關鍵詞:網絡安全防火墻技術特征
1.概觀
21世紀,世界各地的計算機將通過互聯網連接起來,信息安全的內涵將發生根本改變。不僅從壹般的防禦變成了非常普通的防禦,也從專門的領域變成了無處不在。當人類在21世紀步入信息社會和網絡社會時,中國將建立壹個完整的網絡安全體系,特別是在政策和法律上具有中國特色的網絡安全體系。
壹個國家的信息安全體系其實包括國家的法規政策,以及技術和市場的發展平臺。在構建信息防禦系統時,中國應專註於開發自己獨特的安全產品。中國真正解決網絡安全問題的最終途徑是發展民族安全產業,促進中國網絡安全技術的整體提升。
網絡安全產品有以下特點:第壹,網絡安全來源於安全策略和技術的多樣化,采用統壹的技術和策略並不安全;第二,網絡的安全機制和技術應該是不斷變化的;再次,隨著網絡在社會方面的延伸,進入網絡的手段越來越多。因此,網絡安全技術是壹項非常復雜的系統工程。因此,建立具有中國特色的網絡安全體系需要國家政策法規的支持和集團的共同研發。安全和反安全就像是矛盾的兩個方面,總是在向上上升,所以未來安全行業也會隨著新技術的發展而發展。
信息安全是國家發展面臨的重要問題。對於這個問題,我們還沒有從系統規劃上考慮,從技術、產業、政策上發展。政府不僅要看到發展信息安全是我國高科技產業的壹部分,還要看到發展安全產業的政策是信息安全體系的重要組成部分,甚至要看到它對我國未來電子信息技術的發展將起到非常重要的作用。
2.防火墻
網絡防火墻技術是壹種專用的網絡互聯設備,用於加強網絡間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它按照壹定的安全策略檢查兩個或兩個以上網絡之間傳輸的數據包,如鏈路模式,以決定是否允許網絡之間的通信,並監控網絡運行狀態。?
目前防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)、電路層網關、屏蔽主機防火墻、雙宿主機等。?
雖然防火墻是保護網絡免受黑客攻擊的有效手段,但它也有明顯的缺點:不能防止來自防火墻以外的其他途徑的攻擊,不能防止來自內部叛逃者和臨時用戶的威脅,不能完全防止被感染軟件或文件的傳播,不能防止數據驅動的攻擊。
自從1986,美國數字公司在互聯網上安裝了世界上第壹個商用防火墻系統並提出防火墻的概念以來,防火墻技術發展迅速。國內外數十家公司推出了不同功能的防火墻產品線。
防火墻處於五層網絡安全體系的底層,屬於網絡層安全技術的範疇。在這個層面上,企業對安全系統的質疑是:所有的IP是否都可以接入企業的內網系統?如果答案是“是”,說明內網沒有在網絡層采取相應的防範措施。
防火墻作為內部網絡和外部公網之間的第壹道屏障,是最早被人們重視的網絡安全產品之壹。理論上,防火墻處於網絡安全的底層,負責網絡間的安全認證和傳輸。然而,隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術逐漸走向網絡層以外的其他安全層面,不僅要完成傳統防火墻的過濾任務,還要為各種網絡應用提供相應的安全服務。此外,多種防火墻產品正在向數據安全和用戶認證方向發展,防止病毒和黑客的入侵。
根據防火墻采用的不同技術,我們可以將其分為四種基本類型:包過濾、網絡地址轉換——NAT、代理和監控。
2.1.包過濾類型
包過濾產品是防火墻的初級產品,其技術基礎是網絡中的數據包傳輸技術。網絡上的數據是以包的形式傳輸的,數據被分成壹定大小的包,每個包都會包含壹些特定的信息,比如數據的源地址、目的地址、TCP/UDP源端口、目的端口等。防火墻通過讀取數據包中的地址信息來判斷這些“數據包”是否來自可信的安全站點。
壹旦發現來自危險網站的數據包,防火墻就會將其拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實施成本低。在應用環境簡單的情況下,能夠以較小的成本在壹定程度上保證系統的安全性。
但是包過濾技術的缺陷也是顯而易見的。包過濾技術是壹種完全基於網絡層的安全技術,只能根據數據包的來源、目的、端口等網絡信息進行判斷,無法識別基於應用層的惡意入侵,如惡意Java小程序、郵件附帶的病毒等。有經驗的黑客可以輕易地偽造IP地址,騙過包過濾防火墻。
2.2.網絡地址轉換
網絡地址轉換是壹種將IP地址轉換為臨時、外部和註冊IP地址的標準。它允許具有私有IP地址的內部網絡訪問互聯網。這也意味著不允許用戶獲得其網絡中每臺機器的註冊IP地址。
NAT的工作過程如圖1所示:
當內網通過安全網卡訪問外網時,會產生壹條映射記錄。系統將外發源地址和源端口映射到壹個偽裝的地址和端口,通過不安全的網卡將偽裝的地址和端口連接到外網,從而對外隱藏真實的內網地址。外網通過不安全的網卡訪問內網時,並不知道內網的連接,只是通過開放的IP地址和端口請求訪問。OLM防火墻根據預定義的映射規則判斷該訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求或將連接請求映射到不同的內部計算機。當不符合規則時,防火墻認為訪問不安全,不可接受,防火墻會屏蔽外部連接請求。網絡地址轉換的過程對用戶是透明的,用戶不需要設置,只需要做常規操作即可。
2.3.代理類型
代理防火墻也可以稱為代理服務器,其安全性高於包過濾產品,並且已經開始向應用層發展。代理服務器位於客戶端和服務器之間,完全阻斷了兩者之間的數據交換。從客戶端的角度來看,代理服務器相當於壹個真實的服務器;從服務器的角度來看,代理服務器是壹個真正的客戶端。當客戶端需要使用服務器上的數據時,首先向代理服務器發送數據請求,然後代理服務器根據這個請求向服務器請求數據,然後代理服務器將數據傳輸給客戶端。由於外部系統與內部服務器之間沒有直接的數據通道,外部惡意侵權很難對企業內部網絡系統造成危害。
代理防火墻的優點是安全性高,可以檢測和掃描應用層,對基於應用層的入侵和病毒非常有效。其缺點是對系統整體性能影響較大,對於客戶端可能生成的所有應用類型都必須壹壹設置代理服務器,大大增加了系統管理的復雜度。
2.4.監控類型
監控防火墻是新壹代的產品,這項技術實際上已經超越了防火墻最初的定義。監控防火墻可以主動實時監控各層數據。基於對這些數據的分析,監控防火墻可以有效地判斷各層的非法入侵。同時,這種檢測防火墻產品壹般都有分布式檢測器,安裝在各種應用服務器和其他網絡節點中,不僅可以檢測來自網絡外部的攻擊,對來自內部的惡意破壞也有很強的防範作用。據權威機構統計,針對網絡系統的攻擊有相當比例來自網絡內部。因此,監控防火墻不僅超越了傳統防火墻的定義,在安全性上也超越了前兩代產品。
雖然監控防火墻的安全性已經超越了包過濾防火墻和代理服務器防火墻,但是由於監控防火墻技術實施成本高、管理難度大,目前在實踐中第二代代理防火墻產品仍然是主要產品,但是監控防火墻在某些方面也開始使用。基於系統成本和安全技術成本的綜合考慮,用戶可以選擇性地使用壹些監控技術。這樣既能保證網絡系統的安全要求,又能有效控制安全系統的總擁有成本。
事實上,作為防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單壹使用具有更大的優勢。因為該產品是基於應用程序的,所以應用程序網關可以為協議提供過濾。比如可以過濾掉FTP連接中的PUT命令,通過代理應用,應用網關可以有效避免內網的信息泄露。正是由於應用網關的這些特點,應用過程中的矛盾主要集中在對各種網絡應用協議的有效支持和對網絡整體性能的影響上。
——劉大大
第三類:網絡安全技術分析
討論了防火墻部署的原則,並從防火墻部署的位置詳細闡述了防火墻的選擇標準。分析了信息交換加密技術的分類和RSA算法,並針對信息安全的核心技術PKI技術,探討了其安全體系的組成。
關鍵詞:網絡安全防火墻PKI技術
1.概觀
網絡防火墻技術作為內外網之間的第壹道安全屏障,是人們首先關註的網絡安全技術。就其產品的主流趨勢來看,大部分代理服務器(也稱應用網關)還集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。那麽我們應該在哪裏部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部互聯網的接口,以阻擋來自外網的入侵;其次,如果公司內部網絡很大,有虛擬局域網(VLAN),那麽VLAN之間要設置防火墻;第三,通過公網連接的總部和分支機構之間也要設置防火墻。如果條件允許,總部和分支機構也應組成虛擬專用網(VPN)。
安裝防火墻的基本原則是:只要有惡意入侵的可能,無論是內網還是與外部公網的連接處都要安裝防火墻。
2.防火墻的選擇
選擇防火墻有許多標準,但最重要的標準如下:
2.1.作為網絡系統安全屏障的防火墻產品的總擁有成本(TCO)不應超過受保護的網絡系統可能遭受最大損失的成本。以某非關鍵部門的網絡系統為例。如果系統中所有信息和支持的應用程序的總價值為65438+萬元,則該部門配備的防火墻的總成本不應超過65438+萬元。當然,對於關鍵部門,也要考慮到由此帶來的負面影響和連帶損失。如果只是粗略估算的話,非關鍵部門防火墻的購置成本應該不會超過網絡系統的總建設成本,而關鍵部門應該是另壹回事。
2.2.防火墻本身是安全的。
作為信息系統的安全產品,防火墻本身也要保證安全,不給外部入侵者可乘之機。如果像馬其頓防線壹樣,正面牢不可破,但攻擊者卻能輕易繞過防線進入系統,那麽網絡系統將毫無安全可言。
通常防火墻的安全問題來自兩個方面:壹個是防火墻本身的設計是否合理,壹般用戶根本無法從這種問題入手,只能通過權威認證機構的全面檢測來確定。所以對於用戶來說,保守的方法是選擇壹款通過了多家權威認證機構檢測的產品。二是使用不當。壹般來說,防火墻的許多配置需要由系統管理員手動修改。如果系統管理員對防火墻不是很熟悉,可能會在配置過程中留下很多安全漏洞。
2.3.管理和培訓
管理和培訓是評估防火墻質量的重要方面。我們已經說過,在計算防火墻的成本時,不僅要計算購置成本,還要考慮它的總擁有成本。人員培訓和日常維護費用通常占TCO的很大比例。壹個優秀的安全產品供應商必須為其用戶提供良好的培訓和售後服務。
2.4.可量測性
在網絡系統建設初期,由於內部信息系統規模較小,遭受攻擊造成的損失較小,因此不需要購買過於復雜和昂貴的防火墻產品。但是,隨著網絡的擴大和網絡應用的增加,網絡的風險成本也會急劇上升。這時候就需要添加安全性更高的防火墻產品。如果早期購買的防火墻不具備可擴展性,或者擴展成本極高,那就是浪費投資。壹個好的產品應該給用戶留下足夠靈活的空間。在安全性要求不高的情況下,用戶只能購買基本系統,但隨著要求的提高,用戶仍有進壹步增加選項的空間。這樣既能保護用戶的投資,又能為提供防火墻產品的廠商擴大產品覆蓋面。
2.5.防火墻安全
防火墻產品最難的是防火墻的安全性能,即防火墻能否有效阻擋外部入侵。這和防火墻本身的安全性是壹樣的,普通用戶通常無法判斷。即使安裝了防火墻,如果沒有實際的外部入侵,也沒有辦法知道產品的性能。然而,在實際應用中測試安全產品的性能是極其危險的。因此,用戶在選擇防火墻產品時,在占有較大市場份額的同時,應盡量選擇通過權威認證機構認證測試的產品。
3.加密技術
信息交換加密技術分為兩類:對稱加密和非對稱加密。
3.1.對稱加密技術
在對稱加密技術中,信息加密和解密使用同壹把鑰匙,也就是說壹把鑰匙開壹把鎖。這種加密方式可以簡化加密過程,信息交換雙方不需要相互研究和交換特殊的加密算法。如果私鑰在交換階段沒有被泄露,則可以保證機密性和消息完整性。對稱加密技術也有壹些缺點。如果壹方有n個交換對象,那麽他必須維護n個私鑰。對稱加密的另壹個問題是雙方共享壹個私鑰,雙方的任何信息都是用這個密鑰加密後傳輸給對方的。例如,triple DES是DES(數據加密標準)的變體。該方法使用兩個獨立的56密鑰對信息進行三次加密,使有效密鑰長度達到112位。
3.2.不對稱加密/公鑰加密
在非對稱加密系統中,密鑰被分解成壹對(即公鑰和私鑰)。這對密鑰中的任何壹個都可以作為公鑰(加密密鑰)以非保密的方式向其他人公開,而另壹個密鑰可以保存為私鑰(解密密鑰)。公鑰用於加密,私鑰用於解密。私鑰只能由生成密鑰的交換方掌握。公鑰可以廣泛發布,但它只對應生成密鑰的交換方。非對稱加密可以在不預先交換密鑰的情況下建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密系統壹般基於壹些已知的數學問題,這是計算機復雜性理論發展的必然結果。最具代表性的是RSA公鑰密碼體制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman在1977年提出的第壹個完善的公鑰密碼體制,其安全性是基於大整數分解的困難性。在RSA系統中,使用了這樣壹個基本事實:到目前為止,還找不到壹個有效的算法來分解兩個素數的乘積。RSA算法的描述如下:
公鑰:n=pq(p和Q是兩個不同的大素數,P和Q必須保密)。
e和(p-1)(q-1)互質
私鑰:d = e-1 { mod(p-1)(q-1)}
加密:c=me(mod n),其中m為明文,c為密文。
解密:m=cd(mod n)
利用目前已經掌握的知識和理論,2048位整數的分解已經超過了64位計算機的計算能力,所以在目前和可預見的未來都是足夠安全的。
4.PKI技術
PKI(公鑰基礎設施)技術是基於公鑰理論和技術提供安全服務的基礎設施。PKI技術是信息安全技術的核心,是電子商務的關鍵和基礎技術。由於通過網絡進行的電子商務、電子政務、電子事務等活動缺乏物理接觸,因此通過電子手段驗證信任關系就顯得非常重要。而PKI技術正是壹種適用於電子商務、電子政務、電子事務的密碼技術,可以有效解決電子商務應用中的機密性、真實性、完整性、不可否認性、訪問控制等安全問題。壹個實用的PKI系統應該是安全、易用、靈活和經濟的。它必須充分考慮互操作性和可伸縮性。它是認證機構(CA)、註冊機構(RA)、策略管理、密鑰和證書管理、密鑰備份和恢復、撤銷系統等功能模塊的有機結合。
4.1.認證機構
CA(認證作者)就是這樣壹個確保信任的權威實體。其主要職責是頒發證書和驗證用戶身份的真實性。CA頒發的網絡用戶電子身份證書。任何相信CA的人,根據第三方信任原則,也應該相信持有證書的用戶。CA也應該采取壹系列相應的措施來防止電子證書被偽造或篡改。建立壹個安全性強的CA非常重要,它不僅關系到密碼學,還關系到整個PKI系統的框架和模型。另外,靈活性也是CA能否被市場認可的壹個關鍵。它不需要支持各種通用的國際標準,可以很好地兼容其他廠商的CA產品。
4.2.註冊機構
Ra (registration authorship)是用戶與CA之間的接口,其獲得的用戶身份識別的準確性是CA頒發證書的基礎。RA不僅要支持面對面註冊,還要支持遠程註冊。為了保證整個PKI系統的安全性和靈活性,有必要設計和實現壹個網絡化的、安全的、易操作的RA系統。
4.3.政策管理
在PKI系統中,制定和實現科學的安全策略管理非常重要。這些安全策略必須適應不同的需求,並且可以通過CA和RA技術集成到CA和RA的系統實現中。同時,這些策略應滿足密碼學和系統安全的要求,科學應用密碼學和網絡安全的理論,具有良好的擴展性和互操作性。
4.4.關鍵備份和恢復
為了保證數據的安全,定期更新密鑰並恢復意外損壞的密鑰是非常重要的。設計和實施完善的密鑰管理方案以確保安全的密鑰備份、更新和恢復也是關系到整個PKI系統的健壯性、安全性和可用性的壹個重要因素。
4.5.證書管理和撤銷系統
證書是用於證明證書持有人身份的電子介質,它用於綁定證書持有人的身份及其對應的公鑰。通常,這種綁定在已頒發證書的整個生命周期中都有效。但有時會出現頒發的證書不再有效的情況,需要證書撤銷。證書吊銷的原因是多種多樣的,可能包括工作變動、密鑰存疑等壹系列原因。證書撤銷系統的實現是利用定期發布機制撤銷證書或在線查詢機制隨時查詢被撤銷的證書。
5.安全技術的研究現狀及趨勢
我國信息網絡安全研究經歷了通信保密和數據保護兩個階段,正在進入網絡信息安全研究階段。現在,防火墻、安全路由器、安全網關、黑客入侵檢測和系統漏洞掃描軟件已經開發出來。但由於信息網絡安全領域是壹個綜合性、跨學科的領域,它綜合運用數學、物理、生化信息技術、計算機技術等多學科的長期積累和最新發展成果,提出了壹個系統、完整、協同的信息網絡安全解決方案。目前應從安全體系結構、安全協議、現代密碼學理論、信息分析與監控和信息安全體系五個方面進行研究,各部分相互配合,形成壹個有機整體。
國際上對信息安全的研究起步較早,力度大,積累多,應用廣。20世紀70年代,美國網絡安全技術的基礎理論研究成果《計算機安全模型》(BEU & amp;在La padula模型的基礎上,規定了“可信計算機系統安全評估準則”(TCSEC),進而制定了網絡系統數據庫和壹系列安全說明,形成了安全信息系統的體系結構準則。作為信息安全的重要內容,安全協議的形式化分析始於20世紀80年代初。目前有基於狀態機、模態邏輯和代數工具的三種分析方法,但仍存在局限性和漏洞,處於發展和完善階段。密碼學作為信息安全的關鍵技術,近年來空前活躍,在美國、歐洲和亞洲頻繁召開密碼學與信息安全學術會議。美國學者在1976中提出的公鑰密碼體制克服了網絡信息系統中密鑰管理的困難,同時解決了數字簽名的問題。這是目前研究的熱點。目前,電子商務的安全性已經成為人們普遍關註的焦點,目前正處於研發階段,由此引發了對論證理論和密鑰管理的研究。由於計算機運算速度的不斷提高,各種密碼算法正面臨著新的密碼體系,如量子密碼、DNA密碼、混沌理論等新的密碼技術正在被探索。因此,網絡安全技術將成為21世紀信息網絡發展的關鍵技術。21世紀人類進入信息社會後,信息作為社會發展的重要戰略資源,需要網絡安全技術的有力保障,才能形成社會發展的驅動力。在我國,信息網絡安全技術的研究和產品開發還處於起步階段,還有大量的工作需要研究、開發和探索,才能走出壹條具有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,從而保障我國信息網絡的安全,促進我國國民經濟的快速發展。
慢慢來。。。。