关于计算机网络防火墙技术特点及运用综述.docVIP

关于计算机网络防火墙技术特点及运用综述 　　[摘 要]“防火墙”日我们计算机网络的第一道安全屏障，它保护着我们的计算机信息的安全。了解和运用“防火墙”，可以使我们能更好的管理和维护计算机的信息安全。 　　[关键词]“防火墙”；计算机；网络；安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-914X（2017）12-0340-01 　　作为内部网络与外部网络之间的第一道安全屏障网络防火墙，是最先受到人们重视的网络安全技术。那么我们究竟应该在哪些地方部署防火墙呢？首先应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；如果公司内部网络规模?^大，并且设置有虚拟局域网（VLAN），则应该在各个VLAN之间设置防火墙；通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网（VPN）。 　　一.安装防火墙的基本原则 　　只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。 　　二.防火墙的选择 　　一是总拥有成本防火墙产品作为网络系统的安全屏障，其总拥有成本（TCO）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。 　　二是防火墙本身是安全的 作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。 通常，防火墙的安全性理由来自两个方面：其一是防火墙本身的设计是否合理，这类理由一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说，保守的策略是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说，防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。 　　三是管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到，在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 　　四是防火墙的安全性 防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断。即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。 　　三.加密技术 　　信息交换加密技术分为两类：即对称加密和非对称加密。 　　①对称加密技术 在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密策略可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个理由是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种策略使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。 　　②非对称加密/公开密钥加密 在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必定结果。最具有代表性是RSA公钥密码体制。 　　四.PKI技术 　　PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技