浅析防火墙安全协议.pdf

山东纺织经济2 0 0 8 年第6 期( 总第1 4 8 期) 浅析防火墙安全协议 肖媛媛L 2 ( 1 中国海洋大学山东青岛2 6 6 0 0 3 ；2 潍坊学院 山东潍坊2 6 10 6 1 ) 摘要：当前，随信息化发展而来的网络安全问题日渐突出，这不仅严重阻碍了社会信息化发展 的进程，而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势，如何建设高质量、 高稳定性，高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。“防 火墙”作为表地区网安全防范的主要方式，利用加密技术来保证远程数据传输的安全，洼。本文对防火墙 常用的两种协议：应用层S S L 协议、网络层I P S e e 协议进行分析，从而实现防火墙的传输加密。 关键词：防火墙；S S L 协议；I P S e e 协议 中图分类号：T P 3 9 3 0 8 文献标识码：B文章编号：1 6 7 3 0 9 6 8 ( 2 0 0 8 ) 0 6 0 0 9 4 0 2 一S S L 协议 S S L 协议的最初设计是为了提高应用程序之间 数据的安全性，在对电子商务的安全支付的研究中 发现：采用S S L 协议可实现客户机( c l i e n t ) 和服务 器( s e r v e r ) 之间传输数据的加密通信，从此S S L 协 议在电子商务中的应用得到了迅速发展。 1 、S S L 协议栈 S S L 使用以下三种协议： ( 1 ) “S S L 握手协议”，用以建立C l i e n t 平【1 S e r v e r 间的“S S L 会话”， ( 2 ) “S S L 加密算法规则协议”，用以选定S S L 会话的加密算法组合， ( 3 ) “S S L 警告协议”，用以传输C l i e n t 和S e r v e r 间的报错信息。 2 、S S L 记录协议 S S L 记录协议，首先在握手层使用S S L 握手协 议对服务器和客户机进行双向认证，并确定通信双 方数据传输的密钥交换算法和加密算法，建立S S L 记录协议处理完整性校验和加密所需的传输密钥。 3 、身份认证 为了向客户机证明身份，服务器需提供CA ( C e r t i f i c a t eA u t h o r i t y 认证中心) 发放的服务器证 书，通过对C A 在该证书公钥的签名认证可知该服 务器的商家是否是一个合法公司。验证后，浏览器 收稿日期：2 0 0 8 0 9 1 1 作者简介：肖媛媛( 19 8 2 一) ，女，山东潍坊人，中国海洋大学硕士研究生，潍坊学院信息与控制工程学院助教。 略的一点是：知名服装企业能长期活跃在市场上的 原因是什么? 它那已经深入人心的品牌；而品牌的 灵魂是什么? 即风格。人们总是有这样一种惯性思 维，当提及一个知名品牌的名字的时候，脑海里面 总能浮现出几个具像的服装画面，大概能知道其服 装是什么样子这些在脑子里出现的信息就是 “风格”。在一个服装品牌推出市场之前，明确该品 牌的风格尤为重要，风格的确立直接影响到品牌的 目标消费群体、销售场所、营销方式等等一系列市 场营销方面的问题。目前，越来越多的业界人士逐 渐接受“服装风格”这个概念，也意识到了其中的 内涵个时代、一个民族、一个流派或一个人 的服装在形式和内容方面所显示出来的价值取向、 内在品格和艺术特色。笔者也想用“品牌风格调研” 来证明一个服装品牌的“风格”对于该品牌的生命 周期有着非常紧密地联系，至关重要。 这三个调研领域的工作相辅相成，调研数据相 互支持。产品属性、消费者需求、品牌风格的调研 为设计开发者更好地把握市场走向、满足消费者需 求提供了实际、可靠，科学的依据。一方面，确立 了品睥风格，了解了消费者需求，才能选择适合的 产品属性作为设计的基础元素，另一方面，清楚了 解市场上哪些产品属性受消费者欢迎，才能开发出 既令消费者满意的又符合市场发展方向的产品。 万方数据 PDF Watermark Remover DEMO : Purchase from www.PDFWatermarkRemover.com to remove the watermark 2 0 0 8 年第6 期( 总第1 4 8 期)山东纺织经济 中的S S L 随机产生一个数作为传输密钥，用服务器 证书中已经验证过的服务器公钥加密后传给服务器， 于是开始了基于H T T P 的通信。 二I P S e c 协议体系 I P , s e c 通常配置在路由器和安全网关中实施。一 个完整的I P S e c 模块通常包括I P 安全协议( A H 和 E S P ) 和I n t e m e t 密钥交换协议( I K E ) 。 1 、加密和认证技术 A H 协议( A u t h e n t i c a t i o nH e a d e rP r o t o c 0 1 ) ， 定义在R F C 2 4 0 2 ，用于为I P 提供数据完整性、数据 原始身份验证和一些可选的，有限的抗重播服务。 实施时，它在I P 头和传输层头之间插入包含认证码 的附加头，通过检验这个附加头，接收方就可以知 道从发送方来的数据是否能安然无恙的传输。E S P 协议( E n c a p s u l a t i n gS e c u r i t yP a y l o a dP r o t o c 0 1 ) ， 它定义在R F C 2 4 0 6 中，为I P 提供机密性、数据源 验证、抗重播以及数据完整性等安全服务。实施时， 它可以加密和封装传输层载荷或整个I P 头。发送端 加密，接收端解密。I K E 协议( I n t e r n e tK e y E x c h a n g e ) ：它定义在R F C 2 4 0 9 中，用I P S e c 保护 一个I P 包之前，实施的双方必须先建立一个安全联 盟( S A ) 。I K E 可以协商算法和参数，动态建立S A 。 I K E 建立在I n t e r n e t 安全联盟和密钥管理协议 ( I S A K M P ) 定义的一个框架上，实现了O a k l c y 和 S K E M E 两种密钥管理协议的一部分，因此可以说 它属于一种混合型协议。3 D E S 块加密算法：使用在 E S P 协议中。它采用三个不同的密钥对一个数据块 应用三次D E S 算法，将密钥扩展到1 6 8 位，目前能 有效地抵制攻击。H M A C ( H a s h e dM e s s a g eA u - t h e n t i c a t i o nC o d e ) 算法：使用在包认证过程中，它 使用加密的杂凑算法( M D 5 或S H A ) 来认证消息， 如H M A C M D 5 - 9 6 和H M A C - S H A - 9 6 ，D i f f i e H e l l m a n 密钥协商：使用在密钥交换过程中，这个 协议可以使没有初始共享密钥的通信双方产生一个 共享密钥，同时避免第三方的窃听。R S A 认证算法： 这是一种广泛应用的公钥加密算法，在I P S e c 中，它 作为D H 密钥协商时认证网关的一种方法。 2 、工作模式 I P s e c 有两种工作模式：传送模式和隧道模式。 传送模式实施在主机上，在这种模式下，主机 上的I P S e c 处理主机自身产生的数据包，保护主机 到主机间的连接所传输的I P 载荷。其数据包的格式 为I P 头、I P S e c 头、T C P 头、数据。隧道模式的I P S e c 用于网关上，可用来保护网络间的通信。这时候子 网内的主机并不需要运行I P S e c ，它们只需将数据包 路由到网关。此时，内部I P 头为网内主机所建，外 部I P 头为安全网关所建，这里的I P S e c 保护的是从 主机发出的整个I P 包。 3 、抗攻击能力 I P S e c 可以抵抗多种形式的攻击，包括： 密码嗅探：入侵的攻击者在通信线路上捕获明 文密码，然后伪装成合法用户进行攻击。由于I P S e c 协议采用了加密机制，所以入侵者无法轻易的获得 明文密码。 I P 欺骗：采用基于I P 地址的身份认证时，一个 攻击者可将其I P 地址伪装成可信主机的合法I P 地 址，从而威胁对端系统的安全。I P S e c 采用了加密的 强认证手段，所以可以抵抗这种攻击。 会话盗用：当通信方通过身份验证之后，入侵 者攫取连接信息，一旦合法的连接建立后，攻击者 就可以插入数据包，甚至接管整个会话。当使用 I P S e c 协议时，由于攻击者不知道加密和解密数据流 的会话密钥，因而不能盗用会话。 拒绝服务：攻击者通过向被攻击者发送大量的 数据流，使被攻击主机淹没在信息处理的汪洋中， 消耗大量的系统资源，对正常的业务请求无法处理， 从而否决正常业务。使用I P S e c 后，如果每个数据包 都得到正确的身份验证，入侵者只能使用它的真实 I P 地址进行这种攻击，这将暴露其身份和位置。 三结论 本文对目前防火墙中常用的协议S S L 和I P S e c 进行了深入分析。按照I S O 的O S l 分层结构，S S L 属 于应用层安全协议，I P S e c 属于网络层安全协议。结 构的不同直接影响了两种协议的复杂程度和性能。 从S S L ：f 【1 I P S e c 的比较中，我们可以看到I P S e c 安全 性较高，但过于复杂，执行效率也不高。S S L 正相 反，其安全性较低，但执行起来相对较简单。因此， 防火墙中的安全策略必须具备简单、适用两大特点。 操作既不能过于复杂，而且安全策略的实施也要有 能力解决异构网络的问题，切实保障网络的安全。 9 5 万方数据 PDF Watermark Remover DEMO : Purchase from www.PDFWatermarkRemover.com to remove the watermark