摘要:本文針對防火牆的三種技術方式進行說明,並比較各種方式的特色以及可能帶來的安全風險或效能損失。 並就資訊交換加密技術的分類及RSA演算法作以分析,針對PKI技術這一資訊保安核心技術,論述了其安全體系的構成。
關鍵詞:網路安全;防火牆;PKI技術
一、防火牆技術
包封過濾型:封包過濾型的控制方式會檢查所有進出防火牆的封包標頭內容,如對來源及目地IP、使用協定、TCP或UDP的Port 等資訊進行控制管理。現在的路由器、Switch Router以及某些作業系統已經具有用Packet Filter控制的能力。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴重缺點:管理複雜,無法對連線作完全的控制,規則設定的先後順序會嚴重影響結果,不易維護以及記錄功能少。
封包檢驗型:封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版,目的是增加封包過濾型的安全性,增加控制“連線”的能力。但由於封包檢驗的主要檢查物件仍是個別的封包,不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全,但其相對效能也越低。
封包檢驗型防火牆在檢查不完全的情況下,可能會造成問題。被公佈的有關Firewall-1的Fast Mode TCP Fragment的安全弱點就是其中一例。這個為了增加效能的設計反而成了安全弱點。
應用層閘通道型:應用層閘通道型的防火牆採用將連線動作攔截,由一個特殊的代理程式來處理兩端間的連線的方式,並分析其連線內容是否符合應用協定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作,而不會被client端或server端欺騙,在管理上也不會像封包過濾型那麼複雜。但必須針對每一種應用寫一個專屬的代理程式,或用一個一般用途的代理程式來處理大部分連線。這種運作方式是最安全的方式,但也是效能最低的一種方式。
防火牆是為保護安全性而設計的,安全應是其主要考慮。因此,與其一味地要求效能,不如去思考如何在不影響效能的情況下提供最大的安全保護。
二、加密技術
資訊交換加密技術分為兩類:即對稱加密和非對稱加密。
1、 對稱加密技術
在對稱加密技術中,對資訊的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,資訊交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有金鑰未曾洩露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換物件,那麼他就要維護N個私有金鑰,對稱加密存在的另一個問題是雙方共享一把私有金鑰,交換雙方的任何資訊都是通過這把金鑰加密後傳送給對方的.。如三重DES是DES(資料加密標準)的一種變形,這種方法使用兩個獨立的56為金鑰對資訊進行3次加密,從而使有效金鑰長度達到112位。
2、非對稱加密/公開金鑰加密
在非對稱加密體系中,金鑰被分解為一對(即公開金鑰和私有金鑰)。這對金鑰中任何一把都可以作為公開金鑰(加密金鑰)通過非保密方式向他人公開,而另一把作為私有金鑰(解密金鑰)加以儲存。公開金鑰用於加密,私有金鑰用於解密,私有金鑰只能有生成金鑰的交換方掌握,公開金鑰可廣泛公佈,但它只對應於生成金鑰的交換方。非對稱加密方式可以使通訊雙方無須事先交換金鑰就可以建立安全通訊,廣泛應用於身份認證、數字簽名等資訊交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機複雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
三、PKI技術