第7章加密和防火墙-Read.ppt

第7章 加密和防火墙 1）理解加密在防火墙体系结构中的作用 2）知道数字证书是怎么工作的 3）分析SSL、PGP以及其他加密方案的加密方式 4）使用Internet Protocal Security（IPSec），并辨别其协议和模式 防火墙被设计用来在数据包到达网络边界之前，检查其包含的信息，并根据包的内容和其规则集中的规则来检查每个数据包，然后决定是将包发往相应的位置，或是将其丢弃。 如果包的内容在传输中出错，又会怎样呢？如果包在到达防火墙之前被黑客截取并被修改，会怎样？防火墙本身并不能对包在到达防火墙之前或是离开受保护的网络之后进行控制。这也是防火墙和其他安全应用程序队离开受保护网络的数据包进行加密，对接收的数据包进行解密的一个原因。 7.1 为何防火墙需要使用加密技术 加密将常规信息变成经过编码的密文，从而保证信息的真实性、完整性、以及它们通过安全边界时的隐秘性。加密就是隐藏信息的过程，使它们除了预期的用户外不能被任何其他人读取。 防火墙并不总是执行加密相关的功能，它们初始时集中在IP转发和Network Address Translation（ＮＡＴ）等基本特性。 7.1 为何防火墙需要使用加密技术 7.1.1黑客们对未加密防护墙的利用 防火墙销售商给产品增加了加密功能，以便针对“攻击”提供防护。主动攻击也就是会话截取攻击，是针对服务器和客户端之间已建立的通信会话的攻击。黑客将具有迷惑性或误导性的指令插入数据包中，从而使服务器失效，而让黑客获得对会话的控制。这种攻击和“被动攻击”有所不同—被动攻击中程序扫描可被攻击的开放端口，例如包监听。 7.1 为何防火墙需要使用加密技术 7.1.2加密的代价 　加密是一个非常耗ＣＰＵ的处理过程。运行防火墙的堡垒主机需要足够强大，以处理加密，同时运行其他安全功能。另外，加密数据包也需要被填充为一种统一的长度，以保证一些算法能够有效地工作。 7.1 为何防火墙需要使用加密技术 7.1.3保证数据完整性 加密可保证信息的完整性，即信息内容的精确性。如果一个数据包经过了加密，那么黑客们就不能从其中获得信息，或者是以某种原来的生成者无法预料的方式破坏或打乱它的内容。 尽管加密减小了信息被破坏的可能性，但它却不是绝对可靠的。即使是经过加密的会话也可能会因为中间人攻击而出错。 7.1 为何防火墙需要使用加密技术 7.1.4维持机密性 对数据进行加密的一个最明显的理由是保持其隐秘性，除了预期的接受者外，信息对其他人都是不可读的。 7.1 为何防火墙需要使用加密技术 7.1.5对网络客户端进行身份验证 在Internet上，对信息的请求会达到网络边界处的防火墙，防火墙也需要相信个人声明的身份标识是否真实。 7.1 为何防火墙需要使用加密技术 7.1.6启用VPN VPN连接两个独立的局域网。加密技术是VPN的一个集成部分，用来完成两种任务： 1.加密能够让防火墙确定试图连接到VPN网络的用户是不是确定被授予了相关权限。 2.加密可以用来加密信息中的有效负载，从而保证其隐密性。 7.2数字证书、公钥和私钥 数字证书是包含一系列的被称为数字签名的加密数字和字符，它可以对发出该证书的个人进行身份验证。 数字证书和数字签名的基础是密钥，密钥可以让数字证书的持有者加密通信（使用私钥）或对通信内容进行解密（使用发送者的公钥）。 7.2.1数字证书 从防火墙的角度看，数字证书被用来传输称为公钥、私钥的加密代码，将其穿过防火墙从一个主机到另一台主机。数字证书有助于确认该数字证书持有人的身份，并且它们为企业的防火墙体系提供了另外一层安全特性。 1、私钥基础结构 2、查看数字证书 3、基于客户端和服务器的数字证书 7.2.2密钥 密钥是由某种算法生成的一个值，它也可以由一个算法处理来对文本进行加密，或对已加密的文本进行解密。密钥的长度决定了加密的安全等级。 1、公钥和密钥 2、加密的通信会话 3、管理密钥 4、使用在线密钥服务器 7.3分析流行的加密方案 7.3.1 对称加密和非对称加密 对称加密，两种密钥均是专用的，否则会话就不安全了。 对称密钥的缺点是其伸缩性问题。 对上万条密钥的需求可以通过，使用。非对称式加密使用 7.3分析流行的加密方案 7.3.2 PGP PGP是对称式加密和非对称式加密的混合系统。其目标是获得两种系统的使用优势：对称加密算法的速度和非对称加密算法的可伸缩性。PGP使用对称加密算法来产生一个随机的用于一个通信会话的会话密钥。 RSA加密算法 Diffle-Hellman加密算法 7.3分析流行的加密方案 7.3.3 X.50