防火墙及其他- 1

Internet安全: 防火墙及其他 

TCP/IP协议群在网际互联中的使用的迅速崛起 导致了通常被称为Internet的 
由主机和网络组成的全球网际互联系统。过去的十年 是Internet胜利大进军 
的十年。按它现在的发展速率预测 到本世纪末 将有超过一百万个计算机网 
络和超过十亿的用户加入Internet。正因为如此 Internet被看成是美国政府 
提出的国家信息基础设施(NII)的第一个具体体现。 

然而 最初面向研究的Internet和它的通信协议群是为比现在良好得多的环境 
而设计的。应该说 那是一个君子的环境 用户和主机之间互相信任 志在进 
行自由开放的信息交换。在这样的环境里 使用Internet的人实际上就是创建 
Internet的人。随着时间的推移 Internet变得更加有用和可靠 别的人也就 
参杂了进来。人越来越多 共同目标却越来越少 Internet的初衷渐渐地被扭 
曲了。 

今天 Internet的环境中 君子风度和信任感已经所剩无几了。社会上能找到 
的所有的凶险 卑鄙和投机 Internet上应有尽有。在这样的新环境里 开放 
性成了Internet的一把双刃剑。从Internet诞生之日起 特别是自90年代它向 
公众开放以来 它已经成为众矢之的。1988年11月 小Robert T. Morris放出 
的Internet蠕虫染指了数千台主机[10]。从那时起 不断传出侵犯安全的事件 
报道。企图闯入系统者有之 成功闯入系统者有之 抓住Internet上主机的其 
他种种弱点和漏洞加以利用者也有之。最近 成千成万的口令在Internet上被 
盗取 序列数猜测的攻击手段已经被用来冒充IP。特别要指出的是: 很早就有 
人知道这些易受攻击的弱点了。实际上 在网际互联的早期 安全专家就警告 
过明文传送口令的危害。Morris在1985年于AT&T贝尔实验室工作期间就详细描 
述了用来破解BSD UNIX 4.2序列数猜测的攻击手段。 

如今Internet上的每一个人实际上都是脆弱的。Internet的安全问题成了关注 
的焦点。计算机和通信界一片恐慌。对安全问题的考虑 给认为Internet已经 
完全胜任商务活动的过高期望泼了一盆冷水 可能也延缓或阻碍了Internet作 
为国家信息基础设施或全球信息基础设施成为大众媒体。一些调查研究表明 
许多个人和公司之所以对加入Internet持观望态度 其主要原因就是出于安全 
的考虑。与此同时 也有分析家警告商家不加入Internet会有什么危害。 

尽管众说纷纭 有一点是差不多大家都同意的 那就是Internet需要更多更好 
的安全机制。早在1994年 在IAB(Internet体系结构理事会)的一次研讨会上 
扩充与安全就被当作关系Internet全局的两个最重要的问题领域了。 

然而安全性 特别是Internet的安全性 是一个很含糊的术语 不同的人可能 
会有不同的理解。本质上 Internet的安全性只能通过提供下面两方面的安全 
服务来达到: 

·访问控制服务 用来保护计算和联网资源不被非授权使用; 

·通信安全服务 用来提供认证 数据机要性与完整性和各通信端的不可 
否认性服务。例如基于Internet或WWW的电子商务就必 
须依赖于通信安全服务的广泛采用。 

在本文中 我们将集中讨论几种可用来为Internet提供访问控制服务和通信安 
全服务的安全技术。我们特别要讨论防火墙技术和已经提出的网际、传输、应 
用等各层上的安全协议。我们最后以一些类比来帮助更好地理解这些技术的优 
缺点 作为结论。