WebST安全性-北京同方信息安全技术股份有限公司.doc

WebST与相关技术分析 技术白皮书 WebST与防火墙 WebST与SSL的比较分析  本手册及其中所包含内容的版权属得实发展集团所有。除版权法允许使用的方式外，未经事先书面许可，不得对全部或部分内容复制、转载、改编或翻译。 本手册及相应的软件受产品所附的《软件许可协议》的约束，只能在符合该许可协议条款下使用和复制。 得实发展集团尽最大努力保证本手册的准确性和完整性，对手册中的错误和遗漏不承担任何责任。对本手册内容可能随时修改，恕不另行通知。 WebST是得实发展集团注册商标，WebSEAL、NetSEAL、NetSEAT、Smart Junctions和DASCOM DCE是得实发展集团注册名称。 本手册提到的其它产品名称是各自公司的注册商标，特此声明。 1999年7月  目录 WebST与防火墙 一、 概述 1 二、 防火墙 1 1. 防火墙的主要功能 1 2. 防火墙的局限性 2 三、 WebST 安全技术 3 1. WebST安全技术 3 2. WebST的优势 3 四、 总结 4 WebST与SSL的比较分析 一、 概述 7 二、 WebST安全性 7 三、 基于公钥的SSL的安全性 8 四、 结论 9 WebST与防火墙 概述 WebST为企业的用户和计算资源提供了一个安全环境，它提供了通过加密实现的数据保密和安全，保证只有授权用户或用户组才能通过使用访问控制表和双向身份验证访问特定的资源。WebST将企业网的安全性扩展到防火墙以外，远程授权用户可以通过Internet对企业内部资源进行安全访问。另外WebST用来管理被所有用户访问的公共资源。 许多人用防火墙来阻止外部用户对企业内部资源的非授权访问。防火墙的设计思想是通过限制穿过防火墙的网络传输把非法用户挡在防火墙以外。而WebST的设计思想是为用户提供一致的数据安全和访问控制级别，对用户没有地理位置的限制。另外，WebST主要是提供用户到应用程序间的安全和访问控制，而防火墙主要是用来控制特定的网络协议传输能否通过防火墙。 WebST与防火墙结合使用可提供完整的安全网络解决方案。本文简述了传统防火墙及其局限性，概述了WebST 安全技术，说明了如何利用WebST和防火墙技术构造安全的企业网。 防火墙 防火墙的主要功能 本章简要介绍一下防火墙，有关防火墙的详细内容，请参阅以下书籍：Firewall and Internet Security Repelling the Wily Hacker, William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, Reading, MA, 1994 or Building Internet Firewalls, D. Brent Chapman and Elizabeth D. Zwicky, O’Reilly Associates, Inc., Sebastopol, CA, 1995. 防火墙是用来防止对企业网或Internet的非授权访问。它可以： 根据网络传输的类型决定IP包是否可以传进或传出企业网。通过这种控制，防火墙就可以： 阻止非授权用户访问企业内部资源。 允许使用授权机器的用户远程访问到企业内部。 管理企业内部人员对Internet的访问。 对通过防火墙的传输和企图突破防火墙的传输进行日志记录。 防火墙被用来在企业内部和外部Internet间建立一道固定的屏障，它主要由以下几部分组成： 包过滤器，它根据特定的标准（如IP包的源地址，传输类型）来决定网络传输的通断。 链路级网关和应用级网关或代理服务器，它将合法用户对某一服务的请求传送给提供该服务的服务器。例如，某用户用FTP连到FTP服务器代理上，该FTP代理再将该请求传给相应的FTP服务器。 许多企业将包过滤器，链路级网关和应用级网关结合起来使用，因为没有一种单一的方法能满足所有的要求。几台路由器联系起来作为包过滤器，几台安全主机（堡垒主机）作为链路级或应用级网关，互相协调控制网络传输的通断。安全主机也被用来提供一些服务，如：匿名FTP或网上一般用户的Web服务。一个典型的防火墙配置如下图所示： 外部包过滤器通常是一个路由器，被配置为使外部用户只能看到堡垒主机。不过外部包过滤器由ISP来配置，只能得到其中有限的选项。堡垒主机被作为应用级或链路级网关，提供代理服务。根据网络传输的类型和数量，可以配置多台堡垒主机。内部包过滤器被配置为只接收来自堡垒主机的向内传输且向外传给堡垒主机或外部包过滤器。 防火墙的局限性 防火墙对于企业网的安全是至关重要的，但