版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、<p> 網(wǎng)絡(luò)防火墻的部署原則及加密技術(shù)概談</p><p> 【摘要】網(wǎng)絡(luò)防火墻是保障網(wǎng)絡(luò)安全的重要技術(shù)手段。本文論述了防火墻的部署原則,并就信息加密技術(shù)及其分類作了介紹。 </p><p> 【關(guān)鍵詞】網(wǎng)絡(luò)安全 防火墻 加密技術(shù) </p><p> 網(wǎng)絡(luò)防火墻作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)。就其產(chǎn)品
2、的主流趨勢(shì)而言,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總
3、部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。 </p><p> 安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則
4、該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,它所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。 . </p><p> 防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)
5、絡(luò)系統(tǒng)也就沒有任何安全性可言了。通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來說,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。.管理與培訓(xùn)。管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們
6、已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡單地計(jì)算購置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。.可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也</p><p> 信息加密技
7、術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。.對(duì)稱加密技術(shù)。在對(duì)稱加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象,那么他就要維護(hù)N個(gè)私有密鑰,對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這
8、把密鑰加密后傳送給對(duì)方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,從而使有效密鑰長度達(dá)到112位。.非對(duì)稱加密/公開密鑰加密。在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開
9、密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,</p><p> 就目前而言,我國信息網(wǎng)絡(luò)安全已經(jīng)研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果,提出
10、系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,還應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面入手,各部分相互協(xié)同形成有機(jī)整體。作為信息安全關(guān)鍵技術(shù)密碼學(xué),近年來亦較活躍。而電子商務(wù)的安全性已是當(dāng)前人們普遍關(guān)注的焦點(diǎn),目前正處于研究和發(fā)展階段,由于計(jì)算機(jī)運(yùn)算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索中。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍有大
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- isa防火墻部署與設(shè)置
- 防火墻技術(shù)論文
- 防火墻技術(shù)介紹
- 防火墻技術(shù)的研究
- 網(wǎng)絡(luò)防火墻對(duì)抗技術(shù)研究.pdf
- 防火墻技術(shù)指標(biāo)
- 防火墻測(cè)試技術(shù)綜述
- 防火墻技術(shù)研究
- 防火墻及防病毒技術(shù)
- 防火墻數(shù)據(jù)加密模塊的設(shè)計(jì)與實(shí)現(xiàn).pdf
- 網(wǎng)絡(luò)安全與防火墻技術(shù)的研究.pdf
- 防火墻技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用
- 防火墻試題及答案
- Internet網(wǎng)絡(luò)安全與防火墻技術(shù).pdf
- 防火墻論文
- dos命令 關(guān)閉windows系統(tǒng)防火墻 重置防火墻
- 防火墻的配置
- 防火墻及入侵檢測(cè)技術(shù)研究
- 防火墻及入侵檢測(cè)技術(shù)研究
- 防火墻的核心技術(shù)及工作原理
評(píng)論
0/150
提交評(píng)論