9.2 信息安全
9.2 信息安全
人们对信息安全的认识是一个由浅入深、由表及里的深化过程。随着信息科学和信息技术的发展和进步,人们对信息安全理论和信息安全技术的研究也不断取得令人鼓舞的成果。
9.2.1 信息安全的重要性
在信息时代,信息资源对于国家和民族的发展,对于人们的工作和生活都起着至关重要的作用,信息已经成为国民经济和社会发展的战略资源,信息安全问题业已成为影响国家大局和长远利益的重大关键问题。
9.2.2 信息安全的概念及特点
随着时代的发展,信息安全涉及的内容在不断延展,对信息安全的评价标准也在不断变化,这便导致了不同的人在不同的场合形成了对信息安全的多方面理解。
目前,世界上尚未对信息安全的定义达成一致。根据信息安全的一般属性,可以将信息安全定义为:保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。
欧盟将信息安全定义为:在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。
计算机信息安全是指计算机信息系统的硬件、软件、网络及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不会中断。计算机信息安全具有以下5方面的特点。
(1)保密性。
保密性是信息不被泄漏给非授权的用户、实体或过程,即防止信息泄露给非授权个人或实体,信息只为授权用户使用的特性。
(2)完整性。
完整性是信息未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被偶然或恶意地删除、修改、伪造等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。
(3)可用性。
可用性是信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
(4)真实性。
真实性也称为不可否认性。在信息系统的信息交互作用过程中,确信参与者的真实统一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收到信息。
(5)可控性。
可控性是对信息的传播及内容具有控制能力的特性,即授权机构可以随时控制信息的保密性。
9.2.3 计算机信息安全因素
信息系统的网络化提供了资源的共享性和用户使用的方便性,通过分布式处理提高了使用效率、可靠性和可扩充性,但同时也增加了信息系统的不安全性。
信息的安全所面临的威胁因素来自很多方面,并且随着时间的变化而变化。这些因素可以宏观地分为人为因素和自然因素。自然因素可能来自各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰以及设备的自然老化等,这些因素有时会直接威胁计算机信息安全,影响信息的存储媒体。人为因素又分为两种:一种是以操作失误为代表的偶然事故,另一种是以计算机犯罪为代表的恶意攻击。人为的偶然事故没有明显的恶意企图和目的,但它会使信息受到严重破坏。恶意攻击,通过攻击系统暴露的漏洞,使得网络信息的保密性、完整性、可用性等受到伤害,造成不可估量的经济和政治损失。
目前,计算机信息安全存在的恶意攻击主要表现在如下几个方面:
(1)非授权访问。
非授权访问是指没有预先经过同意,就使用网络或计算机资源,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。它主要有以下几种形式:假冒身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(2)信息泄露或丢失。
信息泄露或丢失是指敏感数据在有意或无意中被泄露出去或丢失。它通常包括:信息在传输中丢失或泄露,信息在存储介质中丢失或泄露,通过建立隐蔽隧道窃取重要信息等。
(3)破坏数据完整性。
破坏数据完整性是指以非法手段窃取对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
(4)拒绝服务攻击。
拒绝服务攻击是指不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
(5)传播病毒。
计算机病毒是指编制或者在计算机程序中插入的计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。目前,全世界已经发现了数万种计算机病毒,并且新的病毒还在不断出现。通过网络传播计算机病毒,其破坏性大大高于单击系统,并且用户很难防范。
9.2.4 计算机信息安全措施
信息安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全措施的限制、监视和保障职能。
1.信息安全措施的一般原则
(1)综合平衡代价原则。
任何计算机系统的安全问题都要根据系统的实际情况,包括系统的任务、功能、各环节的工作状况、系统需求和消除风险的代价,进行定性和定量相结合的分析,找出薄弱环节,制定规范化的集体措施。这些措施往往是需求、风险和代价综合平衡、相互折中的结果。
(2)整体综合分析与分级授权原则。
计算机系统包括人员、设备、软件、数据、网络和运行等环节,这些环节在系统安全中的地位、作用及影响只有从系统整体的角度去分析,才可能得出有效可行、合理恰当的结论。而且不同方案、不同安全措施的代价和效果不同,采用多种措施时需要进行综合研究,必须对业务系统每种应用和资源规定明确的使用权限,通过物理管理和技术管理有效地阻止一切越权行为。
(3)方便用户原则。
计算机系统安全的许多措施要用人去完成,如果措施过于复杂导致完成安全保密操作流程的要求过高,反而降低了系统安全性。例如,密钥的使用如果位数过多加大记忆难度,则会带来许多问题。
(4)灵活适应原则。
计算机系统的安全措施要留有余地,能比较容易地适应系统的变化。因为种种原因,系统需求、系统面临的风险都在变化,安全保密措施一定要考虑到出现不安全情况的应急措施、隔离措施、快速恢复措施,以限制事态的扩展。
(5)可评估性原则。
计算机信息安全措施应该能预先评价,并有相应的安全保密评价规范和准则。
2.计算机信息安全的三个层次
(1)安全立法。
法律是规范人们一般社会行为的准则。它从形式分有宪法、法律、法规、法令、条例和实施细则等多种形式。有关计算机系统的法律、法规和条例在内容上分成两类,即社会规范和技术规范。
(2)安全管理。
安全管理主要指一般的行政管理措施,即介于社会和技术措施之间的组织单位所属范围内的措施。建立信息安全管理体系要求全面地考虑各种因素,人为的、技术的、制度的和操作规范的,并且将这些因素综合进行考虑。
通过建立信息安全管理体系,对组织的业务过程进行分析,能够比较全面地识别各种影响业务连续性的风险,并通过管理系统自身的运行状态自我评价和持续改进,以达到更高的目标。
通过信息安全管理系统明确组织的信息安全范围,规定安全的权限和责任。信息处理必须在相应的控制措施保护的环境下进行。
(3)安全技术。
安全技术措施是计算机系统安全的重要保障,也是整个系统安全的物质技术基础。实施安全技术,不仅涉及计算机和外围设备,即通信和网络系统实体,还涉及数据安全、软件安全、网络安全、数据库安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术措施的实施应贯彻落实在系统的开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行维护和管理。计算机系统的安全技术措施是系统的有机组成部分,要和其他部分内容一样,用系统工程的思想、系统分析的方法,对系统的安全需求、风险和代价进行综合分析,从整体上进行综合考虑,采取相应的标准与对策,只有这样才能建立一个有安全保障的计算机信息系统。
9.2.5 信息安全技术
计算机网络系统中信息的传输比传统的信息传输更加方便快捷,但当用户提交敏感数据(银行账号和密码)时,总会担心自己的机密资料被他人截取并利用。确保数据和资源免遭破坏是信息安全的重要前提,加密技术是对信息进行保护的重要手段之一。数字签名是模拟现实生活中的笔迹签名,它要解决如何有效地防止通信双方的欺骗和抵赖行为。
1.数据加密技术
数据加密就是将被传输的数据转换成表面上杂乱无章的数据,合法的接收者通过逆变换可以恢复成原来的数据,而非法窃取得到的则是毫无意义的数据。
任何一个加密系统都是由明文、密文、加密算法和密钥4个部分组成。其中未进行加密的数据称为明文,通过加密伪装后的数据称为密文,加密所采取的变换方法称为变换算法,用于控制数据加密、解密过程的字符串称为密钥。
“替换加密法”就是用新的字符按照一定的规律来替换原来的字符。如用字符b替换a,c替换b,……,依此类推,最后用a替换z,则明文“flower”对应的密文就是“gmpxfs”,这里的密钥就是数字1,加密算法就是将每个字符的ASCII码值加1并做模26的求余运算。对于不知道密钥的人来说,“gmpxfs”就是一串无意义的字符,而合法的接收者只需将接收到的每个字符的ASCII码值减1并做模26的求余运算,就可以解密恢复为明文“flower”。
加密技术在网络中应用一般采用两种类型:对称式加密法和非对称加密法。
(1)对称式加密法。
对称式加密法又称密钥密码加密法,要求加密和解密双方使用相同的密钥。如图9-1所示,它主要有以下几个特点:
对称式加密法的安全性主要依赖以下两个因素:第一,加密算法必须是足够强的,即仅仅基于密文本身去解密在实践上是不可能做到的;第二,加密的安全性依赖于密钥的秘密性,而不是算法的秘密性。因此无需确保算法的秘密性,而需要保证密钥的秘密性。因为加密算法不需要保密,所以制造商可以开发出低成本的芯片以实现数据的加密,并适合于大规模生产,广泛应用于军事、外交和商业等领域。
图9-1 对称式加密法
对称式加密法的加密算法一般都是基于循环与迭代的思想,将简单的基本运算如移位、取余和变换运算构成对数据的非线性变换,达到加密和解密的目的,因此算法实现的速度极快,比较适合于加密数据量大的文件内容。
对称式加密法存在的最大问题是密钥的分发和管理非常复杂,代价高昂。在用户群不是很大的情况下,对称式加密法是有效的,但对于大型网络,用户群很大而且分布很广时,密钥的分配和保存就成了大问题,同时也增加了系统的开销。
对称式加密法最著名的算法有DES(美国数据加密标准)、AES(高级加密标准)和IDEA(欧洲数据加密标准)。
(2)非对称加密法。
非对称加密法又称公钥密码加密法,如图9-2所示,它使用两个密钥:公共密钥和私有密钥,这两个密钥在数学上是相关的,并且不能由公钥计算出对应的私钥,同样也不能由私钥计算出对应的公钥。它主要有以下几个特点:
非对称加密法的安全性主要依靠私钥的秘密性。公钥本身就是公开的,任何人都可以通过公开途径得到别人的公钥。非对称加密法的算法一般都是基于尖端的数学难题,计算非常复杂,它的安全性比对称加密法的安全性更高。
图9-2 非对称加密法
非对称加密法由于算法实现的复杂性导致了其加密的速度远低于对称加密法。通常被用来加密关键的核心的机密数据。
由于用于加密的公钥是公开的,密钥的分发和管理就很简单,公钥可以在通信双方之间公开传递,或在公用储备库中发布,但相关的私钥必须是保密的,只有使用私钥才能解密用公钥加密的数据,而使用私钥加密的数据只能用公钥来解密。
目前国际最著名的非对称加密法的算法是RSA算法,它的安全性是基于大整数因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的安全性。
在实际应用中可利用两种加密方式的优点,采用对称加密法来加密文件的内容,而采用非对称加密法来加密密钥,这就是混合加密系统,它较好地解决了运算速度问题和密钥分配管理问题。
2.数字签名技术
数字签名与传统的手写签名有很大的差别。首先,手写签名是被签署文件的物理组成部分,而数字签名不是;其次,手写签名不易复制,而数字签名正好相反,因此必须阻止一个数字签名的重复使用;手写签名时通过与一个真实的手写签名比较来进行验证的,而数字签名是通过一个公开的验证算法来验证的。
数字签名就是通过密码技术对电子文档形成的签名,它的目的是为了保证发送信息的真实性和完整性,解决网络通信中双方身份的确认,防止欺骗和抵赖行为的发生。
(1)数字签名的实现方法。
数字签名要能够实现网上身份的认证,必须满足以下三个要求:
①接收方可以确认发送方的真实身份。
②接收方不能伪造签名或篡改发送的信息。
③发送方不能抵赖自己的数字签名。
为了满足上述要求,数字签名采用了非对称加密法,就是发送方用自己的私钥来加密,接收方则利用发送方的公钥来解密。在实际应用中,一般将签名数据和被签名的电子文档一起发送,为了确保信息传输的安全和保密,通常采用加密传输的方式。
假设用户甲需要发送一个添加了数字签名的加密电子文档给用户乙,则主要包括以下几个步骤:
①甲利用自己的私钥来对电子文档进行加密实现数字签名。
②甲再利用用户乙的公钥对添加了签名数据的文档进行加密。
③用户乙收到密文以后,用自己的私钥对密文进行解密。
④ 用户乙再利用用户甲的公钥来解密,验证用户甲的数字签名的真伪。
(2)数字签名应用实例。
目前数字签名已经应用于网上安全支付系统、电子银行支付系统、电子证券系统、安全电子邮件系统、电子订票系统、网上购物系统等一系列电子商务应用的签名认证服务。
例如,要发送一封添加数字签名的电子邮件并对内容和附件进行加密,可按下述步骤操作:
①启动Outlook Express软件。
②执行“工具”→“数字签名”命令,就可以对指定的新邮件添加数字签名。
③执行“工具”→“加密”命令,就可以对指定的新邮件的内容和附件进行加密。如图9-3所示为添加了数字签名和加密的新邮件。
图9-3 添加数字签名和加密的新邮件
要能够添加数字签名,必须有一个公钥和相对应的私钥,而且还能够证明公钥持有者的合法身份,这就需要引入数字证书技术。
3.数字证书
数字证书就是包含了用户的身份信息,由权威认证中心(Certificate Authority,CA)签发,主要用于数字签名的一个数据文件,相当于一个网上身份证,能够帮助网络上各终端用户表明自己身份和识别对方的身份。
(1)数字证书的内容。
在国际电信联盟(International Telecommunication Union,ITU)制定的标准中,数字证书中包含了申请者和颁发者的信息,如表9-1所示。
表9-1 数字证书的内容
|
申请者的信息 |
颁发者的信息 |
|
证书序列号 |
颁发者的名称 |
|
证书主题 |
颁发者的数字签名 |
|
证书的有效期限 |
签名所使用的算法 |
|
证书所有人的公开密钥 |
|
(2)数字证书的应用。
数字证书可应用于网上交易、网上办公和邮件安全等方面。网上交易是利用数字安全证书,对交易双方进行身份确认以及资质的审核,确保交易者信息的唯一性和不可抵赖性,保护了交易双方的利益,实现安全交易。网上办公系统综合国内政府、企事业单位的办公特点,提供了一个虚拟的办公环境,并在该系统嵌入数字认证技术,展开网上文件的上传与下达,通过网络连接各个岗位的工作人员,通过数字安全证书进行数字加密和数字签名,实行跨部门运作,实现安全便捷的网上办公。邮件的发送方利用接收方的公开密钥对邮件进行加密,邮件接收方用自己的私有密钥解密,确保了邮件在传输过程中信息的安全性、完整性和唯一性。
(3)数字证书的管理。
数字证书是由CA颁发和管理的,数字证书一般分为个人数字证书和单位数字证书,申请证书的类别则有电子邮件保护证书、代码签名数字证书、服务器身份验证和客户身份验证证书等。如果用户要申请免费数字证书,可以浏览中国数字认证网。
9.2.6 防火墙技术
防火墙是防止火灾蔓延而设置的防火障碍。网络中的防火墙的功能与此类似,它是用于防止网络外部的恶意攻击对网络内部造成不良影响而设置的安全防护措施。随着Internet的迅速发展,网络安全已经成为人们日益关心的问题。在网络安全中,使用最广泛的就是防火墙技术。
1.防火墙概述
防火墙是一种专门用于保护网络内部安全的系统。如图9-4所示,它的作用是在本地网内部和网络外部之间构建网络通信的监控系统,用于监控所有进、出网络的数据流和访问者。根据预设的安全策略,防火墙对所有流通的数据流和访问者进行检查,只有符合安全标准的才可以通过。
安全技术上所说的防火墙,是指在两个网络之间加强访问控制的一套装置,通常是软件和硬件的组合体。它强制所有的访问或连接都必须经过这一保护层,在此进行检查和连接;只有被授权的通信才能通过此保护层,从而保护内部资源免遭非法入侵。在物理上,防火墙表现为一个或一组带特殊功能的网络设备。但防火墙并不仅仅用来提供一个网络安全保障的主机、路由器或多机系统,而是一整套保障网络安全的手段。它的目的是建立一个网络安全协议和机制,并通过网络配置、主机系统、路由器以及身份认证等手段来实现该安全协议和机制。
图9-4 防火墙示意图
上述的两个网络可以是一个单位的内部网和外部网,但并不是只有在内部网和Internet之间才可以或者有必要安装防火墙。防火墙可以用于各种互联网,如一个部门或一个公司的广域网,为了保护一个子网或部分主机群,也可以在子网边界设置防火墙。
防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下几个方面的特性。
(1)所有的内部网络和外部网络之间的传输的数据必须通过防火墙。
(2)只有被授权的合法数据及防火墙系统中安全策略允许的数据才可以通过防火墙。
(3)防火墙本身不受各种攻击的影响。
(4)人际界面良好,用户配置使用方便,易管理。
2.防火墙的功能
网络防火墙作为内部网和外部网之间的一个保护层,使内部网和外部网之间所有的信息流都必须通过防火墙,并通过监测、限制、更该所有流进流出防火墙的数据流,达到保护内部网免受非法入侵的目的。对于防火墙有两个基本要求:保证内部网络的安全性和保证内部网与外部网的连通性,这两者缺一不可。基于这两个基本要求,一个性能良好的防火墙系统应具备以下功能:
(1)控制不安全的服务。
防火墙可以控制不安全的服务,因为只有授权的协议和服务才能通过防火墙。这就大大降低了子网的暴露度,降低了受到非法攻击的风险性,从而提高了网络的安全度。防火墙能防止容易受攻击的服务,例如NFS(网络文件系统服务)进出子网,这使得子网免于遭受来自外界的基于该服务的攻击。防火墙还能防止基于路由的攻击,拒绝这种攻击试探并将情况通知系统管理员。
(2)站点访问控制。
防火墙还提供了对指定站点的访问控制,比如有些主机允许被外部网络访问,而有些则要被保护起来,防止不必要和不安全的访问。防火墙在网络的边界形成了一道关卡,通常在内部网中只有电子邮件服务器、文件传输协议服务器和WWW浏览服务器能被外部网访问,而其他的访问则被主机禁止。
(3)集中式的安全保护。
对于一个部门或公司来说,使用防火墙比不使用防火墙可能更经济一些。因为如果使用了防火墙,就可以将所有需要修改的软件和附加的安全软件都放在防火墙上,而不使用防火墙就必须将所有软件分散在各个主机上。使用防火墙,保护相对集中一些,经济上也相对便宜。尤其对于密码口令系统或身份认证软件等,放在防火墙系统中更是优于放在每台主机上。
(4)网络连接的日志记录及使用统计。
当防火墙系统被配置为内部网络所有与外部网络的连接均须经过安全系统时,防火墙系统就能够对所有的访问做出日志记录,这些日志是对一些可能的攻击进行分析和防范的重要的情报。防火墙还提供网络使用情况的统计数据,当发生可疑迹象时,防火墙进行适当的警告并提供网络是否受到监测和攻击的详细信息。此外,防火墙也能够对正常的网络使用情况做出统计,通过分析统计结果,可使网络资源得到更好的配置和使用。
(5)强化站点资源的私有属性。
对于一些站点其信息资源的私有属性(私有是指部门、团体或个人私有)是很重要的,使用防火墙后,这些站点就可以防止因DNS(域名服务)等服务泄露私有属性。即防火墙也能封锁域名服务信息,使Internet外部主机无法获取站点名和网址,通过封锁这些信息可防止攻击者获得可以利用的信息。
(6)其他安全控制。
各应用部门可以根据自己的特殊要求来配置防火墙系统,从而实现其他安全控制的功能,如有的防火墙还提供安全加密隧道进行远程管理。防火墙的应用简化了网络的安全管理。应该指出防火墙只是整体安全防范策略的一部分。这种安全策略必须包括全面的安全准则,即网络访问、当地和远程用户认证、拨入拨出呼叫、磁盘和数据加密以及病毒防护等有关的安全措施,网络易受攻击的各个环节都必须用相同的安全措施加以保护。
3.防火墙的主要类型
防火墙通常分为网络级防火墙和应用级防火墙。
(1)网络级防火墙。
网络级防火墙工作在网络层,采用数据包过滤技术来保护网络的安全,因此又称为包过滤型防火墙。如图9-5所示,它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。防火墙系统中设置了过滤规则,用来决定是同意还是拒绝数据包的通过。
当数据包到来时,包过滤防火墙检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等信息,把这些信息与防火墙的每条规则进行比较,若满足某条规则就按照规则的定义来处理;若没有一条规则符合,防火墙就会使用默认规则将丢弃该数据包。另外通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。包过滤型防火墙一般在路由器上实现。
图9-5 包过滤型防火墙
网络级防火墙的优点是逻辑简单,速度快,价格便宜,易于安装和使用,网络的性能和透明性好,它通常安装在路由器上。而路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要额外的费用。
但其弱点也非常明显:由于它只检查网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限的。且随着规则数目的增加,性能会受到很大影响;另外大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;最后此类防火墙的管理对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深的理解。因此过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(2)应用级防火墙。
应用级防火墙主要工作在应用层。它检查进出的数据包,通过自身复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用级防火墙能够理解应用层上的协议,能够做较复杂的访问控制,并做精细的注册和审核。应用级防火墙又分为两个类别:
· 应用级网关防火墙:应用级网关是在应用层上建立协议过滤和转发功能。它实现的特点是网络业务流不通过应用网关机传递。外部的访问仅允许到网关,内部的访问也仅允许到网关。本地用户必须注册到网关上,然后再从网关访问Internet。此外,位于网关内、外接口处的包过滤防火墙对它进行保护。应用级网关防火墙的示意图如图9-6所示。
图9-6 应用级网关防火墙示意图
由于应用级网关工作在应用层,因此它可针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
· 代理服务型防火墙:代理服务又称链路级网关或TCP通道。其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接,由两个终止代理服务器上的链接来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。代理服务型防火墙的示意图如图9-7所示。
|
图9-7 代理服务型防火墙示意图
|
代理应用能确保数据完整性,即数据适合于正在交换的服务,可对病毒进行过滤,并且能增强高级、细致的访问控制策略。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
(3)两类防火墙的比较。
网络级防火墙通过包过滤技术对经过路由器的IP包中的源地址及服务端口号进行检查;通过与系统设置的规则相对照,来确认哪些IP包允许通过,哪些IP包被屏蔽,这种防火墙不进行用户身份的验证,一般只作为网络的第一道安全屏障。
应用级防火墙常采用代理服务器来实现。代理服务器将客户机/服务器应用层通信链路分为两段,防火墙内部网络和外部网络都终止于代理服务器。从而在内部计算机系统和外部计算机系统之间建立一个隔离区。它在确认连接之前,先对用户进行身份认证、服务器类型核查等工作,以确保在客户机/服务器之间建立起可靠的连接。应用级防火墙安全性高,但每个网络服务都必须配置相应的代理服务软件,实现难度大。
为了实现更高的安全性,通常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。
4.防火墙的局限性
防火墙一般对于来自内部网络系统的安全威胁不具备防范功能,并且常常需要有特殊的较为封闭的网络拓扑结构来支持。防火墙对网络安全功能的加强往往以牺牲网络服务的灵活性、多样性、开放性及较大的网络管理开销为代价。它的局限性主要表现在以下几个方面。
(1)防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带中带走。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而可以不用接近防火墙。
(2)防火墙能够有效地防止通过它进行信息传输,然而不能防止不通过它而传输的信息。如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
(3)防火墙被用来防备已知的威胁,如果是一个良好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有新的威胁。
(4)防火墙不能有效防范病毒的入侵。虽然许多防火墙扫描所有通过的信息,以决定是否允许它通过内部网络,但扫描是针对源、目标地址和端口号的,而不扫描数据的确切内容。即使是先进的数据包过滤,在病毒防范上也是不实用的,因为病毒的种类太多,有许多种手段可使病毒在数据中隐藏。无论防火墙是多么安全,用户只能在防火墙后面清除病毒。