網路的出現對人們的生活和工作來帶了巨大的影響,進入21世紀後,人類社會全面進入網路時代。
隨著資訊技術的高速發展,網路平臺的快速發展為人們的工作和生活中各種活動的開展提供了良好、可靠的平臺,加上網路本身具有即時性和便捷性特徵,為人們高效、便捷地接收處理資訊創造了良好的條件。開放性是網路最突出的特點,這為所有人參與網路活動提供了可能。網路在為人們生活和工作帶來便利的同時,也為一些非法活動提供了機會,部分不法分子通過網路從事非法活動,對企、事業單位及個人的重要資訊資料造成了極大的威脅。近年來,網路安全風險問題發生的頻率不斷提高,不僅對人們的利益造成了極大的威脅,對社會經濟的發展產生了極大的負面影響。
網路安全問題已經成為了人們關注的重點問題之一,網路安全是網路應用的基礎。如果無法保障網路安全,導致重要資訊洩露,則使用者就可能逐漸遠離網路,這必然會對網路的發展造成較大的阻礙。網路的快速發展使網路已經成為了社會發展的支柱產業。如果網路的發展發生倒退,必然會對社會經濟的發展造成不利影響。因此,必須對網路安全風險問題高度重視。
下一代防火牆融合邊界對抗威脅所需的專業安全能力,通過簡單易用的方式交付,全面防護各類威脅,並具備多重智慧模型和智慧聯動手段,可持續對抗不斷出現的各類新風險。
在眾多影響防火牆安全性能的因素中,有些是管理人員可以控制的,但是有些卻是在選擇了防火牆之後便無法改變的特性,其中一個很關鍵的就是防火牆所使用的存取控制技術。目前防火牆的控制技術大概可分為:封包過濾型(Packet Filter)、封包檢驗型(Stateful Inspection Packet Filter)以及應用層閘通道型(Application Gateway)。這三種技術分別在安全性或效能上有其特點,不過一般人往往只注意防火牆的效能而忽略了安全性與效率之間的衝突。現針對防火牆這三種技術說明並進行比較各種方式的特色以及可能帶來的安全風險或效能損失。
1、包封過濾型:
封包過濾型的控制方式會檢查所有進出防火牆的封包標頭內容,如對來源及目地IP、使用協定、TCP或UDP的Port等資訊進行控制管理。現在的路由器、Switch Router以及某些作業系統已經具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴重缺點:管理複雜,無法對連線作完全的控制,規則設置的先後順序會嚴重影響結果,不易維護以及記錄功能少。
2、 封包檢驗型:
封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版,目的是增加封包過濾型的安全性,增加控制“連線”的能力。但由於封包檢驗的主要檢查對象仍是個別的封包,不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全,但其相對效能也越低。封包檢驗型防火牆在檢查不完全的情況下,可能會造成問題。去年被公佈的有關Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個為了增加效能的設計反而成了安全弱點。
3、 應用層閘通道型:
應用層閘通道型的防火牆採用將連線動作攔截,由一個特殊的代理程式來處理兩端間的連線的方式,並分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作,而不會被client端或server端欺騙,在管理上也不會像封包過濾型那麼複雜。但必須針對每一種應用寫一個專屬的代理程式,或用一個一般用途的代理程式來處理大部分連線。這種運作方式是最安全的方式,但也是效能最低的一種方式。
防火牆是為保護安全性而設計的,安全應是其主要考慮。因此,與其一味地要求效能,不如去思考如何在不影響效能的情況下提供最大的安全保護。與防⽕牆配合使⽤的安全技術還有資料加密技術是為提⾼資訊系統及資料的安全性和保密性,防⽌秘密資料被外部破析所采⽤的主要技術⼿段之⼀。隨著資訊技術的發展,網路安全與資訊保密⽇益引起⼈們的關注。⽬前各國除了從法律上、管理上加強資料的安全保護外,從技術上分別在軟體和硬體兩⽅⾯採取措施,動著資料加密技術和物理防範技術的不斷發展。按作⽤不同,資料加密技術主要分為資料傳輸、資料存儲、資料完整性的鑒別以及金鑰管理技術四種。
(1)資料傳輸加密技術。
⽬的是對傳輸中的資料流程加密,常⽤的⽅針有線路加密和端—端加密兩種。前者側重線上路上⽽不考慮信源與信宿,是對保密資訊通過各線路采⽤不同的加密金鑰提供安全保護。後者則指資訊由發送者端⾃動加密,並進⼊TCP/IP資料包回封,然後作為不可閱讀和不可識別的資料穿過互聯,當這些資訊⼀旦到達,⽬的地,被將⾃動重組、解密,成為可讀數據。
(2)資料存儲加密技術。
⽬是防⽌在存儲環節上的資料失密,可分為密⽂存儲和存取控制兩種。前者⼀般是通過加密演算法轉換、附加密碼、加密模組等⽅法實現; 後者則是對⽤戶資格、格限加以審查和限制,防⽌⾮法⽤戶存取資料或合法⽤戶越權存取資料。
(3)資料完整性鑒別技術。
⽬的是對介⼊資訊的傳送、存取、處理的⼈的⾝份和相關資料內容進⾏驗證,達到保密的要求,⼀般包括⼝令、金鑰、⾝份、資料等項的鑒別,系統通過對⽐驗證物件輸⼊的特徵值是否符合預先設定的參數,實現對資料的安全保護。
(4) 金鑰管理技術。
為了資料使⽤的⽅便,資料加密在許多場合集中表現為金鑰的應⽤,因此金鑰往往是保密與竊密的主要對象。金鑰的管理技術包括金鑰的產⽣、分配保存、更換與銷毀等各環節上的保密措施。
PKI(Public Key Infrastructure)技術就是利用公開金鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是資訊安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互通性和可擴展性。它是認證機構(CA)、註冊機構(RA)、策略管理、金鑰(Key)與證書(Certificate)管理、金鑰備份與恢復、撤銷系統等功能模組的有機結合。
(一)認證機構
CA(Certification Authority)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路使用者電子身份證明—證書,任何相信該CA的人,按照協力廠商信任原則,也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關係,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產品相容。
(二)註冊機構
RA(Registration Authority)是使用者和CA的介面,它所獲得的使用者標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠端登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網路化、安全的且易於操作的RA系統。
(三)金鑰備份和恢復
為了保證資料的安全性,應定期更新金鑰和恢復意外損壞的金鑰是非常重要的,設計和實現健全的金鑰管理方案,保證安全的金鑰備份、更新、恢復,也是關係到整個PKI系統強健性、安全性、可用性的重要因素。
