防火墙(Firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,用来加强因特网与内部网之间安全防范的一个或一组系统。它具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。它可以确定哪些内部服务允许外部访问,哪些外部服务可由内部人员访问。总之,它控制网络内外的信息交流,提供接入控制和审查跟踪,是一种访问控制机制。
一般防火墙具备以下特点:
①广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览、HTTP服务、FTP服务等;②通过对专用数据的加密支持,保证通过Internet进行的虚拟专用网商务活动不受破坏;③客户端认证只允许指定的用户访问内部网络或选择服务,是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;④反欺骗。欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则:一是凡是未被准许的就是禁止的.防火墙先是封锁所有的信息流,然后审查要求通过的信息,符合条件的就让通过。这是一种安全性高于一切的策略,其代价是网络的方便性受到限制,网络的应用范围和效率会有所降低。在这个策略下,会有很多安全的信息和用户被拒之门外。另一条策略与此正好相反,它坚持凡是未被禁止的就是允许的.防火墙先是转发所有的信息,起初这堵墙几乎不起作用,如同虚设;然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。在此策略下,网络的灵活性得到完整地保留。但是就怕漏过的信息太多,使安全风险加大,并且网络管理者往往疲于奔命,工作量增大。
不管是采用哪种策略,都是有其利也必有其弊,似乎很难两全其美。这就是计算机网络安全问题的现实,是由网络开放性与安全性存在根本性的矛盾决定的,在防火墙的策略上也是如此。
网络是动态发展的,制定的安全目标也是动态的理安全模式中,其结果是一旦网络结构调整,其先前定义的安全规则将很难适用,且维护起来非常困难。网络的物理结构不应改变这一条设定:通过充分规划、设计网络的逻辑结构,并满足今后应用发展的需要,以适应安全规则。正因为安全领域中有许多变动的因素,所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时,应符合可适应性的安全管理模型的原则,即:
安全=ZK(风险分析+执行策略+系统实施+漏洞监测+实时响应ZK)从而满足结合性与整体性相结合的要求。
现有的防火墙技术主要有两大类:数据包过滤技术和代理服务技术。
第一类是数据包过滤技术(PacketFilter)。它是在网络层对数据包实施有选择的放行。事先在防火墙内设定好一个过滤逻辑,对于通过防火墙数据流中的每一个数据包,根据其源地址、目的地址、所用的TCP端口与TCP链路状态等进行检查,确定它是否可以通过。数据包过滤技术的防火墙安装在网络的路由器上,网络之间的各个路由器,自己备有一份称之为黑名单的访问表,据以检查和过滤通过路由器的各种数据,凡是符合要求的就放行,不符合的就拒绝。由于路由器对任何的网络都是必需的,几乎所有的商用路由器都提供此项过滤功能,因此这种基于路由器的防火墙比较简单易行。全世界的网络上面有80%的防火墙是这种类型的。然而,它们并不能完全有效地防范非法攻击,入侵者还是能够比较容易地利用一些电子欺骗(Spoofing)的处理过程,伪装蒙混过关,致使它们的作用大打折扣。
第二类是代理服务技术(ProxyService)。这是一种基于代理服务器的防火墙技术,通常由两部分构成--客户与代理服务器连接,代理服务器再与外部服务器连接,而内部网络与外部网络之间没有直接的连接关系。一般来说,代理服务器都提供注册(Log)和审计(Audit)功能。注册功能对于一个服务器来说是不言而喻的。审计功能主要是指对网络系统资源的使用情况提供一个完备的记录,以便全面监督和控制网络。也就是说,该项功能提供一种分析能力,可以跟踪调查某些网上行为,对其中的一些非法行为提供有力的证据,然后向防火墙提出哪些是不受欢迎者,秘密地提交一份黑名单,并且对列入黑名单上的用户或地址实行封杀。
基于代理服务器上的防火墙比基于路由器上的防火墙安全保密性能要强一些,也要复杂一些。当然,基于代理服务器上的防火墙必须增加网络建设的成本,代理服务器需要增加硬件和软件的投入。
除了上述两种类型之外,还有其他一些防火墙,有的是上述两种防火墙的变种或改进,也有的是上述两种防火墙的综合。
屏蔽主机防火墙(ScreenedHostFirewall)就是采用一个包过滤路由器与外部网连接,用一个堡垒主机安装在内部网上,起着代理服务器的作用,是外部网所能到达的唯一节点,以此来确保内部网不受外部未授权用户的攻击,达到内部网安全保密的目的。
防火墙是有其局限性的:
①防火墙不能防止绕过防火墙的攻击。比如,一个企业内联网设置了防火墙,但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接,绕过了企业内联网的保护,为该网留下了一个供人攻击的后门,成了一个潜在的安全隐患。
②防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘,因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏,防火墙是无能为力的。
③防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
可喜的是,随着网络安全技术的发展,防火墙不能实现的一些功能,其他技术已经实现了。
其中奥妙,下小节分解。
验证数字证书数字证书(DigitalCertificate)是一种正在兴起的身份认证方法,它对报文收发和电子商务有着积极的影响。数字证书又叫数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限。在网上的电子交易中,如果双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子资金转移等各种用途。
数字证书就是一个数字文件,通常由四个部分组成:第一是证书持有人的姓名、地址等关键个人信息;第二是证书持有人的公开密钥;第三是证书序号、证书有效期等;第四是发证单位的数字签名。这种证书由特定的授权机构--CA中心发放,具有法律效率,是电子商务交往中个人或单位身份的有效证明,类似于现实世界中的身份证、护照等。数字证书可存贮在Java卡中随身携带,并用口令加以保护。
当收到一份进行过数字签名的报文时,你可以通过验证签发者的数字凭证来确认发送者的身份,保证报文传输过程中没有出错,并且证明该报文的真实性。当你发送报文时,你能够对它进行数字签发,并且你处发出。对于一份报文,可以附上多项数字凭证,形成一条数字凭证链。链中每项数字凭证用于鉴别前一项数字凭证,最高级别的认证中心必须是完全独立的,而且为用户充分信赖。其公用密钥必须是众所周知的,你对报文的接收方越熟悉,发送时附带数字凭证的必要性就越小。你也可以使用数字凭证来向安全性WWW服务器表明自己的身份,而一旦获得了一个数字凭证,你就能建立自己安全的网站或自动运用数字凭证的电子邮件。
数字证书通常分为三种类型:个人证书,企业证书,软件证书。
①个人证书(PersonalDigitalID)为某一个用户提供证书,以帮助个人在网上安全操作电子交易。个人身份的数字证书通常是安装在客户端的浏览器内,并通过安全的电子邮件来操作交易。网景公司的导航者(Navigator)浏览器和微软公司的探索者(InternetExplorer)浏览器都支持该功能。
个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发放个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。个人数字证书的使用方法集成在用户浏览器的相关功能中,他其实只要相应地选择一下就行了。个人数字证书有四个级别。第一级别是最简单的,只提供个人电子邮件地址的认证,仅与电子邮件地址有关,并不认证个人信息,是最初级的认证;第二级别提供个人姓名、个人身份(驾照、社会保险号、出生年月等)等信息的认证;第三个级别是在第二级别之上加上了充当信用支票的功能;第四级别包括证书所有人的职位、所属组织等,但还没有最后定型。
②企业证书,也就是服务器证书(ServerID),它是对网上的服务器提供的一个证书,拥有Web服务器的企业就可以用具有证书的Internet网站(WebSite)来做安全的电子交易。
拥有数字证书的服务器可以自动与客户加密通信,有证书的Web服务器会自动地将它跟客户端Web浏览器通信的信息加密。服务器的拥有者有了证书,就可以做安全电子交易了。
服务器证书的发放较为复杂。因为它是一个企业在网络上的形象,是企业在网络空间信任度的体现。
权威的认证中心对每一个申请者都要调查信用,包括企业基本情况、营业执照、纳税证明等;要考核该企业对服务器的管理情况,一般是通过事先准备好的详细验证步骤进行的,主要考虑是否有一套完善的管理规范;要考核该企业是否有完善的加密技术和保密措施;也要调查其设备的安全可靠性,包括是否有多层逻辑访问控制、生物统计扫描仪、红外线监视器等。认证中心经过考察后决定是否发放或撤销服务器数字证书。一旦决定发放后,该服务器就可以安装认证中心提供的服务器证书,安装成功后即可投入服务。服务器得到数字证书后,就会有一对密钥,数字证书与这对密钥一起表示该服务器的身份,是整个认证的核心。
③软件证书通常是为网上下载的软件提供证书,应用并不广泛。软件(开发者)证书(DeveloperID)通常为因特网下载的软件提供证书,该证书用于和微软公司Authenticode技术(合法化软化)结合的软件,让用户在下载软件时能获得所需的信息。
上述三类证书中前两类是常用的证书,第三类则用于较特殊的场合,大部分认证中心提供前两类证书,能提供齐全各类证书的认证中心并不普遍。
数字证书的管理非常重要,包括两方面的内容:一是颁发数字证书,二是撤销数字证书。在一些情况下,如密钥丢失或被窃,或者某个服务器变更了,就需要一种方法来验证数字证书的有效性,要建立一份可伸缩的证书取消清单并公诸于众。由于数字证书也要有相应的有效期,为此认证中心一般都制定相应的管理措施和政策,来管理其属下的数字证书。目前,数字证书可用于电子邮件、电子贸易、电子基金转移等,应用范围和效果还是有限的。现在的网络认证体系很不健全,在因特网上的信任度还很低。一些国家的银行和信用卡公司也在建立自己的认证体系,以保障它们自身的利益。
验证数字证书身份验证统指能够正确识别用户的各种方法,是为阻止非法用户的破坏所设,所以认证机构应当提供这些认证功能:
①可信性:信息的来源可信,即信息接收者能够确认所获得的信息不是由冒充者发出的;②完整性:信息在传输过程中保持完整性,即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换;③不可抵赖性:要求信息的发送方不能否认自己所发出的信息。同样,信息的接收方不能否认已收到了信息;④访问控制:拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源。
口令是当前最常用的身份认证方法。但是,众所周知,不少用户选择的口令水平太低,可以被有经验的黑客猜测出来。我们经常把口令认证叫做知道即可的认证方法,因为口令一旦被别人知道就丧失了其安全证方法,在这种认证方法中,用户进行身份认证时,必须使用令牌或IC卡之类的物理设备。
令牌是一种小型设备,只有IC卡或计算器那么大,可以随身携带。
这类产品经常使用一种挑战-应答(ChallengeResponse)技术。当用户试图建立网络连接时,网络上的认证服务器会发出挑战信息,用户把挑战信息键入到令牌设备后,令牌设备显示合适的应答信息,再由用户发送给认证服务器。很多令牌设备还要求用户键入PIN.IC卡认证与令牌认证比较相似,只不过前者需要使用IC卡读取器来处理挑战信息。
检验数字签名网络世界如同我们的现实生活,模仿、伪造签名的事件也时有发生,为制止此类不幸,数字签名便应运而生了。
数字签名,又叫电子签名,它不同于手工签名。
签名的作用有两点:一是因为自己的签名难以否认,从而确认了文件已经签署这一事实;二是因为签名不易伪造,从而确定了文件是真实的既定事实。手工签名具有固定不变、容易模仿、伪造、手续繁琐等缺点。数字签名则既可以做到保证签名者无法否认自己的签名,又可保证接收方无法伪造发送方的签名,还可以作为信息发送双方对某项争议的法律依据。
数字签名除了具有手工签名的全部功能外,还具有易更换、难伪造、可进行远程线路传递等优点,它是目前实现电子商务数据传输中安全保密的主要手段之一。在电子支付系统中,数字签名代替传统银行业务中在支票等纸面有价证券上的真实签名,它是产生同真实签名有相同效果的一种协议,用来保证报文等信息的一致性。
以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢这就是数字签名所要解决的问题。数字签名必须保证以下三点:
①接收者能够核实发送者对报文的签名。
②发送者事后不能抵赖对报文的签名。
③接收者不能伪造对报文的签名。