信息网络安全防火墙与加密技术.pdfVIP

信息网络安全:防火墙与加密技术 衰超伟 王桃荣 (Ab京邮电大学91信箱) 摘要 本文介绍了防火墙的三种实现技术(数据包过浦、应用网关或线路中继8R,Proxy)创麟点;讨论了 五种防火墙体系结构 (过掳路由器结构、双属网关、过滩式主机网关、过7虑式子网、吊带式结构)的安全性能 和系统复杂程度:阐述了数据加密的典型算法以及它们的几种应用 (数字签名、混合加密、安全网络服务、安全 应用服务):并针对不同规模安全需求的网络给出了几点建议。 一 引言 近几年来，随着Internet网络在国际和国内的飞速发展，信息服务作为一种产业日渐深入 人心，以win，技术为基础的多媒体信息服务也蓬勃发展起来。1994年，我国实现了与工nternet 的TCP/IP连接，开通了Internet的全功脚民务，首都通信网络建设己初具规模，陆续开通了 263.net,163.net,169.net。访问人数数以万计。政府上网工程启动，gov.on下的朔符域名己 达1470个，其中有720个政府部门拥有WWWA及务器面向社会提掷 良务，电子商务的应用势在必 行。在这种发展趋势下，信息网络前景十分广阔，因而网络的安全性越来越受到川门的关注。 安全性:信息网络安全的核心是基于Web的信息提供安全的访问控制。主要包括:数据的保 密性、完整性、身份鉴别、授权访问。目前应用的方法主要是防火墙和数据加密。 二 防火墙 防火墙技术是被动防卫性安全保障系统，它的特征是在网络边界上建立响应的网络通信监控 系统来实现网络安全。它要求所保护的网络是一个相对封闭的拓扑结构，只在有限出口与外界网 络相连接，并且假设不安全因素仅来自外部网络，建立防火墙就是利用专用安全软件、硬件以及 管理配置，对内部网络与外部网络之间的往来信,@进行监测、控制和修改。防火墙技术有数据包 过滤、应用网关 (或线路中继器)和Proxyt11. 数据包过滤工作在网络层和传输层，即在网络中适当的位置对数据包实施有选择通过。数 据包过滤防火墙有三种基本类型: 1边界路由器 2具有安全子网的边界路由器 3具有信息包过滤器的双归宿防御性主机 应用网关是建立在应用层上的协议过滤、转发功能，针对特别的网络应用服务协议指定过滤 逻辑，并可形成分析结果及处理措施的统计报告。应用网关与线路中继器相比有较大优势:它能 象功能强大的应用服务器一样向客户提供应用服务，更能严密监视与登录内部客户与外部 Internet系统之间的对话，其最大优点是客户软件不需改动，缺点是速度稍慢。 代理服务 (Proxyserver)将所有跨越防火墙的网络通信链路分为二段，防火墙内外计算机 系统之间的应用层的链接由两个终止于Proxyserver的链接来实现。 防火墙体系结构有五类[[3]:过滤路由器结构、双属网关、过滤式主机网关、过滤式子网、 过滤路由器基本上不能满足安全性能要求; 吊带式结构。其安全性能随着复杂程度的加深而变好。 SOCKS服务器可以做到对用户透明;过滤式主机网关由过滤路由器和运行网关软件 双属网关中的 主机完成多种功能，配置困难，主机是网络中的单失效点:过游式子网是把 的主机组成，缺点是 主机组成的子网中;吊带式结构中作为代理服务器的网关主机位于周边网络 主机功能分散到多个 中，另外增加了内部过滤路由器保护内部网络的安全，RA服务器和认证服务器是内部网络的第 一道防线，而内部路由器是第二道防线。把企业网络提供的公共服务置于周边网络中，育韵;减少 内部网络的风险，缺点是结构较复杂，缺少集成化产品。 根据网络对安全性要求的不同可将网络分为二低成本、低要求;中等要求;高成本、高要求。 下面对这三种网络的安全分别加以阐述 低成本、低要求网络:这种类型的网络一般是一些小型企业或个人站点。投入的资金和精力 相对较少，责任较为明确，来自内部的攻击相对较少，可采用信息包过滤器中的双归宿防御性主 机配置，它由边界路由器加一.个下游计算机化信息包过滤器，即防御性主机构成，它的缺点是增 加了网络的开销，性能的影响取决于报文过滤的程度，另外对通过防火墙建立TCP和UCP的连接 问题要建立渗透型的TCP/UCP连接解决。