浅谈计算机网络安全与防范的几点看法(二)

此技术通过专用通信硬件和专有安全协议等安全机制来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明地支持多种网络应用，成为当前隔离技术的发展方向

常考的网络隔离技术有以下四种

①防火墙。

通过ACL隔离网络数据包是最常用的隔离方法。控制局限于传输层以下的攻击，对于病毒、木马、蠕虫等应用层的攻击毫无办法。适合小网络隔离，不适合大型、双向访向业务网络隔离。

②多重安全网关

多重安全网关( Unified Threat Management，UTM)被称为新一代防火墙，能做到从网络层到应用层的全面检测。UTM的功能有ACL、防入侵、防病毒、内容过滤、流量整形、防DOS。

③VLAN划分。

VLAN划分技术避免了广播风暴，解决了有效数据传递问题，通过划分VLAN隔离各类安全性部门。

④人工策略。

断开网络物理连接，使用人工方式交换数据，这种方式最安全、最直接。

三、防火墙技术

防火墙（Fire Wall）是网络关联的重要设备，用于控制网络之间的通信。外部网络用户的访问必须先经过安全策略过滤，而内部网络用户对外部网络的访问则无须过滤。现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能。

常见的三种防火墙技术：包过滤防火墙、代理服务器式防火墙、基于状态监测的防火墙。

①包过滤防火墙。

包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP、UDP、TCP、ICMP和其他协议。包过滤防火墙对通过防火墙的数据包进行检查，只有满足条件的数据包才能通过，对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则（如ACL）来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。

②代理服务器式防火墙。

代理服务器式防火墙对第四层到第七层的数据进行检查，与包过滤防火墙相比，需要更高的开销。用户经过建立会话状态并通过认证及授权后，才能访问到受保护的网络。压力较大的情况下，代理服务器防火墙工作很慢。ISA可以看成是代理服务器防火墙。

③基于状态检测的防火墙。

基于状态检测的防火墙检测每一个TCP、UDP之类的会话连接。基于状态的会话包含特定会话的源/目的地址、端口号、TCP序列号信息以及与此会话相关的其他标志信息。基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙性能比包过滤防火墙和代理服务器式防火墙要高。

四、加密算法与信息摘要

信息交换加密算法分为两类：即对称加密算法和非对称加密算法。

（一）对称加密算法

在加密密钥与解密秘钥相同算法，称之为对称加密算法。这种加密方法简化了加密过程，双方不必相互研究和交换专用加密算法。如果私钥在交换阶段没有受到损害，则可以保证机密性和消息完整性。对称加密技术也有一些缺点。如果交换方有N个交换对象，则需要维护N个私钥。 对称加密的另一个问题是双方共享私钥，并交换双方的任何信息。此密钥已加密并传输到另一方。 例如，Triple DES是DES（数据加密标准）的变体，它使用两个独立的56位密钥对信息进行三次加密，从而产生112位的有效密钥长度。常见的对称加密算法有：DES、3DES、RC5、IDEA、RC4。

（二）非对称加密算法

加密密钥和解密秘钥不相同的算法，称之为非对称加密算法，这种方式又称为公钥密码体制，解决了对称密钥算法的密钥分配与发送的问题。这对密钥中的任何一个都可以以非机密方式作为公钥（加密密钥）向其他密钥公开，而另一个密钥作为私钥（解密密钥）公开。公钥用于加密，私钥用于解密，私钥只能由生成密钥的交换方掌握，公钥可以广泛分发，但它只对应于交换方。生成了密钥。非对称加密方法使通信方能够在没有事先交换密钥的情况下建立安全通信，并且广泛用于诸如身份认证和数字签名之类的信息交换领域。非对称加密系统通常基于一些已知的数学问题，并且是计算机复杂性理论发展的必然结果。最具代表性的是RSA公钥密码系统。

五、数字签名与数字证书

（一）证书颁发机构

CA（Certification Authorty）是一个确保信任的可信实体，其主要职责是颁发证书并验证用户的身份。任何信任CA颁发的用于电子识别网络用户的CA证书的人必须信任根据第三方信任原则持有证书的用户。CA还采取了一系列对策来确保电子证书不会被伪造或篡改。创建一个不仅与加密相关的CA，而且还具有与整个PKI系统的体系结构和模型相关的强大安全性，这一点非常重要。 

（二）注册机构

RA(Registration Authority)是用户和CA的借口，从中获取的用户标识的准确性是CA颁发的证书的基础。 RA必须支持面对面注册和远程注册。为确保整个PKI系统的安全性和灵活性，您必须设计并实施网络化，安全且易于操作的RA系统。 

（三）密钥备份和恢复

为了数据安全，更新密钥并定期恢复意外损坏的密钥非常重要。设计并实施安全的密钥管理解决方案。密钥备份，更新和恢复对整个PKI系统的健壮性，安全性和可用性也至关重要。