(3)证书签发和下载 (4)签名和验证 (5)证书的获取 (6)证书和目录查询 (7)证书撤销 (8)密钥备份和恢复 (9)自动密钥更新 (10)密钥历史档案 (11)交叉认证 (12)客户端软件 (13)时间戳服务
防火墙工作原理及应用
1.防火墙的基本概念
防火墙通常是指设置在不同网络(例如可信任的内部网络和不可信的外部网络)或网络安全域之间的一系列部件的组合。它是一种必不可少的安全增长点,是设置在被保护网络和外部网络之间的一道屏障,也是不同网络或网络安全域之间信息的唯一出入口,能根据网络安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础和核心控制设备,能够有效地监控内部网和互联网之间的任何活
21
动,防止发生不可预测的、潜在破坏性的侵入,从而保证内部网络的安全。
网络防火墙
2.
防火墙的主要功能
图6-1 网络防火墙Internet内 部 网防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。防火墙的功能主要表现在以下4个方面: (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄 3.防火墙的局限性
(1)防火墙不能防范不经由防火墙的攻击
22
(2)防火墙不能防止感染了病毒的软件或文件的传输 (3)防火墙不能防止数据驱动型攻击 (4)防火墙不能防范恶意的内部人员入侵 (5)防火墙不能防范不断更新的攻击方式 (6)防火墙难于管理和配置,易造成安全漏洞 (7)很难为用户在防火墙内外提供一致的安全策略
总之,一方面,防火墙在当今Internet世界中的存在是有生命力的;另一方面,防火墙不能替代内部谨慎的安全措施。因此,它不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分。 4.防火墙的分类
1)基于实现方法分类 ,包括:软件防火墙、硬件防火墙和专用防火墙
2)基于防火墙技术原理分类 ,包括:网络层防火墙技术和应用层防火墙技术。具体实现有包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙等。
3)基于防火墙硬件环境分类 ,包括:基于路由器的防火墙和基于主机系统的防火墙。
4)基于防火墙的功能分类 ,包括:FTP防火墙、Telnet防火墙、E-mail防火墙、病毒防火墙、个人防火墙等。 5。包过滤技术
23
包过滤(Packet Filtering,PF)是防火墙为系统提供安全保障的主要技术,可在网络层对进出网络的数据包进行有选择的控制与操作。包过滤操作一般都是在选择路由的同时,在网络层对数据包进行选择或过滤。
选择的依据是系统内设置的过滤逻辑,即访问控制表(Access Control Table,ACT)。由它指定允许哪些类型的数据包可以流入或流出内部网络。一般过滤规则是以IP数据包信息为基础,对IP数据包的源地址、目的地址、传输方向、分包、IP数据包封装协议、TCP/UDP目标端口号等进行筛选、过滤。
6。包过滤技术的优点
包过滤防火墙逻辑简单,价格低廉,易于安装和使用,网络性能和透明性好。
(1)不用改动应用程序
(2)一个过滤路由器能协助保护整个网络 。 (3)数据包过滤对用户透明 。 (4)过滤路由器速度快、效率高
总之,包过滤技术是一种通用、廉价、有效的安全手段。 7。包过滤技术的缺点 (1)安全性较差 (2)一些应用协议不适用
(3)正常的数据包过滤路由器无法执行某些安全策略
24
(4)不能彻底防止地址欺骗 (5)数据包工具存在很多局限性
包过滤是第一代防火墙技术,本身存在较多缺陷,不能提供较高的安全性。因此,在实际应用中,很少把包过滤技术当作单独的安全解决方案,通常是把它与应用网关配合使用或与其他防火墙技术揉合在一起使用,共同组成防火墙系统。 8。包过滤防火墙和代理防火墙技术比较 包过滤防火墙 代理防火墙 内置了专门为提高安全性而编制的代理应用程序, 价格较低 能够透彻地理解相关服务的命令,对来往的数据包 进行安全化处理 优 工作在IP和TCP层,所以点 处理数据包的速度快、 效率高 免了数据驱动式攻击 的发生,安全性好 能生成各项记录;能灵活、完全提供透明的服务,用户不用地控制进出的流量和内容; 改变客户端程序 能过滤数据内容 缺 定义复杂,容易出现因配置
不允许数据包直接通过火墙,避对于每项服务,代理可能要求不25