网络安全技术浅谈研究.pdfVIP

2005年中国科协学术年会论文集 281 网络安全技术浅谈 侯凯王振亚马玉民 河南省安阳市，河南安阳钢铁集团公司计控部 摘要：文中论述了防火墙部署原则，并从防火墙部署的位置详细阐述了防火墙的选择标准。并就信息交换 加密技术的分类及RSA算法作以分析，针对PKI技术这一信息安全核心技术，论述了其安全体系的 构成。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部 网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或 多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是 否被允许，并监视网络运行状态。就信息网络安全内涵发生的根本变化，阐述我国发展民族信息安 全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及 其主要技术特征。 关键词：网络安全防火墙PKI技术 一、概述 网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技 术，就其产品的主流趋势而言，大多数代理服务器(也称应用网关)也集成了包滤技术，这两种技术的混 合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先，应该安装防 火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部 接的总部与各分支机构之间也应该设嚣防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用 网(VPN)。 安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该 安装防火墙。 二、防火墙的选择 选择防火墙的标准有很多，但最重要的是以下几条： (一) 总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本(TCO)不应该超过受保护网络系统可 能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总 价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造 282 2005年中国科协学术年会论文集 成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网 络系统的建设总成本，关键部门则应另当别论。 (二)防火墙本身是安全的 作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防 线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性 可言了。 通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，这类问题一般用户根 本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说，保守的方法是选择一个通过多 家权威认证机构测试的产品。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如 果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。 (三)管理与培训 管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到，在计算防火墙的成本时，不能只简单地 一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 (四)可扩充性 在网络系统建设的初期，由于内部信息系统的规模较小，遭受攻击造成的损失也较小，因此没有必要 购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升， 此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性，或扩充成本极高，这 便是对投资的浪费。好的产品应该留给用户足够的弹性空间，在安全水平要求不高的情况下，可以只选购 基本系统，而随着要求的提高，用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资，，对提 供防火墙产品的厂商来说，也扩大了产品覆盖面。 (五)防火墙的安全性 防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防 火墙自身的安全性一样，普通用户通常无法判断。即使安