企業(yè)網(wǎng)絡(luò)安全整體解決方案

經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁眉頁腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請聯(lián)系刪除，謝謝！課程設(shè)計(jì)成績評價(jià)表年月日課程設(shè)計(jì)答辯記錄及評價(jià)表分值優(yōu)9良8649876498764年月日課程設(shè)計(jì)成績評定表分封面成都信息工程學(xué)院課程設(shè)計(jì)姓名：班級：學(xué)號：2010年12月15日日期：簽名：摘要近年來計(jì)算機(jī)系統(tǒng)漏洞的發(fā)現(xiàn)速度加快，計(jì)算機(jī)網(wǎng)絡(luò)安全狀況不容樂觀。目前的計(jì)算機(jī)網(wǎng)絡(luò)攻擊具有攻擊源相對集中，攻擊手段更加靈活，攻擊對象的范圍擴(kuò)大等新特點(diǎn)。雖然現(xiàn)在的網(wǎng)絡(luò)安全技術(shù)較過去有了很大進(jìn)步，但計(jì)算機(jī)網(wǎng)絡(luò)安全是攻擊和防御的技術(shù)和力量中此消彼長中的一個動態(tài)過程，整體狀況不容樂觀。網(wǎng)絡(luò)安全企業(yè)和專家應(yīng)該從這些特點(diǎn)出發(fā)，尋找更好的解決之道。本文通過具體分析目前企業(yè)所遇到的安全威脅，并一一列出能解決這項(xiàng)威脅的安全方法，通過一一對應(yīng)的分析方式，成功并基本完全地解決了目前企業(yè)遇到的主流的網(wǎng)絡(luò)安全問題關(guān)鍵詞：網(wǎng)絡(luò)安全；企業(yè)；安全方式；目錄1２１２３３１２３４１２１6２78４9５３４５６７１技術(shù)的需求２３８１２３４8911.1全是攻擊和防御的技術(shù)和力量中此消彼長中的一個動態(tài)過程，整體狀況不容樂觀。網(wǎng)絡(luò)安全企業(yè)和專家應(yīng)該從這些特點(diǎn)出發(fā)，尋找更好的解決之道。1.2FBI為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.5萬億美元。1.3全通訊而設(shè)計(jì)。所以，企業(yè)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面：(1)操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。(2)防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗(yàn)。(3)來自內(nèi)部網(wǎng)用戶的安全威脅。(4)缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。(5)采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。(6)未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進(jìn)行有效控制。(7)應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。２２１力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。題。２２具有最高的網(wǎng)絡(luò)安全措施。企業(yè)網(wǎng)絡(luò)應(yīng)保障：第1頁共26頁訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問。數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性。入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。２３Internet服務(wù)網(wǎng)絡(luò)分為兩個部分：提供網(wǎng)絡(luò)用戶對Internet的訪問：提供Internet對網(wǎng)內(nèi)服務(wù)的訪問。網(wǎng)絡(luò)內(nèi)客戶對Internet的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險(xiǎn)的Java或ActiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性，作為信息網(wǎng)絡(luò)之間的互聯(lián)的邊界安全應(yīng)作為主要安全需求：需要保證信息網(wǎng)絡(luò)之間安全互聯(lián)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離；對于專有應(yīng)用的安全服務(wù)；必要的信息交互的可信任性；能夠提供對于主流網(wǎng)絡(luò)應(yīng)用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠?qū)崿F(xiàn)安全應(yīng)用；同時信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_放用戶提供安全訪問；能夠防范包括：???利用Http應(yīng)用，通過Java以及JavaScript形式；利用Ftp應(yīng)用，通過文件傳輸形式；利用SMTP應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于信息網(wǎng)絡(luò)的侵害；對網(wǎng)絡(luò)安全事件的審計(jì)；對于網(wǎng)絡(luò)安全狀態(tài)的量化評估；對網(wǎng)絡(luò)安全狀態(tài)的實(shí)時監(jiān)控；其次，對于信息網(wǎng)絡(luò)內(nèi)部同樣存在安全需求，包括：信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接控制手段；能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問；同時對于遠(yuǎn)程訪問用戶增強(qiáng)安全管理；第2頁共26頁加強(qiáng)對于整個信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn)。３３１開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽，分析、記錄等工用。網(wǎng)絡(luò)安全是首先要解決的問題。下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。影響并降低管理費(fèi)用。全方位的安全體系：與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的安全休系應(yīng)包含：止在到達(dá)攻擊目標(biāo)之前?？墒菇^大多數(shù)攻擊無效。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。據(jù)和系統(tǒng)服務(wù)。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心服務(wù)。３２上的松懈及對安全威脅的認(rèn)識。安全威脅主要利用以下途徑：系統(tǒng)實(shí)現(xiàn)存在的漏洞。系統(tǒng)安全體系的缺陷。使用人員的安全意識薄弱。第3頁共26頁管理制度的薄弱。良好的網(wǎng)絡(luò)管理有助于增強(qiáng)系統(tǒng)的安全性：及時發(fā)現(xiàn)系統(tǒng)安全的漏洞。審查系統(tǒng)安全體系。加強(qiáng)對使用人員的安全知識教育。建立完善的系統(tǒng)管理制度。全管理，對于信息網(wǎng)來說就至關(guān)重要了。安全管理主要包括兩個方面：內(nèi)部安全管理：主要是建立內(nèi)部安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。網(wǎng)絡(luò)安全管理：在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的ACL設(shè)置正確，其配置不允許被隨便修改。網(wǎng)絡(luò)層的安全管理可以通過防火墻、安全檢測、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。３３第4頁共26頁基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置?；贛AC的VLAN不能防止MAC欺騙攻擊。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各廠家IPsweep,teardrop,sync-flood,IPspoofing攻擊等。４.２通訊。４１１使用防火墻的益處保護(hù)脆弱的服務(wù)通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)?？梢越雇瑫r可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時允許外部訪問特定的MailServer和WebServer。集中的安全管理Firewall對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。第6頁共26頁如在Firewall可以定義不同的認(rèn)證方法，而不需在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過—次認(rèn)證即可訪問內(nèi)部網(wǎng)。增強(qiáng)的保密性使用FirewallFinger和DNS。記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。４１２設(shè)置防火墻的要素網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。Firewall設(shè)計(jì)策略Firewall設(shè)計(jì)策略基于特定的firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第7頁共26頁通常采用第二種類型的設(shè)計(jì)策略。４１３防火墻的基本分類包過濾IP包過濾：√源IP地址；√目的IP地址；√TCP/UDP源端口；√TCP/UDP目的端口。包過濾路由器存在許多弱點(diǎn)：√包過濾規(guī)則難于設(shè)置并缺乏已有的測試工具驗(yàn)證規(guī)則的正確性(手工測險(xiǎn)的封包才可能檢測出來?！虒?shí)際運(yùn)行中，經(jīng)常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。但是，規(guī)則例外使包過濾規(guī)則過于復(fù)雜而難以管理。例如，定義規(guī)則-禁止所有到達(dá)(Inbound)的端口23要直接Telnet連接，此時必須為內(nèi)部網(wǎng)的每個系統(tǒng)分別定義一條規(guī)則?！棠承┌^濾路由器不支持TCP/UDP源端口過濾，可能使過濾規(guī)則集更加SMTP連接源端口是隨機(jī)產(chǎn)生的(>1023)，此時如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有>1023端口的雙向連接。此時用戶通過重新映射端口，可以繞過過濾路由器?！虒υS多RPC(RemouteProcedureCall服務(wù)進(jìn)行包過濾非常困難。由于RPC的Listen口是在主機(jī)啟動后隨機(jī)地分配的，要禁止RPC服務(wù)，通常需要禁止所有的UDP(絕大多數(shù)RPC使用DNS連接就會被禁止。應(yīng)用網(wǎng)關(guān)為了解決包過濾路由器的弱點(diǎn)，F(xiàn)irewall要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如Telnet和Ftp)。這樣的應(yīng)用稱為代理服務(wù)，運(yùn)行代理服務(wù)的主機(jī)第8頁共26頁過濾器更高的安全性和更大的靈活性。應(yīng)用網(wǎng)關(guān)的優(yōu)點(diǎn)是：√比包過濾路由器更高的安全件?！烫峁f(xié)議的過濾，如可以禁止FTP連接的Put命令?！绦畔㈦[藏，應(yīng)用網(wǎng)關(guān)為外部連接提供代理?！探训恼J(rèn)證和日志?！坦?jié)省費(fèi)用，第三方的認(rèn)證設(shè)備(軟件或硬件)只需安裝在應(yīng)用網(wǎng)關(guān)上?！毯喕挽`活的過濾規(guī)則，路由器只需簡單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。應(yīng)用網(wǎng)關(guān)的缺點(diǎn)在于：√新的服務(wù)需要安裝新的代理服務(wù)器?！逃袝r需要對客戶軟件進(jìn)行修改?！炭赡軙档途W(wǎng)絡(luò)性能?！虘?yīng)用網(wǎng)關(guān)可能被攻擊。線路級網(wǎng)關(guān)線路級網(wǎng)關(guān)提供內(nèi)部網(wǎng)和外部網(wǎng)連接的中繼，但不提供額外的處理和過濾能力。Stateful防火墻多的連接特性，但是安全性比較應(yīng)用網(wǎng)關(guān)差。４１４建設(shè)防火墻的基本原則分析安全和服務(wù)需求以下問題有助于分析安全和服務(wù)需求：√計(jì)劃使用哪些Internet服務(wù)(如http，ftp，gopher)，從何處使用Internet服務(wù)(本地網(wǎng)，撥號，遠(yuǎn)程辦公室)?！淘黾拥男枰?，如加密或拔號接入支持?！烫峁┮陨戏?wù)和訪問的風(fēng)險(xiǎn)。第9頁共26頁√提供網(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價(jià)。策略的靈活性Internet相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因：√Internet自身發(fā)展非?？欤瑱C(jī)構(gòu)可能需要不斷使用Internet提供的新服務(wù)開展業(yè)務(wù)。新的協(xié)議和服務(wù)大量涌現(xiàn)帶來新的安全問題，安全策略必須能反應(yīng)和處理這些問題。√機(jī)構(gòu)面臨的風(fēng)險(xiǎn)并非是靜態(tài)的，機(jī)構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險(xiǎn)。遠(yuǎn)程用戶認(rèn)證策略√遠(yuǎn)程用戶不能通過放置于Firewall后的未經(jīng)認(rèn)證的Modem訪問系統(tǒng)。√PPP/SLIP連接必須通過Firewall認(rèn)證?！虒h(yuǎn)程用戶進(jìn)行認(rèn)證方法培訓(xùn)。撥入/撥出策略√撥入/撥出能力必須在設(shè)計(jì)Firewall時進(jìn)行考慮和集成?！掏獠繐苋胗脩舯仨毻ㄟ^Firewall的認(rèn)證。InformationServer策略√公共信息服務(wù)器的安全必須集成到Firewall中?！瘫仨殞残畔⒎?wù)器進(jìn)行嚴(yán)格的安全控制，否則將成為系統(tǒng)安全的缺口。√為Informationserver定義折中的安全策略允許提供公共服務(wù)?！虒残畔⒎?wù)和商業(yè)信息(如email)講行安全策略區(qū)分。Firewall系統(tǒng)的基本特征√Firewall必須支持．“禁止任何服務(wù)除非被明確允許”的設(shè)計(jì)策略?！蘁irewall必須支持實(shí)際的安全政策，而非改變安全策略適應(yīng)Firewall。√Firewall略的改變。√Firewall必須支持增強(qiáng)的認(rèn)證機(jī)制?！蘁irewall應(yīng)該使用過濾技術(shù)以允許或拒絕對特定主機(jī)的訪問。第10頁共26頁√IP過濾描述語言應(yīng)該靈活，界面友好，并支持源IP和目的IP，協(xié)議類型，源和目的TCP/UDP口，以及到達(dá)和離開界面。√Firewall應(yīng)該為提供代理服務(wù)，以提供增強(qiáng)和集中的認(rèn)證等)也必須通過代理服務(wù)器?！蘁irewall應(yīng)該支持集中的SMTP處理，減少內(nèi)部網(wǎng)和遠(yuǎn)程系統(tǒng)的直接連接。√Firewall應(yīng)該支持對公共Informationserver的訪問，支持對公共Informationserver的保護(hù)，并且將Informationserver同內(nèi)部網(wǎng)隔離?！蘁irewall可支持對撥號接入的集中管理和過濾?！蘁irewall應(yīng)支持對交通、可疑活動的日志記錄?！倘绻鸉irewall有己知的安全漏洞Patch?！蘁irewall的設(shè)計(jì)應(yīng)該是可理解和管理的?！蘁irewall依賴的操作系統(tǒng)應(yīng)及時地升級以彌補(bǔ)安全漏洞。４１５選擇防火墻的要點(diǎn)(1)安全性：即是否通過了嚴(yán)格的入侵測試。(2)抗攻擊能力：對典型攻擊的防御能力(3)性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力(4)自我完備能力：自身的安全性，F(xiàn)ail-close(5)可管理能力：是否支持SNMP網(wǎng)管(6)VPN支持(7)認(rèn)證和加密特性(8)服務(wù)的類型和原理(9)網(wǎng)絡(luò)地址轉(zhuǎn)換能力４.３第11頁共26頁播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。病毒防護(hù)的主要技術(shù)如下：(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。(4)PC上安裝Java及ActiveX止未經(jīng)許可的控件下載和安裝。４.４保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：(1)入侵者可尋找防火墻背后可能敞開的后門。(2)入侵者可能就在防火墻內(nèi)。(3)由于性能的限制，防火焰通常不能提供實(shí)時的入侵檢測能力。及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機(jī)√基于網(wǎng)絡(luò)基于主機(jī)的入侵檢測系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時監(jiān)視可疑的連第12頁共26頁Web服務(wù)器應(yīng)用。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實(shí)時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，其基本模型如下圖示：圖入侵檢測系統(tǒng)的基本模型上述模型由四個部分組成：(1)PassiveprotocolAnalyzer網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析器、將結(jié)果送給模式匹配部分并根據(jù)需要保存。(2)Pattern-MatchingSignatureAnalysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。(3)countermeasure執(zhí)行規(guī)定的動作。(4)Storage保存分析結(jié)果及相關(guān)數(shù)據(jù)?；谥鳈C(jī)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)：(1)精確，可以精確地判斷入侵事件。(2)高級，可以判斷應(yīng)用層的入侵事件。(3)對入侵時間立即進(jìn)行反應(yīng)。(4)針對不同操作系統(tǒng)特點(diǎn)。(5)占用主機(jī)寶貴資源?；诰W(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)：(1)能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。第13頁共26頁(2)實(shí)時網(wǎng)絡(luò)監(jiān)視。(3)監(jiān)視粒度更細(xì)致。(4)精確度較差。(5)防入侵欺騙的能力較差。(6)交換網(wǎng)絡(luò)環(huán)境難于配置。基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。選擇入侵監(jiān)視系統(tǒng)的要點(diǎn)是：(1)協(xié)議分析及檢測能力。(2)解碼效率(速度)。(3)自身安全的完備性。(4)精確度及完整度，防欺騙能力。(5)模式更新速度。４.５安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。安全掃描工具源于Hacker在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強(qiáng)大的支持。安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：(1)速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時。第14頁共26頁(2)網(wǎng)絡(luò)拓?fù)洹Ｍㄟ^GUI的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。(3)能夠發(fā)現(xiàn)的漏洞數(shù)量。(4)是否支持可定制的攻擊方法。通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實(shí)現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。(5)報(bào)告，掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。(6)升級，并給出相應(yīng)的改進(jìn)建議。４.６現(xiàn)。認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面：(1)路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。(2)操作系統(tǒng)認(rèn)證。操作系統(tǒng)對用戶的認(rèn)證。(3)網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。(5)撥號訪問服務(wù)器與客戶間的認(rèn)證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認(rèn)證。(7)電子郵件通訊雙方的認(rèn)證。數(shù)字簽名技術(shù)主要用于：(1)基于PKI認(rèn)證體系的認(rèn)證過程。(2)基于PKI的電子郵件及交易(通過Web進(jìn)行的交易)的不可抵賴記錄。加密及兩種加密方法的混合。UserName/Password認(rèn)證等，但由于此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。第15頁共26頁使用摘要算法的認(rèn)證Radius(撥號認(rèn)證協(xié)議)、路由協(xié)議(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)進(jìn)行認(rèn)證，由于摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計(jì)算出共享的securitykey，敏感信息不在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法有MD5和SHA-1?；赑KI的認(rèn)證要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率結(jié)PKI件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻驗(yàn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)４.７４７１企業(yè)對VPN技術(shù)的需求企業(yè)總部和各分支機(jī)構(gòu)之間采用internetinternet是公用私用網(wǎng)(VPN)。因?yàn)閂PN網(wǎng)絡(luò)接入到internet，暴露出兩個主要危險(xiǎn)：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。當(dāng)企業(yè)通過INTERNET進(jìn)行通訊時，信息可能受到竊聽和非法修改。完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密-通訊過程不被竊聽。通訊主體真實(shí)性確認(rèn)-網(wǎng)絡(luò)上的計(jì)算機(jī)不被假冒。４７２數(shù)字簽名RSA)基于第16頁共26頁使用私有密鑰計(jì)算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計(jì)算能力上是不可行的。都將會被發(fā)現(xiàn)。通訊雙方通過Diffie-Hellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進(jìn)行驗(yàn)證。加密密鑰認(rèn)證密鑰Deff-HellmanRSA生成會話密鑰驗(yàn)證加密密鑰表1加密模式使用的密鑰技術(shù)它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。４７３IPSecIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計(jì)在1998年將確定為IETF標(biāo)準(zhǔn)，是VPN實(shí)現(xiàn)的Internet標(biāo)準(zhǔn)。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。該標(biāo)準(zhǔn)為每個IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進(jìn)行密鑰交換、管理及加密通訊協(xié)商(SecurityAssociation)。Ipsec包含兩個部分：(1)IPsecurityProtocolproper，定義Ipsec報(bào)文格式。(2)ISAKMP/Oakley，負(fù)責(zé)加密通訊協(xié)商。Ipsec提供了兩種加密通訊手段：IpsecTunnel：整個IP封裝在Ipsec報(bào)文。提供Ipsec-gateway之間的通第17頁共26頁訊。址。Ipsectransport：對IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目的地IpsecTunnel不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶不能看到實(shí)際的的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。ISAKMP/Oakley使用X.509數(shù)字證書，因此，使VPN能夠容易地?cái)U(kuò)大到企業(yè)級。(易于管理)。在為遠(yuǎn)程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。由于Ipsec即將成為Internet可以實(shí)現(xiàn)互通。４.８Internet/Intranet中主要的應(yīng)用平臺服務(wù)的安全問題及相關(guān)技術(shù)。４８１域名服務(wù)Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。hackerIP、操作系統(tǒng)