摘要：文中论述了防火墙部署原则，并从防火墙部署的地方详细讲解了防火墙的选择标准。并就信息交换加密技术的分类及RSA算法作以剖析，针对PKI技术这一信息安全核心技术，论述了其安全体系的构成。

关键字：互联网安全 防火墙 PKI技术

1.概述

互联网防火墙技术的作为内部互联网与外部互联网之间的第一道安全屏障，是最早遭到大家看重的互联网安全技术，就其商品的主流趋势而言，大部分代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独用更具备大的优势。那样大家到底应该在什么地方部署防火墙呢?第一,应该安装防火墙的地方是公司内部互联网与外部Internet的接口处,以阻挡来自外部互联网的入侵;第二,假如公司内部互联网规模较大,并且设置有虚拟局域网,则应该在每个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,假如有条件,还应该同时将总部与各分支机构组成虚拟专用网。

安装防火墙的基本原则是:只须有恶意侵入的可能,无论是内部互联网还是与外部公网的连接处,都要安装防火墙。

2.防火墙的选择

选择防火墙的规范有不少,但非常重要的是以下几条:

2.1.TCO防火墙商品作为互联网系统的安全屏障,其TCO不应该超越受保护互联网系统可能遭受最大损失的本钱。以一个非重点部门的互联网系统为例,倘若其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总本钱也不应该超越10万元。当然,对于重点部门来讲,其所导致的负面影响和连带损失也应考虑在内。假如仅做粗略估算,非重点部门的防火墙购置本钱不应该超越互联网系统的建设总本钱,重点部门则应另当别论。

2.2.防火墙本身是安全的

作为信息管理软件安全商品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。假如像马其顿防线一样,正面虽然牢不可破,但进攻者可以随便地绕过防线进入系统内部,互联网系统也就没任何安全性可言了。

一般,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是不是合理,这种问题一般用户根本无从入手,只有通过权威认证机构的全方位测试才能确定。所以对用户来讲,守旧的办法是选择一个通过多家权威认证机构测试的商品。其二是使用方法不对。通常来讲,防火墙的很多配置需要系统管理员手工修改,假如系统管理员对防火墙不十分熟知,就大概在配置过程中遗留很多的安全漏洞。

2.3.管理与培训

管理和培训是评价一个防火墙好坏的要紧方面。大家已经谈到,在计算防火墙的本钱时,不可以只简单地计算购置本钱,还需要考虑其TCO。职员的培训和平时维护成本一般会在TCO中占据较大的比率。一家出色秀的安全商品提供商需要为其用户提供好的培训和售后服务。

2.4.可扩充性

在互联网系统建设的初期,因为内部信息管理软件的规模较小,遭受攻击导致的损失也较小,因此没必要购置过于复杂和昂贵的防火墙商品。但伴随互联网的扩容和互联网应用的增加,互联网的风险本钱也会急剧上升,此时便需要增加具备更高安全性的防火墙商品。假如早期购置的防火墙没可扩充性,或扩充本钱极高,这便是对投资的浪费。好的商品应该留给用户足够的弹性空间,在安全水平需要不高的状况下,可以只选择和购买基本系统,而伴随需要的提升,用户仍然有进一步增加选件的空间。如此不只可以保护用户的投资,对提供防火墙商品的厂家来讲,也扩大了商品覆盖面。

2.5.防火墙的安全性

防火墙商品最难评估的方面是防火墙的安全性能,即防火墙是不是可以有效地阻挡外部入侵。这一点同防火墙自己的安全性一样,普通用户一般没办法判断。即便安装好了防火墙,假如没实质的外部入侵,也无从得知商品性能的优劣。但在实质应用中测试安全商品的性能是极为危险的,所以用户在选择防火墙商品时,应该尽可能选择占市场份额较大同时又通过了权威认证机构认证测试的商品。

3.加密技术

信息交换加密技术分为两类：即对称加密和非对称加密。

3.1.对称加密技术

在对称加密技术中，对信息的加密和解密都用相同的钥，也就是说一把钥匙开一把锁。这种加密办法可简化加密处置过程，信息交换双方都不必彼此研究和交换专用的加密算法。假如在交换阶段私有密钥未曾泄露，那样机密性和报文完整性就能得以保证。对称加密技术也存在一些不足，假如交换一方有N个交换对象，那样他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给他们的。如三重DES是DES（数据加密标准）的一种变形，这种办法用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。

3.2.非对称加密/公开密钥加密

在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方法向别人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方学会，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方法可以使通信双方无须事先交换密钥就能打造安全通信，广泛应用于身份认证、数字签名等信息交换范围。非对称加密体系一般是打造在某些已知的数学难点之上，是计算机复杂性理论进步的势必结果。最具备代表性是RSA公钥密码体制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个健全的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中用了如此一个基本事实：到现在为止，没办法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq

e与（p-1）互素

私有密钥：d=e-1 {mod}

加密：c=me,其中m为明文，c为密文。

解密：m=cd

借助现在已经学会的常识和理论，分解2048bit的大整数已经超越了64位计算机的运算能力，因此在现在和预见的以后，它是足够安全的。

4.PKI技术

PKI（Publie Key Infrastucture）技术就是借助公钥理论和技术打造的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电商的重点和基础技术。因为通过互联网进行的电商、电子政务、电子事务等活动缺少物理接触，因此使得用电子方法验证信赖关系变得至关要紧。而PKI技术恰好是一种合适电商、电子政务、电子事务的密码技术，他可以有效地解决电商应用中的机密性、真实性、完整性、不能否认性和存取控制等安全问题。一个好用的PKI体系应该是安全的易用的、灵活的和经济的。它需要充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、方案管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构

CA（Certification Authorty）就是如此一个确保信赖度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的互联网用户电子身份证明—证书，任何相信该CA的人，根据第三方信赖原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的手段来预防电子证书被伪造或篡改。构建一个具备较强安全性的CA是至关要紧的，这不只与密码学有关系，而且与整个PKI系统的构架和模型有关。除此之外，灵活也是CA能否得到市场认可的一个重点，它不需支持各种通用的国际标准，可以非常不错地和其他厂商的CA商品兼容。

4.2.注册机构

RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不只要支持面对面的登记，也需要支持远程登记。要确保整个PKI系统的安全、灵活，就需要设计和达成互联网化、安全的且易于操作的RA系统。

4.3.方案管理

在PKI系统中，拟定并达成科学的安全方案管理是尤为重要的这类安全方案需要适应不一样的需要，并且能通过CA和RA技术融入到CA 和RA的系统达成中。同时，这类方案应该符合密码学和系统安全的需要，科学地应用密码学与互联网安全的理论，并且具备好的扩展性和互用性。

4.4.密钥备份和恢复

为了保证数据的安全性，应按期更新密钥和恢复意料之外损毁的密钥是尤为重要的，设计和达成完善的密钥管理策略，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的要紧原因。

4.5.证书管理与撤消系统

证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。一般，这种绑定在已颁发证书的整个生命周期里是有效的。但，有时也会出现一个已颁发证书不再有效的状况这就需要进行证书撤消，证书撤消的原因是各种各样的，可能包含工作变动到对密钥怀疑等一系列缘由。证书撤消系统的达成是借助周期性的发布机制撤消证书或使用免费查询机制，随时查看被撤消的证书。

5.安全技术的研究近况和动向

国内信息互联网安全研究历经了通信保密、数据保护两个阶段，正在进入互联网信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵测试、系统脆弱性扫描软件等。但因信息互联网安全范围是一个综合、交叉的学科范围它综合了借助数学、物理、生化信息技术和计算机技术的很多学科的长期积累和最新进步成就，提出系统的、完整的和协同的解决信息互联网安全的策略，现在应从安全体系结构、安全协议、现代密码理论、信息剖析和监控与信息安全系统五个方面拓展研究，各部分相互协同形成有机整体。

国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的互联网安全技术基础理论研究成就“计算机保密模型”（Beu& La padula模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又拟定了关于互联网系统数据库方面和系列安全讲解，形成了安全信息管理软件体系结构的准则。安全协议作为信息安全的要紧内容，其形式化办法剖析始于80年代初，现在有基于状况机、模态逻辑和代数工具的三种剖析办法，但仍有局限性和漏洞，处于进步的提升阶段。作为信息安全重点技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了互联网信息管理软件密钥管理的困难，同时解决了数字签名问题，它是目前研究的热门。而电商的安全性已是目前大家常见关注的焦点，现在正处于研究和进步阶段，它带动了论证理论、密钥管理等研究，因为计算机运算速度的不断提升，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此互联网安全技术在21世纪将成为信息互联网进步的重点技术，21世纪人类步入信息社会后，信息这一社会进步的要紧策略资源需要互联网安全技术的有力保障，才能形成社会进步的推进力。在国内信息互联网安全技术的研究和产品研发仍处于起步阶段，仍有很多的工作需要大家去研究、开发和探索，以走出有中国特点的产学研联合进步的道路，赶上或超越发达国家的水平，以此保证国内信息互联网的安全，推进国内国民经济的飞速发展。