具有加密机制的防火墙研究.pdfVIP

中国计算机学会第12届网络与数据通信学术会议 华中师范大学2002年12月2-4同 具有加密机制的防火墙的研究 郭磊武优西武金木 (河北一I，业大学 计算机科学软件学院 天津 300130) 摘要： 随着Internet的迅速发展和广泛应用，网络和信息安全越来越受到人们的高度重 视。防火墙作为一种网络与系统之间强制实行的访问控制机制，是确保你的网络安全的重要手 段。但是当敏感数据或文件通过防火墙进入开放的网络进行传送时，如何保证这些敏感数据或 文件的完整性和保密性，防火墙就无能为力了。为此，引入加密技术来保证其完整性和保密 性。加密技术与防火培技术的强强联合，将使网络安全得以增强并在一个更大的范围得以实 现。如何构建一个具有加密机制的防火墙是本篇论文研究的重点。 关键词： Interne“网络安全，防火墙，包过滤 中图法分类号：TP3§3＼．08 0引言 在知识经济社会中，信息的数量之大，信息传播速度之快，是传统媒介所无法达到的。 的普及应用，使人们传统的生活水平方式和观念受到巨大的冲击和影响。从1988年到现在． Internet的用户人数以每6个月翻一番的速度急剧增长，有人也称之为“新摩尔定律”。据 量将达到3．2亿…。现在，互联网称为“第四大传媒”．Internet的触角已伸向了人类政治、 经济、文化、军事、外交、教育、金融、医疗、娱乐等方方面面．一疰拥有上亿人口的数字化 “虚拟城市”正在互联网上形成。Internet正以其跨越时间、空间限制的能力与触手可及的 便捷，改变着人们的生活方式与思维方式。 Internet的迅速发展为人们发布和检索信息提供方便，电子商务使得电子银行、在线 交易已成为人们日常生活的重要组成部分，这就要求网络服务提供相应的安全措施，以保证 r’大用户权益。网络黑客常常利用网络的安全漏洞有意或无意地开展各种各样的攻击，给许 等著名商业网站连续遭到黑客攻击，造成数十亿美元的损失，向世人再一次敲响了网络并不 安全的警钟”1。如何保证信息和网络自身安全性的问题，尤其是在开放互联环境中进行商务 等机密信息的交换中，如何保证信息在存取和传输中不被窃取、篡改，已成为企业非常关注 的问题。 首先针对企业的安全策略，关掉操作系统中的一些具有漏洞的函数和命令，限制远程登 业之间的业务数据交互采用加密、数字签名、鉴别等技术”…“”。防火墙作为一种网络系统之间 强制实行的访问控制机制，是确保你的网络安全的重要手段。从理论上讲，防火墙用来防止从 因特网上的各种危险传播到你的受保护网络之中故防火墙研究是目前网络安全的一个研究热点 “1。几乎目前已有的防火墙只能最大程度地保护你的受保护网络，但是当敏感数据通过防火墙进 入开放的网络进行传播时，如何保证这些数据的完整性、保密性，即保证敏感数据不被窃听、 篡改，防火墙就无能为力了。为此要引入加密技术以保证数据在传播中的完整性和保密性。加 密技术与防火墙技术的强强联合，将使得网络安全在一个更大的范围得以实现”1。如何构建一个 具有加密机制的防火墙是本论文研究的重点。 1理论基础 1．1防火墙分类 从防火墙功能实现的角度分析，防火墙一般分两类。一类是基于网络层的IP包过滤防火 墙；另一类是应用层实现的应用代理防火墙。这两类防火墙有着较明显的区别”1。 (1)IP包过滤防火墙 其安全性基于对包的IP地址的校验．在Internet上。所有信息都以包的形式传输的，信 息包中包含了发送方的IP地址和接收方的IP地址以及其它一些控制信息。包过滤防火墙工作 在网络层，通过截取流经防火墙的IP包，将所有通过的信息包的报头信息，如IP地址，TCP 端口，服务类型等信息读出，并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP 地址的信息包被防火墙过滤掉；符合规定的IP地址的信息包允许通过防火墙，以保证网络系 统的安全。包过滤防火墙的优点是性能高，对用户和应用透明”1． (2)应用代理防火墙 也称为代理服务器。当客户程序要访问应用服务器时，它必须先连接到代理服务器，由代 理服务器把客户的请求转发给应用服务器，再把应用服务器的响应转发给客户方．代理服务器 接收客户请求后会检查其合法性．如其合法，代理服务器象一台客户机一样取回所需的信息再 转发给客户。它将内部系统与外部隔离开来，从外部只能看到代理服务器而看不