信息安全原理及应用.doc

《信息安全原理及应用.doc》由会员分享，可在线阅读，更多相关《信息安全原理及应用.doc（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书山有路勤为径，学海无涯苦作舟。信息安全原理及应用 防火墙技术可以很好的保障计算机网络安全，为正常运行创造条件。对于一个网络安全防御系统而言，防火墙往往被看做是防御的第一层，可见防火墙技术在网络安全的重要性。 关键词：网络安全；防火墙技术；重要性 1/9 abstractfirewalltechnologycanbeverygoodtoprotectthecomputernetworksecurity，tocreateconditionsforthenormaloperation.foranetworksecuritydefensesystem，thefirewallisoftenseenas

2、thefirstlayerofdefense，visiblefirewalltechnologyinnetworksecurity.keyword：networksecurity;firewalltechnology;importance 2/9目录 摘要.1abstract.2前言.4 一、计算机网络安全问题.4 二、防火墙的基本介绍.4 2.1.防火墙的定义.42.2防火墙的实现技术分类.52.3防火墙的体系结构.5 三、防火墙技术的重要性.6 3.1网络存取访问的统计与记录.63.2控制特殊站点的访问.63.3控制不安全服务.63.4集中安全保护.错误。未定义书签。 四、防火墙技术的应用

3、.6 4.1应用于网络安全的屏障.74.2应用于网络安全策略中.74.3应用于监控审计中.错误。未定义书签。 4.4应用于内部信息的保障中.74.5应用于数据包过滤中.84.6应用于日志记录与事件通知.8 五、结语.错误。未定义书签。参考文献.错误。未定义书签。 3/9 前沿 防火墙是目前应用非常广泛且效果良好的信息安全技术，可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外，从而降低网络的整体风险。 自从20世纪90年代进入市场以来，防火墙技术经过20年的发展已经经历了实质性的改变，从早期的包过滤设备演变为目前复杂的网络过滤系统。internet的蓬勃发展所带来

4、的安全问题，极大的促进了防火墙技术的发展，使得今天的防火墙在过滤特性上变得更加复杂，增加了诸如状态过滤、虚拟专用网、入侵检测系统、组播路由选择、动态主机配置协议服务和很多其他特性。 一、计算机网络安全问题 在信息技术的推进下，各个领域都渗透了互联网技术，不仅对人们的观念和生活方式起到了一定的影响，同时也对社会面貌及其形态意识产生的作用。但是人们的正常生活和工作也受到了电磁泄露及其黑客攻击的干扰，这也就是所谓的网络安全问题。该问题的出现是有人故意或者是无意攻击的网络。在操作中由于操作者的安全意识缺乏或者是操作口令错误，就导致了信息的泄露，从而威胁到了整个网络安全。与此同时网络安全也受到了人为恶意

5、攻击的威胁，因此，竞争者和计算机黑客的恶意攻击对计算机网络安全都会造成影响。要想使用防火墙技术解决计算机网络安全问题，就必须了解防火墙的基本信息，明白其重要性。 二、防火墙的基本介绍 2.1防火墙的定义 防火墙的明确定义来自at&t公司的两位工程师willamcheswick和stevenbeellovin。防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合，它满足以下条件：（1）内部和外部之间的所有网络数据流必须经过防火墙。（2）有符合安全政策的数据流才能通过防火墙。（3）防火墙自身能抗攻击。 通俗的理解就是，防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”

6、的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过4/9防火墙，公司内部的人就无法访问internet，internet上的人也无法和公司内部的人进行通信。 需要注意的是，不能狭义地将防火墙理解为一套软件或一台设备。因为通常使用不止一种技术和不止一台设备实施整个防火墙方案所以防火墙应该理解为一个防火墙系统，或说一套防火墙解决方案。 2.2防火墙的实现技术分类 根据防火墙过滤的方式和技术不同，防火墙可以划分为三类：包过滤防火墙，状态防火墙，应用网关防火墙。 包过滤防火墙是一种通过检查数据包中网络层及传输层协议信息来发现异常

7、的安全防御系统。包过滤防火墙不需要对客户端计算机进行专门配置，性能优于其他防火墙，因为它执行的计算比较少，并且容易用硬件方式实现。它的规则设置也简单，通过禁止内部计算机和特定internet资源连接，单一规则即可保护整个网络。 状态防火墙采用的是状态检测技术，这是由checkpiont公司最先提出的一项具有突破性的防火墙技术，把包过滤的快速性和代理的安全性很好地结合在一起，成为防火墙的基本过滤模式。相比包过滤防火墙，它能知晓连接的状态，无须打开很大范围的端口以允许通信，还能阻止更多类型的dos攻击，并且具有更丰富的日志功能。 应用网关防火墙，也称代理防火墙，能够根据网络层、传输层和应用层的信息

8、对数据流进行过滤。由于应用网关防火墙要在应用层处理信息，所以绝大多数应用网关防火墙的控制和过滤功能是通过软件完成的，这能够比包过滤或状态防火墙提供更细粒度的流量控制。它的优点主要在于能够实现对用户的认证，能够阻止绝大多数欺骗攻击。使用连接代理防火墙能够连接上的所有数据，检测到应用攻击层，如不良的url、缓存溢出企图、未授权的访问和更多类型的攻击，同时生成非常下详细的日志。不过，详细的日志也会占用大量的磁盘空间，而且它的处理过程也要求大量的cpu和内存。 2.3防火墙的体系结构 防火墙的体系结构一般有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。 5/9建造防火墙时，一般很少采用单一

9、的结构，通常是多种解决不同问题的技术结合。这种组合只要取决于安全中心向客户提供什么样的服务，以及安全中心能接受什么等级的风险。采用什么样的组合主要取决于经费、投资的大小或技术人员的技术、时间等因素。通常有使用多堡垒主机，合并内部路由器与外部路由器，合并堡垒主机与外部路由器，合并堡垒主机与内部路由器，使用多台内部路由器或外部路由器，使用多个周边网络，使用双重宿主主机与屏蔽子网等多种组合形式。 三、防火墙技术的重要性 3.1网络存取访问的统计与记录 任何传输数据和访问都能够以防火墙记录的日志流通于内外网之间。然而对于重要的数 据信息来说，人们借助日志在分析可能性攻击的情况下，就能做好相关的防范。就

10、拿银行网络来说，假如他存在问题，就会对电信和证券单位产生威胁，因此可将防火墙技术应用。除此之外企业也要尽可能了解网络安全隐患，从而加强管理域监控，降低安全风险几率。 3.2控制特殊站点的访问 这也是保障计算机网络安全的关键，就拿进行访问和数据传输的主机来说，假如将特殊保护实施，在交换数据的时候就必须得到主机许可，以此来将不必要的访问拒绝，将非法盗取资源的情况杜绝&对于内部网络，防火墙不必对访问强行禁止，由此可见，网络安全离不开防火墙。 3.3控制不安全服务 不安全因素常常会出现在计算机网络中，对于安全性较差的服务，我们均能够采用防火墙技术控制，在防火墙的作用下，内外网进行数据传输和交换的时候，

11、必须经过防火墙的许可，这样相关资源内容才能传输到外网。由此可见，防火墙的使用能降低非法攻击的风险。 3.4集中安全保护 假如内部网络规模较大，且必须改动附加软件或某些软件，将其置入防火墙，就能保障其数据和信息的安全，同时在防火墙中放入身份认证软件、口令系统及其密码等，还能将其安全性进一步的提升。 6/9 四、防火墙技术的应用 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 4.1应用于网络安全的屏障 一个防

12、火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的nfs协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如ip选项中的源路由攻击和icmp重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 4.2应用于网络安全策略中 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个

13、主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 4.3应用于监控审计中 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.4应用于内部信息的保障中 通过利

14、用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而 7/9引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如finger，dns等服务。finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有

15、关内部网络中的dns信息，这样一台主机的域名和ip地址就不会被外界所了解。除了安全作用，防火墙还支持具有internet服务特性的企业内部网络技术体系vpn（虚拟专用网）。 4.5应用于数据包过滤中 网络上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络，并与预先设定的访问控制规则进行比较，进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网络的访问，但由于不能检测数据包的具体内容，所以不能识别具有非法内容的数据包，无法实施对应用层协

16、议的安全处理。 4.6应用于日志记录与事件通知 进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。 五、结语 随着计算机技术的不断发展，人们越来越依赖于网络，对于信息资源的依赖也过于紧密，网络安全问题也不可避免，这直接影响着防火墙技术的发展。为了保障网络的安全运行，防火墙技术越来越重要。我们需要选择适合实际应用的防火墙来抵御有害信息入侵计算机系统，但仅依靠防火墙技术是不够的，需要使现在的防火墙技术将计算机技术和网络技术结合在一起，才能真正解决计算机的网络安全问题。 参考文献：

17、 9/9 对称密钥密码体制、公钥密码体制 设计思想、应用及异同点 （1）对称密钥密码体制的设计思想（des） 对称密钥密码体制是一种传统密码体制，也称为私钥密码体制。在对称加密系统中，加密和解密采用相同的密钥。因为加、解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，这样就可以实现数据的机密性和完整性。 对称密钥密码体制是从传统的简单替换发展而来的。传统密码体制所用的加密密钥和解密密钥相同，或实质上等同（即从一个可以推出另外一个），我们称其为对称密钥、私钥或单钥密码体制。对称密钥密码体制不仅可用于数据加密，也可用于消息的认证。 按加密模式来分，对称算

18、法又可分为序列密码和分组密码两大类。序列密码每次加密一位或一字节的明文，也称为流密码。序列密码是手工和机械密码时代的主流方式。分组密码将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 最有影响的对称密钥加密算法是1977年美国国家标准局颁布的des算法。 其中系统的保密性主要取决于密钥的安全性，因此必须通过安全可靠的途径（如信使递送）将密钥送至接收端。这种如何将密钥安全可靠地分配给通信对方，包括密钥产生、分配、存储、销毁等多方面的问题统称为密钥管理（keymanagement），这是影响系统安全的关键因素。古典密码作为密码学的渊源，其多种方法充分体现了单钥加密的思

19、想，典型方法如代码加密、代替加密、变位加密、一次性密码薄加密等。 单钥密码体制的优点是安全性高且加、解密速度快，其缺点是进行保密通信之前，双方必须通过安全信道传送所用的密钥，这对于相距较远的用户可能要付出较大的代价，甚至难以实现。例如，在拥有众多用户的网络环境中使n个用户之间相互进行保密通信，若使用同一个对称密钥，一旦密钥被破解，整个系统就会崩溃；使用不同的对称密钥，则密钥的个数几乎与通信人数成正比需要n*（n-1）个密钥。由此可见，若采用对称密钥，大系统的密钥管理几乎不可能实现。 des算法全称为dataencryptionstandard，即数据加密算法，它是ibm公司于1975年研究成功

20、并公开发表的。des算法的入口参数有三个：key、data、mode。其中key为8个字节共64位，是des算法的工作密钥；data也为8个字节64位，是要被加密或被解密的数据；mode为des的工作方式，有两种：加密或解密。 des算法把64位的明文输入块变为64位的密文输出块，它所使用的密钥也是64位，其算法主要分为两步： 1.初始置换 其功能是把输入的64位数据块按位重新组合，并把输出分为l0、r0两部分，每部分各长32位，其置换规则为将输入的第58位换到第一位，第50位换到第2位依此类推，最后一位是原来的第7位。l0、r0则是换位输出后的两部分，l0是输出的左32位，r0是右32位，例

21、：设置换前的输入值为d1d2d3d64，则经过初始置换后的结果为：l0=d58d50d8；r0=d57d49d7。 2.逆置换 经过16次迭代运算后，得到l 16、r16，将此作为输入，进行逆置换，逆置换正好是初始置换的逆运算，由此即得到密文输出。 （2）公钥密码体制的设计思想（rsa） rsa密码系统是较早提出的一种公开钥密码系统。1978年，美国麻省理工学院（mit）的rivest，shamir和adleman在题为获得数字签名和公开钥密码系统的方法的论文中提出了基于数论的非对称（公开钥）密码体制，称为rsa密码体制。rsa是建立在“大整数的素因子分解是困难问题”基础上的，是一种分组密码体

22、制。 非对称密码体制也叫公钥加密技术，该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系 -1- 统中，加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥（公开密钥）向公众公开，谁都可以使用，解密密钥（秘密密钥）只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥密码体制。 采用分组密码、序列密码等对称密码体制时，加解密双方所用的密钥都是秘密的，而且需要定期更换，新的密钥总是要通过某种秘密渠道分配给使用方，在传递的过程中，稍有不慎，就容易泄露。 公钥密码加密密钥通常是公开的，而解密密钥是秘密的，由用户自己保存，不需要往返交换和传递，大大减少了密

23、钥泄露的危险性。同时，在网络通信中使用对称密码体制时，网络内任何两个用户都需要使用互不相同的密钥，只有这样，才能保证不被第三方窃听，因而n个用户就要使用n（n1）/2个密钥。对称密钥技术由于其自身的局限性，无法提供网络中的数字签名。这是因为数字签名是网络中表征人或机构的真实性的重要手段，数字签名的数据需要有惟一性、私有性，而对称密钥技术中的密钥至少需要在交互双方之间共享，因此，不满足惟一性、私有性，无法用做网络中的数字签名。相比之下，公钥密码技术由于存在一对公钥和私钥，私钥可以表征惟一性和私有性，而且经私钥加密的数据只能用与之对应的公钥来验证，其他人无法仿冒，所以，可以用做网络中的数字签名服务

24、。 具体而言，一段消息以发送方的私钥加密之后，任何拥有与该私钥相对应的公钥的人均可将它解密。由于该私钥只有发送方拥有，且该私钥是密藏不公开的，所以，以该私钥加密的信息可看做发送方对该信息的签名，其作用和现实中的手工签名一样有效而且具有不可抵赖性。 一种具体的做法是。认证服务器和用户各持有自己的证书，用户端将一个随机数用自己的私钥签名后和证书一起用服务器的公钥加密后传输到服务器；使用服务器的公钥加密保证了只有认证服务器才能进行解密，使用用户的密钥签名保证了数据是由该用户发出；服务器收到用户端数据后，首先用自己的私钥解密，取出用户的证书后，使用用户的公钥进行解密，若成功，则到用户数据库中检索该用户

25、及其权限信息，将认证成功的信息和用户端传来的随机数用服务器的私钥签名后，使用用户的公钥进行加密，然后，传回给用户端，用户端解密后即可得到认证成功的信息。 长期以来的日常生活中，对于重要的文件，为了防止对文件的否认、伪造、篡改等等的破坏，传统的方法是在文件上手写签名。但是在计算机系统中无法使用手写签名，而代之对应的数字签名机制。数字签名应该能实现手写签名的作用，其本质特征就是仅能利用签名者的私有信息产生签名。因此，当它被验证时，它也能被信任的第三方（如法官）在任一时刻证明只有私有信息的唯一掌握者才能产生此签名。 由于非对称密码体制的特点，对于数字签名的实现比在对称密码体制下要有效和简单的多。 现

26、实生活中很多都有应用，举个例子。我们用银行卡在atm机上取款，首先，我们要有一张银行卡（硬件部分），其次我们要有密码（软件部分）。atm机上的操作就是一个应用系统，如果缺一部分就无法取到钱，这就是双因子认证的事例。因为系统要求两部分（软的、硬的）同时正确的时候才能得到授权进入系统，而这两部分因为一软一硬，他人即使得到密码，因没有硬件不能使用；或者得到硬件，因为没有密码还是无法使用硬件。这样弥补了“密码+用户名”认证中，都是纯软的，容易扩散，容易被得到的缺点。 密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、hash函数、身份识别、密

27、钥管理、pki技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。 rsa算法1978年就出现了，它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作，也很流行。算法的名字以发明者的名字命名：ronrivest，adishamir和leonardadleman。但rsa的安全性一直未能得到理论上的证明。 rsa的安全性依赖于大数分解。公钥和私钥都是两个大素数（大于100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。 密钥对的产生。选择两个大素数，p和q。计算。n=p*q 然后随机选择加密密钥e，要求e和（p1）互质。最后，利用euclid算法计算解密密钥d，满足e*d=1（mod（p1） 其中n和d也要互质。数e和n是公钥，d是私钥。两个素数p和q不再需要，应该丢弃，不要让任 何人知道。 加密信息m（二进制表示）时，首先把m分成等长数据块m1，m2，.，mi，块长s，其中2 第 17 页 共 17 页