对核心网络安全技术的理解.docVIP

精品论文 参考文献 对核心网络安全技术的理解 陈永刚 （黑龙江省边防总队司令部通信技术处，哈尔滨 150000） 摘要：本文针对防火墙的三种技术方式进行说明,并就信息交换加密技术的分类及RSA算法作以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。 关键词：网络安全；防火墙；PKI技术 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2010) 05-0000-01 Understanding of Core Network Security Technology Chen Yonggang （Heilongjiang Frontier Corps Headquarters,Communication Technology Department,Harbin 150000,China） Abstract:In this article,it is instruction of three firewall technologies,and analysis the Encryption of information exchange and the RSA encryption algorithm.and describes the components of security architecture based on PKI,which is the core of the information security technology. Keywords:Network security;Firewall;PKI technology 一、引言 在众多影响防火墙安全性能的因素中，有些是管理人员可以控制的，但是有些却是在选择了防火墙之后便无法改变的特性，其中一个很关键的就是防火墙所使用的存取控制技术。目前防火墙的控制技术大概可分为：封包过滤型(Packet Filter)、封包检验型(Stateful Inspection Packet Filter)以及应用层闸通道型(Application Gateway）。这三种技术分别在安全性或效能上有其特点，不过一般人往往只注意防火墙的效能而忽略了安全性与效率之间的冲突。本文针对防火墙这三种技术进行说明，并比较各种方式的特色以及可能带来的安全风险或效能损失。 二、防火墙技术 包封过滤型：封包过滤型的控制方式会检查所有进出防火墙的封包标头内容，如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。封包过滤型控制方式最大的好处是效率高，但却有几个严重缺点：管理复杂，无法对连线作完全的控制，规则设置的先后顺序会严重影响结果，不易维护以及记录功能少。 封包检验型：封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的安全性，增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包，不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全，但其相对效能也越低。 封包检验型防火墙在检查不完全的情况下，可能会造成问题。去年被公布的有关Firewall-1的Fast Mode TCP Fragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。 应用层闸通道型：应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。 防火墙是为保护安全性而设计的，安全应是其主要考虑。因此，与其一味地要求效能，不如去思考如何在不影响效能的情况下提供最大的安全保护。 三、加密技术 信息交换加密技术分为两类：即对称加密和非对称加密。 （一）对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加