前言:中文期刊网精心挑选了防火墙的核心技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
防火墙的核心技术范文1
关键词:内部网络;外部网络;安全
一、防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点:根据应用程序访问规则可对应用程序连网动作进行过滤;对应用程序访问规则具有自学习功能;可实时监控,监视网络活动;具有日志,以记录网络访问动作的详细信息;被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全(见图1)。
二、防火墙主要技术特点
应用层采用Winsock 2 SPI进行网络数据控制、过滤;核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI;二是核心层封包过滤,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
三、网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
四、防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
五、设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值付出这种代价;和可用性相比,站点的安全性放在什么位置。
六、防火墙的不足
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击——一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献:
1、朱燕辉.WINDOWS防火墙与网络封包截获技术[M].电子工业出版社,2002.
防火墙的核心技术范文2
【关键词】应用识别 下一代防火墙
一、引言
随着互联网技术的发展,网络应用越来越多,因此协议端口号不等于应用、网络地址不等于用户,传统防火墙基于网络地址端口的五元组(源端口、目的端口、协议类型、源地址、目的地址)的访问控制规则已不能有效的应对目前网络环境的巨大变化。因此,一种新型的防火墙――下一代防火墙应运而生。
二、下一代防火墙的定义
鉴于传统防火墙在应对新应用和新流量所表现出的不足,国内外都开展了下一代防火墙技术的研究。国际著名的IT市场分析咨询机构Gartner认为,下一代防火墙至少应具备以下特征:(1)传统防火墙功能:即应当具备传统状态监测防火墙所应当具备的全部功能;(2)高速的处理性能:能够在不影响网络运行的情况下进行配置;(3)智能化联动:采用更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码,脚本等众多应用层威胁统一进行检测匹配等技术实现入侵防御系统策略与传统安全策略的融;(4)应用识别及身份鉴别的能力:应要具备极强的应用识别能力及用户身份鉴别的能力,以及将应用识别及身份鉴别与安全策略整合的能力。
综上所述,细粒度的应用识别是贯穿下一代防火墙的核心技术。
三、主要申请人和数量的分析
由于专利申请的申请人普遍分为:企业、科研院校和个人,而对检索的129件国内外专利申请进行分析可知,下一代防火墙专利申请的主要申请人主要还是企业,个人和科研院校的专利申请较少,检索出129篇专利中科研院校和个人仅有3篇,企业占126篇。而为了得出国内外下一代防火墙技术研究的先进企业,本文对这126篇专利也进行了分析,获得了主要申请人,分析结果如图1所示。
从图1可知,针对下一代防火墙技术专利的研究,国内外企业的申请量基本相等,说明下一代防火墙技术的提出,在国内外都获得了推广和研究。同时,如图3-1所示,深信服网络科技(深圳)有限公司和FORTINET公司分别以34件和29件应用层防火墙技术专利申请量高居第一和第二,其申请量总和几乎占到了总量的一半,其余关注下一代防火墙的企业(如PALO ALTO、网康和山石网科等)也分别提出了少量关于下一代防火墙技术的专利申请。
而近年来在杀毒软件领域有迅速发展的公司(如百度、奇智软件、趋势科技等)对下一代防火墙技术的申请量并不是很多,但是一般杀毒软件都会涉及到防火墙技术的研究,可能由于本文基于的检索分类号和关键词的局限性,导致了获取的文献也具有一定的局限性,造成对这些企业专利申请的遗漏。
防火墙的核心技术范文3
关键词:网络安全;防火墙;入侵检测技术;PKI技术
中图分类号:TP393.08文献标识码:A文章编号:16727800(2011)012013902
作者简介:宗波(1984-),男,江西宜春人,硕士,江西宜春学院助教,研究研究方向为网络安全。
0引言
随着高校校园网的普及,尤其是高校校园网上的网络应用变得越来越多,在带来了巨大信息量的同时,网络的不确定性也带来了私有信息和数据被盗取和破坏的可能,校园网络信息的安全性变得日益重要起来。
校园网络安全从技术上来说,主要由防入侵、防火墙等多个安全技术组成,单个技术都无法确保网络信息的全方位的安全。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、入侵检测技术、PKI技术等,以下就此几项技术分别进行分析。
1防火墙技术
防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
2入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signaturebased),另一种基于异常情况(anomalybased)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
3PKI技术
PKI(Publie Key Infrastucture)技术就是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施。PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。一个典型、完整、有效的PKI 应用系统至少应具有以下5个部分:
(1)认证中心。认证中心CA:CA是PKI 的核心,CA负责管理PKI 结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单,后面有CA的详细描述。
(2)X.500 目录服务器 。X.500 目录服务器用于用户的证书和黑名单信息,用户可通过标准的LDAP 协议查询自己或其他人的证书和下载黑名单信息。
(3)高强度密码算法。具有高强度密码算法(SSL)的安全WWW服务器 Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
(4)Web(安全通信平台)。Web 有Web Client 端和Web Server 端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。
(5)自开发安全应用系统。自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI 包括认证政策的制定(包括遵循的技术标准、各CA 之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。
4结束语
高校校园网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
[1]张海燕.浅谈校园网安全技术[J].青海社会科学,2008(3).
[2]邹丽英,孙小权.浅谈校园网络规划中的安全设计[J].实验技术与管理,2006(4).
[3]杨竣辉,黄婵.高校校园网络安全建设的思考[J].教育信息化,2006(7).
防火墙的核心技术范文4
【关键词】SPI NDIS 个人防火墙
一、引言
随着互联网技术的不断发展,个人用户在网络中的活动不仅仅是浏览网页和查询信息,越来越多的用户开通网上支付功能进行网上购物和炒股等商业性活动。如何防备计算机病毒和黑客的威胁成为用户非常关注的问题,越来越多的用户选择安装个人防火墙来抵御黑客的攻击,保护自己信息的安全,因此,研究和实现高性能的个人防火墙,提高个人计算机的安全是一件非常重要的工作。
个人防火墙的核心技术是网络数据包截获技术,在Windows平台上网络数据包的拦截有多种方案,本文选取核心态的NDIS中间驱动程序与用户态的Winsock2 SPI技术相结合。
二、应用层过滤的实现
(一)Winsock2 SPI技术原理
Winsock是为上层应用程序提供的一种标准网络接口,它为应用程序提供透明服务。而 SPI是Winsock 2.0版本提供的一种允许用户编写服务提供者接口程序的新机制,利用该技术在Winsock的下方插入一层或几层处理程序,完成诸如传输质量控制、扩展TCP/IP协议栈、封包过滤及网络安全控制等功能。
Winsock2 SPI对网络的传输是通过传输服务提供者来完成的,传输服务提供者又分为分层服务提供者和基础提供者如图1。
(二)SPI的实现
SPI的实现就是编写一个动态链接库,并且将其安装到Winsock目录中的基础服务提供者上,让应用程序先调用用户编写的服务提供者函数,实现数据的过滤。再由用户编写的服务提供者再调用下层的提供者。在本文所编写的分层服务提供者主要是截获了Ws_32.dll对以下7个函数的调用:WSPSocket、WSPBind、WSPCloseSocket、WSPAccept、WSPConnect、WSPSendTo、WSPRecvFrom。
(三)LSP的安装与卸载
本文中的用户层过滤模块实际上就是一个分层服务提供者。编写好服务提供者后,再将它安装在Winsock目录中:
(1)安 装 新 的 分 层 服 务 提 供 者 即 向 Winsock 目 录 中 安 装 一 个WSAPROTOCAL_INFO 结构(协议的入口),使创建套接字的应用程序可以枚举到它。
(2)每一个安装的提供者都必须用一个 GUID 唯一标识它的入口。在卸载 LSP 时,首先根据分层协议的 GUID 找到其目录 ID 号,然后逐个移除各协议链,最后再调用系统函数移除分层协议的提供者。
三、核心层过滤的实现
(一)NDIS中间驱动程序原理
NDIS中间驱动程序拓扑结构如图2所示。利用NDIS中间驱动程序可以在网卡驱动程序和传输驱动程序之间插入一层自己的处理,从而用来截获网络封包并重新进行封包、加密、网络地址转换和过滤等操作。中间层驱动源于Windows NT中的分层设计,允许系统在协议层驱动和微端口驱动之间存在任意多个中间层驱动,以完成所需的工作。
(二)NDIS中间驱动程序的实现
Windows 2003 DDK中的PassThru提供了一个用户接口框架,本核心层过滤模块就是在这个框架基础上进行扩展的。扩展的流程如下:
(1)驱动初始化过程DriverEntry。所有的驱动程序在开始调用前都要进行程序的初始化操作。这个初始化过程和DLL的初始化操作过程相似。
(2)微端口的注册。中间层驱动程序在进行为端口程序的注册时,调用NdisIMRegisterLayeredMiniport的导出函数。
(3)注册中间层驱动协议。在中间层驱动程序中,通过调用NdisRegisterProtoco1向NDIS注册Protocolxxx函数。
声明方式如下:
VOID
NdisRegisterProtocol(
OUT PNDIS_STATUS Status,
OUT PNDIS_HANDLE NdisProtocolHandler,
IN NDIS_PROTOCOL_CHARACTERISTICS Protoco1Charaeter-
istics,
IN UINT CharaeteristicsLength);
(4)IMD网络数据过滤。完成对中间层驱动程序的初始化后,网络数据到达物理网卡时,相应的网卡驱动就会调用相应的方法和函数通知上层接收这些网络数据。网卡驱动将会把这些数据的指针,记忆这些数据的大小信息通过函数结构传递给上一层。就需要将这些网络数据提取出来,进行安全性检查。
防火墙的核心技术范文5
【关键词】防火墙;网络;安全技术
如何更好地促进网络的有效运行,保障网络的安全环境,在很大程度上取决于防火墙的设置。网络安全问题成为了人们关注的焦点,防火墙可以说是解决网络安全问题最有效方式。
1.防火墙的概念
防火墙指的是在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最重要的目的就是通过对网络入、出环节的控制,促使各项环节都需要经过防火墙检查,进而有效预防网络遭到外来因素的破坏与干扰,进一步达到保护内部网络不受非法访问的目的。在本质上来讲,防火墙就是一种控制、隔离技术,在不安全的网络环境中积极构建相对安全的网络内部环境。站在逻辑层面来分析,防火墙不仅是一个限制器,还是一个分析器,防火墙要求所有网络数据流必须经过安全计划或策略确定,与此同时,在逻辑上对内外网络进行分离。目前来说,有的防火墙通过软件的方式在计算机上运行,有的防火墙以硬件形式固定在路由器中。从整体上来说,常用的防火墙分为三种:①包过滤防火墙。②服务器。③状态监视技术。
防火墙功能具有如下功能:①提高网络安全性能,防火墙的应用,能大幅度提升内部网络的安全性能,降低安全风险。防火墙还能够保护网络避免来自路由的攻击。防火墙能够拒绝各种不安全因素,并通知管理员。②强化网络安全,相对于传统的将安全问题分散到不同主机上的方式相比较,这种集中安全管理的防火墙更加经济、安全。③监控网络访问与存取,防火墙的应用,能够有效记录各种网络活动的开展,并且,对于可疑性的网络活动进行报警。能够为网络管理员提供全面的信息。一旦防火墙监控到可疑动作,就会自动报警,并提供攻击与监测的具体信息。④保护内部信息不被泄露。通过防火墙对内部网络的保护与划分,能够实现对内部重点网络的保护与隔离,进一步降低重点局部网络安全问题对于整个局域网内部的影响,有效保护内部信息不被泄露。
2.基于防火墙技术的网络安全架构
2.1选择防火墙
作为一种网络完全的有效防护方式,防火墙有多种类型的实现方式。在合理选择防火墙之前,需要全面的进行风险分析、需求分析,并进一步制定安全防范策略,针对性的选择防护方式,尽可能保持安全政策与防护方式的统一性。
2.2全面考虑防火墙失效并进行动态维护
在评价防火墙安全性以及性能过程中,一方面需要看防火墙工作是否正常,一方面需要看起能否阻挡非法访问或恶意攻击。如果防火墙被攻破,其状态是怎样的。按照一定的级别来划分,失效有四种情况:①在没有受到攻破时能进行正常工作。②在受到伤害时可以重新启动,并恢复到之前的工作界面。③禁止与关闭所有通行的数据。④关闭且允许数据继续通行。第一种与第二种状态比较理想化,第四种状态最不安全。在选择防火墙过程中,需要验证其失效状态,并进行准确评估。在安装防火墙以及防火墙投入以后,需要对其运行状态进行动态性维护,对其发展动态进行维护与跟踪,时刻保持商家动态并与之保持联系。一旦商家发现安全漏洞,就会积极推出补救措施,及时更新防火墙。
2.3全面指定防火墙可靠规则集
可靠规则集的制定是实现安全、成功防火墙的关键性步骤。如果防火墙的归集不正确,再强大的防火墙也起不到任何作用。第一,制定安全性策略,上级管理人员制定安全防范策略,防火墙是实施这一安全防范策略的工具。在制定规则集之前,必须全面掌握安全策略。建设其包含以下内容:①内部员工访问网络不受限制。②外部用户能够使用email服务器与web服务器。③管理员能远程访问其系统。在实际上来说,大部分部门的安全策略要远远超过上述内容。第二,积极构建安全体系,要想将一项安全策略积极转化成技术。第一个内容比较容易实现,内部网络中的所有数据信息都允许在网络上传输。对于第二项的安全策略来说比较麻烦,需要建立email服务器与web服务器,因为所有的人都能访问email服务器与web服务器,因此,不能信任他们。鉴于此,可以将email服务器与web服务器放到DMZ中去实现。DMZ作为一个孤立的网络,经常存放不被信任的系统,该网络中的系统无法连接、启动内部网络。第三项是必须让管理员远程控制他人的访问系统,要想实现这一功能,可以通过加密服务的方式进行。笔者建议在这一过程中需要加入DNS。在上述安全策略中虽然未陈述此项内容,但是,在实际运营过程中需要积极提供该服务。第三,规则次序的制定,规则次序的制定非常重要。不同的规则次序排列相同的规则,可能会深刻改变防火墙的运行情况。比如说,大部分防火墙按照顺序对数据包进行检查,收到第一个数据包与第一条规则相对应,收到第二个数据包与第二条规则相对应,一直进行对应。如果检查到匹配选项,就会停止检查。如果没有找到相匹配的规则,就会拒绝这个数据包。一般来说,比较特殊的规则应该放在前面,比较普通的放在后面。通过这样的方式,能有效避免防火墙的错误配置。第四,落实规则集,一旦确认了规则次数与安全防范策略,就要对规则集中的每条规则进行落实。在实际落实过程中,需要注意以下几个关键点。①将不必要的防火墙默认服务切断。②内部网络的所有人都能出网,任何服务都被允许,与安全策略规定相吻合。③增添锁定规则,除了管理员之外,其他人员都不能访问防火墙。④将不匹配的数据包丢弃,且不记录。⑤可以允许网络用户访问DNS。允许内部用户以及网络用户通过邮件传递协议访问邮件服务器。不允许内部用户对DMZ进行公开访问。允许内部进行POP访问。⑥拒绝、警告同时记录DMZ到内部用户之间的通话。⑦管理员能够通过加密方式进行内部网络的访问。⑧将最常用规则尽可能放到规则集上部,进一步提升防火墙安全性能。
3.结语
新形势下,加强给予防火墙墙技术的网络安全架构探析,对于提高网络安全具有重要意义,为此,还需要对防火墙技术进行深入探究,提高防火墙关键技术,保障网络环境安全。[科]
【参考文献】
[1]黄登玺,卿斯汉,蒙杨.防火墙核心技术的研究和高安全等级防火墙的设计[J].计算机科学,2011(02).
防火墙的核心技术范文6
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
