防火墙技术与结构

核心提示： 不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，防火墙技术与结构(4)，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据，不可逆加密算法不存在密钥保管和分发问题，随着互联网技术越来越广泛的应用，集成化程度较高的网络安全保障工具与产品开始逐渐出现于市场

不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题，适合于分布式网络系统上使用，但是其加密计算工作量相当可观，所以通常用于数据量有限的情形下的加密，例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-Secure Hash Standard)。

加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，例如使用Kerberos服务的telnet、NFS、rlogion等，以及用作电子邮件加密的PEM (Privacy Enhanced Mail)和PGP (Pretty Good Privacy)。这一类加密技术的优点在于实现相对较为简单，不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。

网络安全保障工具与产品相对而言，互联网安全保障产品的开发和完善仍处在很不成熟的阶段。常见的网络安全保障系统通常是根据网络的特殊需要和资源条件专门设计而成，其优点是“量体裁衣”，所得系统能切合网络用户的安全需要，但是实现成本通常较高。近二年来，随着互联网技术越来越广泛的应用，集成化程度较高的网络安全保障工具与产品开始逐渐出现于市场。下面介绍两个典型产品及其结构特点供参考。