網(wǎng)絡(luò)安全關(guān)鍵技術(shù)之防火墻技術(shù)

“防火墻”是一種形象的說(shuō)法，其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( Scurity Gateway)，而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。

防火墻有二類，標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包括一個(gè)UNIX工作站，該工作站的兩端各接一個(gè)路由器進(jìn)行緩沖。其中一個(gè)路由器的接口是外部世界，即公用網(wǎng)；另一個(gè)則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)防火墻使用專門的軟件，并要求較高的管理水平，而且在信息傳輸上有一定的延遲。

雙家網(wǎng)關(guān)(Dual Home Gateway) 則是標(biāo)準(zhǔn)防火墻的擴(kuò)充，又稱堡壘主機(jī)(Bation Host) 或應(yīng)用層網(wǎng)關(guān)(Applications Layer Gateway)，它是一個(gè)單個(gè)的系統(tǒng)，但卻能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。其優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用，同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。

隨著防火墻技術(shù)的進(jìn)步，雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置，一種是隱蔽主機(jī)網(wǎng)關(guān)，另一種是隱蔽智能網(wǎng)關(guān)( 隱蔽子網(wǎng))。隱蔽主機(jī)網(wǎng)關(guān)是當(dāng)前一種常見的防火墻配置。顧名思義，這種配置一方面將路由器進(jìn)行隱蔽，另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機(jī)。

堡壘主機(jī)裝在內(nèi)部網(wǎng)上，通過(guò)路由器的配置，使該堡壘主機(jī)成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進(jìn)行通信的唯一系統(tǒng)。目前技術(shù)最為復(fù)雜而且安全級(jí)別最商的防火墻是隱蔽智能網(wǎng)關(guān)，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn)。一般來(lái)說(shuō)，這種防火墻是最不容易被破壞的。

網(wǎng)絡(luò)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。

按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

(1)數(shù)據(jù)傳輸加密技術(shù)

目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，被將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。

2)數(shù)據(jù)存儲(chǔ)加密技術(shù)

目是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對(duì)用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。

(1)數(shù)據(jù)傳輸加密技術(shù)

目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，被將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。

2)數(shù)據(jù)存儲(chǔ)加密技術(shù)

目是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對(duì)用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。

(3)數(shù)據(jù)完整性鑒別技術(shù)

目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù) 據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別，系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。

(4) 密鑰管理技術(shù)

為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對(duì)象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

網(wǎng)絡(luò)安全關(guān)鍵技術(shù)之智能卡技術(shù)

與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個(gè)口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)達(dá)些防范措施都有一定的限度，并不是越安全就越可靠。

因而，在看一個(gè)內(nèi)部網(wǎng)是否安全時(shí)不僅要考察其手段，而更重要的是對(duì)該網(wǎng)絡(luò)所采取的各種措施，其中不光是物理防范，還有人員的素質(zhì)等其他“軟”因素，進(jìn)行綜合評(píng)估，從而得出是否安全的結(jié)論。

防火墻、數(shù)據(jù)加密、智能卡這三個(gè)技術(shù)的應(yīng)用給網(wǎng)絡(luò)安全領(lǐng)域帶來(lái)的貢獻(xiàn)是無(wú)法比擬的，希望通過(guò)以上的闡述，大家能夠清楚地認(rèn)識(shí)到這三個(gè)技術(shù)的內(nèi)容。

【編輯推薦】

1. 全面解析防火墻技術(shù)
2. 應(yīng)用防火墻能否擊敗DDoS攻擊
3. 網(wǎng)絡(luò)安全已成為企業(yè)競(jìng)爭(zhēng)力的威脅