一个网络系统为了保障其自身的安全必须采取一定的网络安全防范措施。这些措施主要包括:制定网络安全使用制度;系统管理员及使用者的安全培训;选择网络安全产品;整体安全体系规划。以下是对市场上现有的一些典型网络安全产品的介绍及其比较。
1.密码机(Ciphermachine)
密码机是传统的链路层加密设备,通常使用对称密钥算法,提供点对点式的加密通讯,有多年的开发历史,市场上有成熟的产品,使用简单,但价格昂贵。因为是链路层加密,密码机不能区分不应加密的IP包头和应加密的信息数据,因此不能路由,不适用于互联网加密。如其加密强度高了,会限制信道的传输速率,传输在高速信道会因丢码而出错。
密码机是点对点式的加密通讯,组建一个多点的内部网,用户需要购买许多密码机,价格昂贵。
密码机的另一个问题是因使用对称密钥,使得密钥的分发困难且密钥的更换周期长,如密码机失窃将会威胁整个网的安全,因此其安全管理费用高。
密码机通常用于广域加密,不能保护局域网上的信息与文件,防外不防内。难以进行高强度的电子数字签名和双向强身份鉴别。
2.病毒防火墙(Virusfirewall)
病毒防火墙能防止部分外来病毒的侵袭,它主要通过对外来数据的检测与比较,防止病毒入侵。但由于病毒的种类繁多,加之可以进行拆包传输(即将病毒数据拆成多个小包)。因此,很难做到完全防范。
3.包过滤防火墙(PacketFilterfirewall)
它是在网络层中对数据包实施有选择地通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口以及TCP链路状态等因素来确定是否允许该数据包通过。
4.应用网关防火墙(ApplicationGatewayfirewall)
它是建立在网络应用层上的一种协议过滤。它针对特别的网络应用服务协议和数据进行过滤,它能够对数据包分析并形成相关的报告。应用网关防火墙能对某些易于登录和控制所有输出输入的通信环境给予严格的控制,以防有价值的程序和数据被窃取。它一般由专用工作站系统来完成其功能。
5.代理服务器(ProxyServer)
它是设置在Internet防火墙网关的专用应用级代理。这种代理服务允许网管员准许或拒绝特定的应用程序或一个应用的特定功能。由于包过滤防火墙和应用网关防火墙都是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构及其运行状态便“暴露”在外来用户面前。代理服务器可使防火墙内外计算机系统应用层的“链接由两个终止于代理服务的“链接”来实现。从而成功地实现了防火墙内外计算机系统的隔离。除此,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等。代理服务器可用专用计算机硬件(如工作站)来承担。
尽管以上方式可以较好地防范外来入侵,然而网络安全不能只停留在防外不防内的层次上。况且,传统的单纯应用PASSWORD的方式也已抵御不住高水平的“黑客”的攻击。
6.安全网关(Securitygateway)
由上可见,以上几种技术都只能做到防外而不防内。除密码机和安全网关外,其他几种技术都不加密信息,网内网外的传输均为明文传输。
安全网关不仅有以上普通防火墙的众多功能,同时克服了它们的不足之处,是一种基于数学方式的安全解决方案。它在应用口令字+IC卡的方式上实现了既防外又防内的强大功能。
考虑到近70%的安全泄密是由内部人员作案而造成的,因此可以说,安全网关是一种全方位的安全系统方案,它使用数据加解密的技术为用户提供最完善和严密的安全解决方案。