防火墙技术与结构

核心提示： 在上述基本技术基础上，建设性能良好的防火墙的关键在于网络拓扑结构的合理选用及防火墙技术的合理配置，防火墙技术与结构(3)，目前在实际中的防火墙结构通常含有一个“停火区”DMZ(Demilitarized Zone)，此外针对被保护网络的特殊需要，并将解读结果用于对数

在上述基本技术基础上，建设性能良好的防火墙的关键在于网络拓扑结构的合理选用及防火墙技术的合理配置。目前在实际中的防火墙结构通常含有一个“停火区”DMZ(Demilitarized Zone)。此外针对被保护网络的特殊需要，防火墙的结构常常需要增加其他“组件”。例如通常被保护网络会有部分信息可以与外部网络在较大程度上共享，允许外部用户直接读取(如WWW服务器、匿名FTP服务器等)。对此常常是以在防火墙中建立二个停火区来满足网络服务要求，其中外停火区的子网上可以加上公共信息服务器。在这一配置中，外“停火区”上的路由应以静态设置，并且所有外停火区内的网络系统均不应被内部网络认为是可靠系统。加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。

数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。其中对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难，从而使用成本较高，保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。

不对称型加密算法也称公用密钥算法，其特点是有二个密钥(即公用密钥和私有密钥)，只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥，它特别适用于分布式系统中的数据加密，在Internet中得到了广泛应用。其中公用密钥在网上公布，为数据源对数据加密使用，而用于解密的相应私有密钥则由数据的收信方妥善保管。不对称加密的另一用法称为“数字签名”(digital signature)，即数据源使用其私有密钥对数据的校验和(checksum)或其他与数据内容有关的变量进行加密，而数据接收方则用相应的公用密钥解读“数字签名”，并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。