网，防火墙无意义，因为防火墙的安全就是主机本身的安全。对于一个网络内的用户之间没有什么共同利益的情形，这对每个用户都可看成是一个单机，防火墙也无意义【幻。一般采用主动防御即力喀技术。中等要求网络:这种类型的网络一般是中型企业网络，建议采用线路中继器或应用网关的防火墙。现行最岸用的线路中继器服务器是由DavidKoblas设计的公共域软件包SOCKS，采用双属网关的结构，可以做到对用户透明，SOCKS服务器软件被安装在防御性主机上作为TCP的中继器，它可以与任何业务一，起不采用渗透TCP连接方式而通过防火墙。若企业网络的硬件足够强大，则使用应用网关的效果会更好。大型企业网络或保密要求特别严格的网络，如政府、机关专网。对于大型企业网络而言，一些主机的安全水平可能高于防火墙，一些主机的安全水平则低于防火墙，是否使用防火墙取决于这两种主机的比例。对于要使用防火墙的网络建议使用应用4um，使网络内部的用户与网络外部直接的IP报文交换。所有这个应用的数据均由防火墙进行转发和过滤，其缺的服务之间不会有的引用，影响了效率。而且需要为每个网络服务专门设计，开发代理服务软件点是限制了新应用及相应的监控过滤功能，并由专门的工作站来实现。网络结构建议采用吊带式结构。 为了解决内部攻击问题，可在大型网络内部不同的安全需求区域安装内部防火墙或加密。三数据加密数据加密技术是适用范围很广的一项技术，它对网络结构没有特殊的要求，对网络服务影响也较小，只在发收两端用软件进行加/解密工作，通常采用两种方式进行加密:一是在应用层加密，另一种是在IP栈中加密，应用层加密是刘用户数据作选择性加密，而IP栈加密则是对链路上所有数据进行加密，当然，加/解密本身要靠计算来完成，可用CPU或专用的芯片来计算。加密算法有传统密钥密码(解密密钥与加密密钥相同)如DES算法、IDEA方法等:公开密钥密码体制如RSA算法、离散对数方法等;不可逆加密其特征是不需密钥来加密，且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆算法才能得到相同的加密数据，不可逆算法不存在密钥保管和分发问题，适于分布式网络应用，不可逆算法主要应用于系统的身份验证;IC智能加密卡，加密算法不再公开，对用户只提供加密芯片及硬件设备;小波分析加密算法(4](5]，它是一种新的加密方法，主要通过小波变换或小波数据压缩后对压缩的主要特征进行加密，然后通过逆变换解密，它的特点是小波函数较多且将加密、压缩、编码三码合一，是传统加密算法的改进，有公开密钥也有不可逆加密等。防火墙主要解决端系统的安全问题。数据加密主要用于端对端的的安全问题，它对各种要求的网络没有太大差别，通常运用在数字签名、混合加密、安全网络服务、安全应用服务。目前数字签名普遍采用公开密钥密码技术实现，在实际应用中一般用一个HASH函数将被签信息压缩，得到信息摘要，然后对摘要签名:混合加密快速、保密性好，解决了密钥分发问题;加密技术应用在网络层或传输层，网络路由及其他网络协议所需信息的传送和认证采用加密的数据包，HANDSHAKE期间验证双方的数字证明;安全应用服务是指加密技术应用于网络应用层，不需对底层网络安全性提出特殊要求。实现端到端的安全保密。例如使用Kerberos服务的telnet,NFS,rlogin等，以及用作电子邮件加密的PEM(PrivacyEnhancedMail),FCP(PrettyGoodPrivacy)和POTP.一~一气‘................