摘要:本文針對防火牆的三種技術方式進行說明,並比較各種方式的特色以及可能帶來的安全風險或效能損失。 並就信息交換加密技術的分類及RSA算法作以分析,針對PKI技術這一信息安全核心技術,論述了其安全體系的構成。
關鍵詞:網絡安全;防火牆;PKI技術
一、防火牆技術
包封過濾型:封包過濾型的控制方式會檢查所有進出防火牆的封包標頭內容,如對來源及目地IP、使用協定、TCP或UDP的Port 等信息進行控制管理。現在的路由器、Switch Router以及某些操作系統已經具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴重缺點:管理複雜,無法對連線作完全的控制,規則設置的先後順序會嚴重影響結果,不易維護以及記錄功能少。
封包檢驗型:封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版,目的是增加封包過濾型的安全性,增加控制“連線”的能力。但由於封包檢驗的主要檢查對象仍是個別的封包,不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全,但其相對效能也越低。
封包檢驗型防火牆在檢查不完全的情況下,可能會造成問題。被公佈的有關Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個爲了增加效能的設計反而成了安全弱點。
應用層閘通道型:應用層閘通道型的防火牆採用將連線動作攔截,由一個特殊的代理程序來處理兩端間的連線的方式,並分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作,而不會被client端或server端欺騙,在管理上也不會像封包過濾型那麼複雜。但必須針對每一種應用寫一個專屬的代理程序,或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式,但也是效能最低的一種方式。
防火牆是爲保護安全性而設計的,安全應是其主要考慮。因此,與其一味地要求效能,不如去思考如何在不影響效能的情況下提供最大的安全保護。
二、加密技術
信息交換加密技術分爲兩類:即對稱加密和非對稱加密。
1、 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的.。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56爲密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2、非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解爲一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作爲公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作爲私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公佈,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機複雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
三、PKI技術