《管理信息化网络信息安全与防火墙技术应用之探讨》由会员分享,可在线阅读,更多相关《管理信息化网络信息安全与防火墙技术应用之探讨(11页珍藏版)》请在金锄头文库上搜索。
1、网络信息安全与防火墙技术应用之探讨摘 要:随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。保障计算机系统的安全,尤其在当今网络互连的环境中,网络安全体系结构的考查和选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。但是,防火墙技术本身也有缺陷,我们还需要其他的技术来保障网络的安全。加密技术是这些技术中的典型。关键词:
2、网络安全;信息安全;防火墙漏洞;加密技术Abstract: With the development at full speed of Internet, the online security becomes a potential enormous problem gradually. The security of the network is that one involves problem with very extensive surface, among them will involve and form the question of criminal offence to
3、o. In its simplest form, what it cared about mainly is to guarantee that non-personnel cant read, let alone revise the message to other person. Security deal with the capture of legal news and problem of replay, and the question of whether the sender has ever send the news and ensure the security of
4、 computer system, especially in the environment of current network interconnection, the examine and choice of the system structure of online security seem particularly important. Adopting the traditional fire wall online security system structure can yet be regarded as a kind of simple and effective
5、 choice scheme. However, the technology of fire wall also has defects, we need other technology to ensure the security of the network. The encryption technology are models in the technology.Keywords: Network safety;Information safety;Loophole of fire wall;Encryption technology1引言 21世纪全世界的计算机都将通过Inte
6、rnet 联到一起,网络信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息和网络社会的时候,我国将建立起一套完善的网络安全体系,特别是从政策和法律上建立起有中国特色的网络安全体系。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义地说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方
7、面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一项非常复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,
8、几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈“网”色变,无所适从。但我们必须清楚地认识到,这一切的安全问题我们不可能一下子全部找到解决方案,况且有的是根本无法找到彻底的解决方案,例如病毒程序,由于任何反病毒程序都只能在新病毒发现之后才能开发出来,目前还没有哪一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒,所以我们不能有等网络安全了再上网的念头,因为或许网络不可能有这么一日,就像“矛”与“盾” ,网络与病毒、黑客永远是一对共存体。在当今网络互连的环境中,网络安全体系结构的考查和
9、选择显得尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。2防火墙防火墙是用来对因特网这种特定的连接段进行隔离的任何一台设备或一组设备,他们提供单一的控制点,从而允许或禁止在网络中的传输流1。通常有两种实现方案,即采用应用网关的应用层防火墙和采用过滤路由器的网络层防火墙。防火墙的结构模型可划分为策略(policy)和控制(control)两部分,前者是指是否赋予服务请求着相应的访问权限,后者对授权访问着的资源存取进行控制。2.1应用层防火墙(application-layer firewall)应用层防火墙可由下图简单示例: CFS图2.1 应用层防火墙其中C代表客户;F
10、代表防火墙而居于客户和提供相应服务的服务器S之间2。客户首先建立与防火墙间的运输层连接,而不是与服务器建立相应的连接。域名服务器DNS受到客户对服务器S的域名解析请求后,返回给客户一个服务重定向纪录(service redirection record),其中包含有防火墙的IP地址。 然后,客户与防火墙进行会话,从而使防火墙能够确定客户的标识,与此同时包含对服务器S的服务请求。接下来防火墙F判断客户C是否被授权访问相应的服务,若结果肯定,防火墙F建立自身同服务器S键的运输层连接,并充当二者间交互的中介。应用层防火墙不同于网络层防火墙之处在于,其可处理和检验任何通过的数据。但必须指出的是,针对不
11、同的应用它并没有一个统一的解决方案,而必须分别编码,这严重制约了它的可用性和通用性。另外,一旦防火墙崩溃,整个应用也将随之崩溃;由于其自身的特殊机制,带来的性能损失要比接下来介绍的网络层防火墙要大。2.2网络层防火墙(IP layer firewall)网络层防火墙的基本模型为一个多端口的IP层路由器,它对每个IP数据报都运用一系列规则进行匹配运算3,借以判断该数据报是否被前传或丢弃,也就是利用数据包头所提供的信息,IP数据报进行过滤(filter)处理。防火墙路由器具有一系列规则(rule),每条规则由分组刻面(packet profile)和动作(action)组成。分组刻面用来描述分组头
12、部某些域的值,主要有源IP地址,目的IP地址,协议号和其他关于源端和目的端的信息。防火墙的高速数据报前传路径(high speed datagram forwarding path)对每个分组应用相应规则进行分组刻面的匹配。若结果匹配,则执行相应动作。典型的动作包括:前传(forwarding),丢弃(dropping),返回失败信息(sending a failure response)和异常登记(logging for exception tacking)。一般而言,应包含一个缺省的规则,以便当所有规则均不匹配时,能够留一个出口,该规则通常对应一个丢弃动作。2.3策略控制层(policy
13、control level)现在引入策略控制层的概念,正是它在防火墙路由器中设置过滤器,以对客户的请求进行认证和权限校验,策略控制层由认证功能和权限校验功能两部分组成。前者用来验证用户的身份,而后者用来判断用户是否具有相应资源的访问权限。 CF1F2S / _ / / A1 Z1 图2.2 策略控制层如上图所示,C为客户,S为服务器,F1、F2为处于其间的两个防火墙。A1和X1分别为认证服务器和权限验证服务器。 首先由C向S发送一个数据报开始整个会话过程,客户C使用通常的DNSlookup和网络层路由机制。当分组到达防火墙F1时,F1将会进行一系列上述的匹配。由于该分组不可能与任何可接受的分组
14、刻面匹配,所以返回一个“Authentication Required”的标错信息给C,其中包括F1所信任的认证/权限校验服务器列表。然后客户C根据所返回的标错信息,箱认证服务器A1发出认证请求。利用从A1返回的票据,客户C向权限校验服务器Z1发出权限校验请求,其中包括所需的服务和匹配防火墙所需的刻面。Z1随之进行相应的校验操作,若校验结果正确,权限校验服务器Z1知会防火墙F1允许该分组通过。在客户器C的分组通过F1后,在防火墙F2 处还会被拒绝,从而各部分重复上述过程,通过下图可清晰的看到上述过程中各事件的发生和处理。 _ | C | A1 | Z1 | F1 | F2 | S _ | sendpkt | | | | | | to S -Intercept | | | | | requires | | | | | |authentication | | - - | | | | |authenticate |
