計算機網絡中防火墻技術的基本特點及運用

朱勇

作為內部網絡與外部網絡之間的第一道安全屏障網絡防火墻，是最先受到人們重視的網絡安全技術。那么我們究竟應該在哪些地方部署防火墻呢？首先應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；如果公司內部網絡規模較大，并且設置有虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻；通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網（VPN）。

一.安裝防火墻的基本原則

只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

二.防火墻的選擇。

一是總擁有成本防火墻產品作為網絡系統的安全屏障，其總擁有成本（TCO）不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算，非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本，關鍵部門則應另當別論。

二是防火墻本身是安全的 作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像馬其頓防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統內部，網絡系統也就沒有任何安全性可言了。 通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，這類問題一般用戶根本無從入手，只有通過權威認證機構的全面測試才能確定。所以對用戶來說，保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說，防火墻的許多配置需要系統管理員手工修改，如果系統管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

三是管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

四是防火墻的安全性 防火墻產品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的，所以用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

三.加密技術.

信息交換加密技術分為兩類：即對稱加密和非對稱加密。

①對稱加密技術 在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數據加密標準）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。

②非對稱加密/公開密鑰加密 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。

四.PKI技術。

PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。

①認證機構 CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容。

②注冊機構 RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統。

③密鑰備份和恢復 為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統強健性、安全性、可用性的重要因素。

綜上所述，防火墻技術對網絡安全有著重要的價值，在實際網絡運用中，我們必須重視對防火墻技術的學習和應用。