網(wǎng)絡(luò)信息安全與防火墻技術(shù)應(yīng)用之探討

1、網(wǎng)絡(luò)信息安全與防火墻技術(shù)應(yīng)用之探討摘 要：隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。保障計(jì)算機(jī)系統(tǒng)的安全，尤其在當(dāng)今網(wǎng)絡(luò)互連的環(huán)境中，網(wǎng)絡(luò)安全體系結(jié)構(gòu)的考查和選擇顯得尤為重要。采用傳統(tǒng)的防火墻網(wǎng)絡(luò)安全體系結(jié)構(gòu)不失為一種簡(jiǎn)單有效的選擇方案。但是，防火墻技術(shù)本身也有缺陷，我們還需要其他的技術(shù)來保障網(wǎng)絡(luò)的安全。加密技術(shù)是這些技術(shù)中的典型。關(guān)鍵詞：

2、網(wǎng)絡(luò)安全；信息安全；防火墻漏洞；加密技術(shù)Abstract: With the development at full speed of Internet, the online security becomes a potential enormous problem gradually. The security of the network is that one involves problem with very extensive surface, among them will involve and form the question of criminal offence to

3、o. In its simplest form, what it cared about mainly is to guarantee that non-personnel can't read, let alone revise the message to other person. Security deal with the capture of legal news and problem of replay, and the question of whether the sender has ever send the news and ensure the securi

4、ty of computer system, especially in the environment of current network interconnection, the examine and choice of the system structure of online security seem particularly important. Adopting the traditional fire wall online security system structure can yet be regarded as a kind of simple and effe

5、ctive choice scheme. However, the technology of fire wall also has defects, we need other technology to ensure the security of the network. The encryption technology are models in the technology.Keywords: Network safety；Information safety；Loophole of fire wall；Encryption technology1引言 21世紀(jì)全世界的計(jì)算機(jī)都將通

6、過Internet 聯(lián)到一起，網(wǎng)絡(luò)信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息和網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完善的網(wǎng)絡(luò)安全體系，特別是從政策和法律上建立起有中國(guó)特色的網(wǎng)絡(luò)安全體系。從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義地說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容

7、既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問題。隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一項(xiàng)非常復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷的向上攀升，所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會(huì)的焦點(diǎn)

8、中的焦點(diǎn)，幾乎沒有人不在談?wù)摼W(wǎng)絡(luò)上的安全問題，病毒、黑客程序、郵件炸彈、遠(yuǎn)程偵聽等這一切都無不讓人膽戰(zhàn)心驚。病毒、黑客的猖獗使身處今日網(wǎng)絡(luò)社會(huì)的人們感覺到談“網(wǎng)”色變，無所適從。但我們必須清楚地認(rèn)識(shí)到，這一切的安全問題我們不可能一下子全部找到解決方案，況且有的是根本無法找到徹底的解決方案，例如病毒程序，由于任何反病毒程序都只能在新病毒發(fā)現(xiàn)之后才能開發(fā)出來，目前還沒有哪一家反病毒軟件開發(fā)商敢承諾他們的軟件能查殺所有已知的和未知的病毒，所以我們不能有等網(wǎng)絡(luò)安全了再上網(wǎng)的念頭，因?yàn)榛蛟S網(wǎng)絡(luò)不可能有這么一日，就像“矛”與“盾” ，網(wǎng)絡(luò)與病毒、黑客永遠(yuǎn)是一對(duì)共存體。在當(dāng)今網(wǎng)絡(luò)互連的環(huán)境中，網(wǎng)絡(luò)安全體系結(jié)

9、構(gòu)的考查和選擇顯得尤為重要。采用傳統(tǒng)的防火墻網(wǎng)絡(luò)安全體系結(jié)構(gòu)不失為一種簡(jiǎn)單有效的選擇方案。2防火墻防火墻是用來對(duì)因特網(wǎng)這種特定的連接段進(jìn)行隔離的任何一臺(tái)設(shè)備或一組設(shè)備，他們提供單一的控制點(diǎn)，從而允許或禁止在網(wǎng)絡(luò)中的傳輸流1。通常有兩種實(shí)現(xiàn)方案，即采用應(yīng)用網(wǎng)關(guān)的應(yīng)用層防火墻和采用過濾路由器的網(wǎng)絡(luò)層防火墻。防火墻的結(jié)構(gòu)模型可劃分為策略(policy)和控制(control)兩部分，前者是指是否賦予服務(wù)請(qǐng)求著相應(yīng)的訪問權(quán)限，后者對(duì)授權(quán)訪問著的資源存取進(jìn)行控制。2.1應(yīng)用層防火墻（application-layer firewall）應(yīng)用層防火墻可由下圖簡(jiǎn)單示例： C<->F<-&g

10、t;S圖2.1 應(yīng)用層防火墻其中C代表客戶；F代表防火墻而居于客戶和提供相應(yīng)服務(wù)的服務(wù)器S之間2?？蛻羰紫冉⑴c防火墻間的運(yùn)輸層連接，而不是與服務(wù)器建立相應(yīng)的連接。域名服務(wù)器DNS受到客戶對(duì)服務(wù)器S的域名解析請(qǐng)求后，返回給客戶一個(gè)服務(wù)重定向紀(jì)錄(service redirection record)，其中包含有防火墻的IP地址。 然后，客戶與防火墻進(jìn)行會(huì)話，從而使防火墻能夠確定客戶的標(biāo)識(shí)，與此同時(shí)包含對(duì)服務(wù)器S的服務(wù)請(qǐng)求。接下來防火墻F判斷客戶C是否被授權(quán)訪問相應(yīng)的服務(wù)，若結(jié)果肯定，防火墻F建立自身同服務(wù)器S鍵的運(yùn)輸層連接，并充當(dāng)二者間交互的中介。應(yīng)用層防火墻不同于網(wǎng)絡(luò)層防火墻之處在于，其可處

11、理和檢驗(yàn)任何通過的數(shù)據(jù)。但必須指出的是，針對(duì)不同的應(yīng)用它并沒有一個(gè)統(tǒng)一的解決方案，而必須分別編碼，這嚴(yán)重制約了它的可用性和通用性。另外，一旦防火墻崩潰，整個(gè)應(yīng)用也將隨之崩潰；由于其自身的特殊機(jī)制，帶來的性能損失要比接下來介紹的網(wǎng)絡(luò)層防火墻要大。2.2網(wǎng)絡(luò)層防火墻（IP layer firewall）網(wǎng)絡(luò)層防火墻的基本模型為一個(gè)多端口的IP層路由器，它對(duì)每個(gè)IP數(shù)據(jù)報(bào)都運(yùn)用一系列規(guī)則進(jìn)行匹配運(yùn)算3，借以判斷該數(shù)據(jù)報(bào)是否被前傳或丟棄，也就是利用數(shù)據(jù)包頭所提供的信息，IP數(shù)據(jù)報(bào)進(jìn)行過濾(filter)處理。防火墻路由器具有一系列規(guī)則(rule)，每條規(guī)則由分組刻面(packet profile)和動(dòng)

12、作(action)組成。分組刻面用來描述分組頭部某些域的值，主要有源IP地址，目的IP地址，協(xié)議號(hào)和其他關(guān)于源端和目的端的信息。防火墻的高速數(shù)據(jù)報(bào)前傳路徑(high speed datagram forwarding path)對(duì)每個(gè)分組應(yīng)用相應(yīng)規(guī)則進(jìn)行分組刻面的匹配。若結(jié)果匹配，則執(zhí)行相應(yīng)動(dòng)作。典型的動(dòng)作包括：前傳(forwarding)，丟棄(dropping)，返回失敗信息(sending a failure response)和異常登記(logging for exception tacking)。一般而言，應(yīng)包含一個(gè)缺省的規(guī)則，以便當(dāng)所有規(guī)則均不匹配時(shí)，能夠留一個(gè)出口，該規(guī)則通常對(duì)應(yīng)

13、一個(gè)丟棄動(dòng)作。2.3策略控制層（policy control level）現(xiàn)在引入策略控制層的概念，正是它在防火墻路由器中設(shè)置過濾器，以對(duì)客戶的請(qǐng)求進(jìn)行認(rèn)證和權(quán)限校驗(yàn)，策略控制層由認(rèn)證功能和權(quán)限校驗(yàn)功能兩部分組成。前者用來驗(yàn)證用戶的身份，而后者用來判斷用戶是否具有相應(yīng)資源的訪問權(quán)限。 C<->F1<->F2<->S / _ / / A1 Z1 圖2.2 策略控制層如上圖所示，C為客戶，S為服務(wù)器，F(xiàn)1、F2為處于其間的兩個(gè)防火墻。A1和X1分別為認(rèn)證服務(wù)器和權(quán)限驗(yàn)證服務(wù)器。 首先由C向S發(fā)送一個(gè)數(shù)據(jù)報(bào)開始整個(gè)會(huì)話過程，客戶C使用通常的DNSlookup和網(wǎng)絡(luò)

14、層路由機(jī)制。當(dāng)分組到達(dá)防火墻F1時(shí)，F(xiàn)1將會(huì)進(jìn)行一系列上述的匹配。由于該分組不可能與任何可接受的分組刻面匹配，所以返回一個(gè)“Authentication Required”的標(biāo)錯(cuò)信息給C，其中包括F1所信任的認(rèn)證/權(quán)限校驗(yàn)服務(wù)器列表。然后客戶C根據(jù)所返回的標(biāo)錯(cuò)信息，箱認(rèn)證服務(wù)器A1發(fā)出認(rèn)證請(qǐng)求。利用從A1返回的票據(jù)，客戶C向權(quán)限校驗(yàn)服務(wù)器Z1發(fā)出權(quán)限校驗(yàn)請(qǐng)求，其中包括所需的服務(wù)和匹配防火墻所需的刻面。Z1隨之進(jìn)行相應(yīng)的校驗(yàn)操作，若校驗(yàn)結(jié)果正確，權(quán)限校驗(yàn)服務(wù)器Z1知會(huì)防火墻F1允許該分組通過。在客戶器C的分組通過F1后，在防火墻F2 處還會(huì)被拒絕，從而各部分重復(fù)上述過程，通過下圖可清晰的看到上述

15、過程中各事件的發(fā)生和處理。 _ | C | A1 | Z1 | F1 | F2 | S _ | sendpkt | | | | | | to S ->Intercept | | | | | requires | | | | | |authentication | | < - - | | | | |authenticate | | | | |C to A1-> | | | | |Provide | | | | | <-ticket | | | |Request | | | | | |Authorization | | | | | ->is C | | | | | |

16、 Alowed | | | | | | OK -> | | |Resend | | |Set filter | | |first pkt | | | | |to S ->(OK)-> | | . | 圖2.3網(wǎng)絡(luò)防火墻技術(shù)是一項(xiàng)安全有效的防范技術(shù)，主要功能是控制對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問。通過監(jiān)視等措施，限制或更改進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，從而對(duì)外屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)。防火墻將提供給外部使用的服務(wù)器，通過一定技術(shù)的設(shè)備隔離開來，使這些設(shè)備形成一個(gè)保護(hù)區(qū)，即防火區(qū)。它隔離內(nèi)部網(wǎng)與外部網(wǎng)，并提供存取機(jī)制與保密服務(wù)，使內(nèi)部網(wǎng)有選擇的與外部網(wǎng)進(jìn)行信息交換；根據(jù)需要對(duì)內(nèi)部網(wǎng)絡(luò)訪

17、問的INTERNET進(jìn)行控制，包括設(shè)計(jì)流量，訪問內(nèi)容等方面，使內(nèi)部網(wǎng)絡(luò)與INTERNET的網(wǎng)絡(luò)得到隔離，內(nèi)部網(wǎng)絡(luò)的IP地址范圍就不會(huì)受到INTERNET的IP地址的影響，保證了內(nèi)部網(wǎng)絡(luò)的獨(dú)立性和可擴(kuò)展性。目前的防火墻產(chǎn)品主要有堡壘主機(jī)，包過濾路由器，應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)，屏蔽主機(jī)防火墻，雙宿主機(jī)等類型4。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但防火墻并不是萬能的，自身存在缺陷，使它無法避免某些安全風(fēng)險(xiǎn)，而且層出不窮的攻擊技術(shù)又令防火墻防不勝防。它無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們的帶來的威脅，也不能完全防止傳送已感染病毒的

18、軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。自從1986年美國(guó)DIGITAL公司在INTERNET上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國(guó)內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。防火墻處于五層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)安全技術(shù)范疇。在這一層上，企業(yè)對(duì)安全系統(tǒng)提出的問題是：所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)？如果答案是“是” ，則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層上采取相應(yīng)的防范措施。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：（1） 屏蔽路由器：又稱包過濾防火墻。（2） 雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。（3） 主

19、機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。（4） 屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。隨著INTERNET在我國(guó)的迅速發(fā)展，防火墻技術(shù)引起了各方面的廣泛關(guān)注，一方面在對(duì)國(guó)外信息安全和防火墻技術(shù)的發(fā)展進(jìn)行跟蹤，另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術(shù)提供安全保證，對(duì)其他方面的技術(shù)尚缺乏深入了解。防火墻技術(shù)還處在一個(gè)發(fā)展階段，仍有許多問題有待解決。因此，密切關(guān)注防火墻的最新發(fā)展，對(duì)推動(dòng)INTERNET在我國(guó)的健康發(fā)展有著重要的意義。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、代理型和監(jiān)測(cè)型

20、。（1）包過濾型包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP5源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于

21、網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的JAVA小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。這種攻擊方式主要應(yīng)用于用IP協(xié)議傳送的報(bào)文中。它僅適用于少數(shù)幾種平臺(tái)。所謂IP欺騙，無非就是偽造他人的源IP地址。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過關(guān)的目的。IP欺騙技術(shù)只能實(shí)現(xiàn)對(duì)某些特定的運(yùn)行Free TCP/IP5進(jìn)行攻擊。一般來說，任何使用Sun RPC調(diào)用的配置、利用IP地址認(rèn)證的網(wǎng)絡(luò)服務(wù)、MIT的X Window系統(tǒng)、R服務(wù)等這些服務(wù)易受到IP欺騙攻擊。IP欺騙式攻擊形式

22、多種多樣，從隨機(jī)掃描到利用系統(tǒng)已知的一些漏洞。IP欺騙攻擊通常發(fā)生于一臺(tái)主機(jī)被確信在安全性方面存在漏洞之后。此時(shí)入侵者已作好了實(shí)施一次IP欺騙攻擊的準(zhǔn)備，他（或她）知道目標(biāo)網(wǎng)絡(luò)存在漏洞并且知道該具體攻擊哪一臺(tái)主機(jī)。（2）網(wǎng)絡(luò)地址轉(zhuǎn)化NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)6，還意味著不要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。NAT的工作過程如下：在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)客與外部網(wǎng)絡(luò)連接，這樣

23、對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻7根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。（3）代理型代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者之間的數(shù)據(jù)交流

24、。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。（4）監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)

25、品，這一技術(shù)實(shí)際上已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠針對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效的判斷出各層的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其它網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不但能夠監(jiān)測(cè)來自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來自外部的惡意破壞也有極強(qiáng)的防范作用。根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的功擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不但超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。雖然監(jiān)測(cè)型防火墻安全性上已經(jīng)超越了包過濾型和代理服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較

26、高，也不易管理，所以目前在實(shí)用的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻5。基于系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性的使用某些監(jiān)測(cè)型技術(shù)，這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效的控制安全系統(tǒng)的總擁有成本。（5）防火墻的安全性防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能，即防火墻是否能夠有效的阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實(shí)際的外部入侵，也無法得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的，所以用戶在選擇防火墻產(chǎn)品時(shí)，應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過了權(quán)

27、威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。3加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一8。隨著信息技術(shù)的發(fā)展， 網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。（1） 數(shù)據(jù)傳輸加密技術(shù)目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對(duì)保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地將被自動(dòng)重組、解密，成為可讀數(shù)據(jù)。（2） 數(shù)據(jù)存儲(chǔ)加密技術(shù)目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種9。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對(duì)用戶資格、權(quán)限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。（3） 數(shù)據(jù)完整性鑒別技術(shù)目的是對(duì)介入信息的傳送、存取、處理的