【论文】防火墙与加密技术在网络安全中的应用.pdfVIP

科赫 信I息I科I学 防火墙与加密技术在网络安全中的应用 邵禹1康凯2 (1、大连市人民检察院检察技术处，辽宁大连1160122、大连市甘井子区政府，辽宁大连116000) 摘要：论述了防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以分析， 针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。 关键词：网络安全；防火墙；PKI技术 l概述 3防火墙的类型 么机密性和报文完整性就可以得以保证。 网络防火墙技术的作为内部网络与外部网 根据防火墙所采用的技术不同，我们可以将 4．2非对称加密／从开密钥加密。在非对称加 络之间的第一道安全屏障，是最先受到人们重视 它分为四种基本类型：包过滤型、网络地址转换一 密体系中，密钥被分解为一对(即公开密钥和私有 的网络安全技术，就其产品的主流趋势而言，大多 NAT、代理型和监测型。 密钥)。这对密钥中任何—把都可以作为公开密钥 数代理服务器(也称应用网关Ⅻi集成了包过滤技 3．1包过滤型。包过滤型产品是防火墙的初 (加密密钥)通过非保密方式向他人公开，而另一 术，这两种技术的混合应用显然比单独使用更具 级产品萁技术依据是网络中的分包传输技术。网 把作为私有密钥(解密密钥)加以保存。公开密钥 有大的优势。那么我们究竟应该在哪些地方部署 络上的数据都是以‘‘包”为单位进行传输的擞据被 用于加密，私有密钥用于解密，私有密钥只能有生 防火墙呢漕先应该安装防火墙的位置是内部网 分割成为—定大小的数据包每—个数据包中都会 成密钥的交换方掌握，公开密钥可广泛公布，但它 络与外部intemet的接口她以阻挡来自外部网络包含一些特定信息如数据的源地址、目标地址、 只对应于生成密钥的交换方。 的入侵淇次，如果内部网络规模较大’并且设置有 TCP／UDP源端口和目标端口等。防火墙通过读取 5PKI技术 PI(I(Publie 虚拟局域网(vLA地则应该在各个VLAN之间设数据包中的地址信息来判断这些“包”是否来自可 Key 置防火墙第三通过公网连接的总部与各分支机 信任的安全站点，一旦发现来自危险站点的数据 用公钥理论和技术建立的提供安全服务的基础设 构之间也应该设置防火墙，如果有条件，还应该同 包防火墙便会将这些数据抠之门外。系统管理员 施。PKI技术是信息安全技术的楱b，也是电子商 时将总部与各分支机构组成虚拟专用网ⅣPN)。 也可以根据实际情况灵活制订判断规则。 务的关键和基础技术。由于通过网络进行的电子 2防火墙的选择 商务、电子政务、电子事务等活动缺少物理接触， 3．2网络地址转化-NATo网络地址转换是一 选择防火墙的标准有很多，但最重要的是以 种用于把IP地址转换成临时的、外部的、注册的 因此使得用电子方式验证信任关系变得至关重 下几条： IP地址标准。它允许具有私有IP地址的内部网络要。而PKI技术恰好是一种适合电子商务、电子政 91防火墙的成本。防火墙产品作为网络系 访问因特网。它还意味着用户不许要为其网络中 务、电子事务的密码技术，他能够有效地解决电子 统的安全屏曦其总拥有成本∽0)不应该超过受 每一台棚蒜取得注册的IP地址。 商务应用中的机密性、真实性、完整性、不可否认 保护网络系统可能遭受最大损失的成本。以—个 33代理型。代理型防火墙也可以被称为代理 性和存取控制等安全问题。—个实用的PKI体系 非关键部门的网络系统为例披如其系统中的所有 服务器它的安全性要高于包过滤型产品并已经 应该是安全的易用的、灵活的和经济的。它必须充 信息及所支持应用的总价值为10万元则该部门 开始向应用层发展。代理服务器位于客户机与服 分考虑互操作性和可扩展性。它是认证机构(cA)、 历酪防火墙的总成本也不应该超过10万元。 务器