電子商務(wù)安全與支付 6 服務(wù)器安全.ppt

第6章服務(wù)器安全 6 1對服務(wù)器的安全威脅6 2訪問控制和認(rèn)證6 3常見企業(yè)級防火墻介紹6 4常見企業(yè)級防火墻的使用方法6 5常見的入侵檢測方法 6 1對服務(wù)器的安全威脅 6 1 1對WWW服務(wù)器的安全威脅6 1 2對數(shù)據(jù)庫的安全威脅6 1 3對公用網(wǎng)關(guān)接口的安全威脅6 1 4對其他程序的安全威脅 客戶機(jī) 互聯(lián)網(wǎng) 服務(wù)器的電子商務(wù)鏈上第三個環(huán)節(jié)是服務(wù)器 對企圖破壞或非法獲取信息的人來說 服務(wù)器有很多弱點(diǎn)可被利用 其中一個入口是WWW服務(wù)器極其軟件 其他入口包括任何有數(shù)據(jù)的后臺程序 如數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器 也許最危險(xiǎn)的入口是服務(wù)器上的公用網(wǎng)關(guān)接口程序或其他工具程序 6 1 1對WWW服務(wù)器的安全威脅WWW服務(wù)器軟件是用來響應(yīng)HTTP請求進(jìn)行頁面?zhèn)鬏數(shù)?雖然WWW服務(wù)器軟件本身并沒有內(nèi)在的高風(fēng)險(xiǎn)性 但其主要設(shè)計(jì)目標(biāo)是支持WWW服務(wù)和方便使用 所以軟件越復(fù)雜 包含錯誤代碼的概率就越高 有安全漏洞的概率也就越高 安全漏洞是指破壞者可因之進(jìn)入系統(tǒng)的安全方面的缺陷 在大多數(shù)情況下 WWW服務(wù)器提供的是在低權(quán)限下能完成的普通服務(wù)和任務(wù) 6 1 2對數(shù)據(jù)庫的安全威脅電子商務(wù)系統(tǒng)以數(shù)據(jù)庫存儲用戶數(shù)據(jù) 并可從WWW服務(wù)器所連的數(shù)據(jù)庫中檢索產(chǎn)品信息 數(shù)據(jù)庫服務(wù)器實(shí)際上是每一個電子交易 金融和企業(yè)資源規(guī)劃系統(tǒng)的基礎(chǔ) 數(shù)據(jù)庫除存儲產(chǎn)品信息外 還可能保存有價(jià)值的信息或隱私信息 如果被更改或泄露會對公司帶來無法彌補(bǔ)的損失 1 數(shù)據(jù)庫安全問題的重要性 1 保護(hù)系統(tǒng)敏感信息和數(shù)字資產(chǎn)不受非法訪問 2 數(shù)據(jù)庫是個極為復(fù)雜的系統(tǒng) 因此很難進(jìn)行正確的配置和安全維護(hù) 3 保障數(shù)據(jù)庫服務(wù)器上的網(wǎng)絡(luò)和操作系統(tǒng)數(shù)據(jù)安全是至關(guān)重要的 4 拙劣的數(shù)據(jù)庫安全保障設(shè)施不僅會危及數(shù)據(jù)庫的安全 還會影響到服務(wù)器的操作系統(tǒng)和其他信用系統(tǒng) 5 數(shù)據(jù)庫是新型電子交易 企業(yè)資源規(guī)劃和其他重要商業(yè)系統(tǒng)的基礎(chǔ) 2 數(shù)據(jù)庫的漏洞傳統(tǒng)的數(shù)據(jù)庫安全系統(tǒng)只側(cè)重于以下幾項(xiàng) 用戶帳戶 作用和對特定數(shù)據(jù)庫目標(biāo)的操作許可 必須對數(shù)據(jù)庫系統(tǒng)做范圍更廣的徹底安全分析 找出所有可能領(lǐng)域內(nèi)的潛在漏洞 包括以下提到的各項(xiàng)內(nèi)容 1 與銷售商提供的軟件相關(guān)的風(fēng)險(xiǎn) 軟件的BUG 缺少操作系統(tǒng)補(bǔ)丁 脆弱的服務(wù)和選擇不安全的默認(rèn)配置 2 與管理有關(guān)的風(fēng)險(xiǎn) 可用的但并未正確使用的安全選項(xiàng) 危險(xiǎn)的默認(rèn)設(shè)置 給用戶更多的不適當(dāng)?shù)臋?quán)限 對系統(tǒng)配置的未經(jīng)授權(quán)的改動 3 與用戶活動有關(guān)的風(fēng)險(xiǎn) 密碼長度不夠 對重要數(shù)據(jù)的非法訪問以及竊取數(shù)據(jù)庫內(nèi)容等惡意行動 3 數(shù)據(jù)庫安全 漏洞區(qū)域及示例 1 安全特征不夠成熟 2 數(shù)據(jù)庫密碼的管理 3 操作系統(tǒng)的后門 4 校驗(yàn) 5 特洛伊木馬程序 6 1 3對公用網(wǎng)關(guān)接口的安全威脅公用網(wǎng)關(guān)接口 CGI 它可實(shí)現(xiàn)從WWW服務(wù)器到另一個程序的信息傳輸 CGI和接受它所傳輸數(shù)據(jù)的程序?yàn)榫W(wǎng)頁提供了活動內(nèi)容 因?yàn)镃GI是程序 如果濫用就會帶來安全威脅 6 1 4對其他程序的安全威脅1 對服務(wù)器的攻擊可能來自服務(wù)器上所運(yùn)行的程序 例 蠕蟲2 溢出攻擊就是將指令寫在關(guān)鍵的內(nèi)存位置上 使侵入的程序在完成了覆蓋緩存內(nèi)容后 WWW服務(wù)器通過載入記錄攻擊程序地址的內(nèi)部寄存器來恢復(fù)執(zhí)行 例 郵件服務(wù)器 3 DNS對服務(wù)器的威脅 1 名字欺騙 2 信息隱藏解決以上兩個問題的辦法主要有兩種 1 直接利用DNS軟件本身具備的安全特性來實(shí)現(xiàn) 2 以防火墻 NAT為基礎(chǔ) 并運(yùn)用私有地址和注冊地址的概念 6 2訪問控制和認(rèn)證 6 2 1入網(wǎng)訪問控制6 2 2權(quán)限控制6 2 3目錄級安全控制6 2 4屬性安全控制6 2 5服務(wù)器安全控制 訪問控制和認(rèn)證是指控制訪問電子商務(wù)服務(wù)器的人和訪問內(nèi)容 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略 它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一 訪問控制涉及的技術(shù)也比較廣 包括入網(wǎng)訪問控制 網(wǎng)絡(luò)權(quán)限控制 目錄級控制以及屬性控制等多種手段 6 2 1入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源 控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng) 用戶的入網(wǎng)訪問控制可分為三個步驟 用戶名的識別與驗(yàn)證 用戶口令的識別與驗(yàn)證 用戶帳號的缺省限制檢查 三道關(guān)卡只要任何一關(guān)未過 該用戶便不能進(jìn)入該網(wǎng)絡(luò) 6 2 2權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施 用戶和用戶組被賦予一定的權(quán)限 網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄 子目錄 文件和其他資源 可以指定用戶對這些文件 目錄 設(shè)備能夠執(zhí)行哪些操作 我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類 特殊用戶 系統(tǒng)管理員 一般用戶 審計(jì)用戶 6 2 3目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄 文件 設(shè)備的訪問 用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效 用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限 對目錄和文件的訪問權(quán)限一般有八種 系統(tǒng)管理員權(quán)限 讀權(quán)限 寫權(quán)限 創(chuàng)建權(quán)限 刪除權(quán)限 修改權(quán)限 文件查找權(quán)限 訪問控制權(quán)限 6 2 4屬性安全控制當(dāng)用文件 目錄和網(wǎng)絡(luò)設(shè)備時(shí) 網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件 目錄等指定訪問屬性 屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性 屬性往往能控制以下幾個方面的權(quán)限 向某個文件寫數(shù)據(jù) 拷貝一個文件 刪除目錄或文件 查看目錄和文件 執(zhí)行文件 隱含文件 共享 系統(tǒng)屬性等 6 2 5服務(wù)器安全控制服務(wù)器安全控制通常是采用服務(wù)器認(rèn)證方法來實(shí)現(xiàn)的 服務(wù)器認(rèn)證就是驗(yàn)證期望訪問計(jì)算機(jī)的人的身份 一般用數(shù)字證書進(jìn)行驗(yàn)證 第一 證書是用戶的許可證 第二 服務(wù)器檢查證書上的時(shí)間標(biāo)記以確認(rèn)證書未過期 并拒絕為過期證書提供服務(wù) 第三 服務(wù)器可使用回叫系統(tǒng) 即根據(jù)用戶名和為其指定的客戶機(jī)地址的清單來核對用戶名和客戶機(jī)地址 6 3常見企業(yè)級防火墻介紹 6 3 1選擇防火墻的要求6 3 2選購防火墻應(yīng)該注意的問題6 3 3防火墻的局限6 3 4常見企業(yè)級防火墻產(chǎn)品介紹 6 3 1選擇防火墻的要求1 防火墻應(yīng)具備的基本功能支持 除非明確允許 否則就禁止 的設(shè)計(jì)策略 即使這種策略不是最初使用的策略 本身支持安全策略 而不是添加上去的 如果組織機(jī)構(gòu)的安全策略發(fā)生改變 可以加入新的服務(wù) 有先進(jìn)的認(rèn)證手段或有掛鉤程序 可以安裝先進(jìn)的認(rèn)證方法 如果需要 可以運(yùn)用過濾技術(shù)允許和禁止服務(wù) 可以使用FTP和TELNET等服務(wù)代理 以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上 擁有界面友好 易于編程的IP過濾語言 并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾 2 其他功能防火墻應(yīng)該能夠集中和過濾撥入訪問 并可以記錄網(wǎng)絡(luò)流量和可疑的活動 此外 為了使日志具有可讀性 防火墻應(yīng)具有精簡日志的能力 6 3 2選購防火墻應(yīng)該注意的問題防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備 它貫穿于受控網(wǎng)絡(luò)通信主干線 因此 選用一個安全 穩(wěn)定和可靠的防火墻產(chǎn)品 其重要性不言而喻 1 防火墻自身是否安全防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個方面 防火墻安全指標(biāo)最終可歸結(jié)為以下兩個問題 1 防火墻是否基于安全的操作系統(tǒng) 2 防火墻是否采用專用的硬件平臺 2 系統(tǒng)是否穩(wěn)定可以從以下幾個渠道獲得 1 國家權(quán)威的測評認(rèn)證機(jī)構(gòu) 如公安部計(jì)算機(jī)安全產(chǎn)品檢測中心和中國國家信息安全測評認(rèn)證中心 2 與其他產(chǎn)品相比 是否獲得更多的國家權(quán)威機(jī)構(gòu)的認(rèn)證 推薦和入網(wǎng)證明 3 施加調(diào)查 這是最有效的方法 考察使用單位和用戶對該防火墻的評價(jià) 4 自己試用 5 廠商開發(fā)研制的歷史 6 廠商的實(shí)力 3 防火墻是否高效高性能是防火墻的一個重要指標(biāo) 它直接體現(xiàn)可防火墻的可用性 也體現(xiàn)可用戶使用防火墻所需付出的安全代價(jià) 4 防火墻是否可靠可靠性對防火墻類訪問控制設(shè)備來說尤為重要 其直接影響受控網(wǎng)絡(luò)的可用性 5 防火墻功能是否靈活對通信行為的有效控制 要求防火墻設(shè)備有一系列不同級別 滿足不同擁護(hù)的各類安全控制要求的控制注意 控制注意的有效性 多樣性 級別目標(biāo)的清晰性 制定的難易性和經(jīng)濟(jì)性等 體現(xiàn)著控制注意的高效和質(zhì)量 6 防火墻配置是否方便防火墻有沒有簡潔的安裝方法呢 有 就是支持透明通信的防火墻 7 防火墻管理是簡便提供靈活的管理方式和方法 通常體現(xiàn)為管理途徑 管理工具和管理權(quán)限 8 防火墻是否可以抵抗解決服務(wù)攻擊拒絕服務(wù)攻擊可以分為兩類 一類是由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計(jì)或編程上的缺陷而造成的 由此帶來的攻擊種類很多 只有通過打補(bǔ)丁的辦法來解決 另一類是由于TCP IP協(xié)議本身的缺陷造成的 只有有數(shù)的幾種 但危害性非常大 9 防火墻是否可以針對用戶身份進(jìn)行過濾10 防火墻是否具有可擴(kuò)展 可升級性下面是選購一個防火墻時(shí) 應(yīng)該考慮的其他因素 1 網(wǎng)絡(luò)受威脅的程度 2 若入侵者闖入網(wǎng)絡(luò) 將要受到的潛在的損失 3 其他已經(jīng)用來保護(hù)網(wǎng)絡(luò)極其資源的安全措施 4 由于硬件湖軟件失效 或防火墻遭到 拒絕服務(wù)侵襲 而導(dǎo)致用戶不能訪問因特網(wǎng) 造成整個機(jī)構(gòu)的損失 5 機(jī)構(gòu)所希望提供給因特網(wǎng)的服務(wù) 以及希望能從因特網(wǎng)得到的服務(wù) 6 可以同時(shí)通過防火墻的用戶數(shù)目 7 站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員 8 今后可能的要求 如要求增加通過防火墻的網(wǎng)絡(luò)活動或要求新的因特網(wǎng)服務(wù) 6 3 3防火墻的局限我們在利用防火墻的各種益處的同時(shí)也應(yīng)該意識到防火墻的局限 有時(shí)防火墻會給人一種虛假的安全感 導(dǎo)致在防火墻內(nèi)部放松安全警惕 而許多攻擊正是內(nèi)部犯罪 這是任何基于隔離的防范措施都無能為力的 同樣 防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題 6 3 4常見企業(yè)級防火墻產(chǎn)品介紹在國際防火墻市場上 能夠占有兩位數(shù)市場份額的廠家就只有CHECKPOINTSOFTWARE公司和CISCO公司 它們的市場占有率都在百分之二十左右 其他廠家比如AXENT公司 NETWORKASSOCIATES公司CYBERGUARD公司等的市場份額都在百分之五左右 在我國國內(nèi)市場 占有優(yōu)勢的仍舊是國外的防火墻產(chǎn)品 從2000年開始 國內(nèi)的防火墻產(chǎn)品紛紛出臺 出現(xiàn)了許多專業(yè)防火墻公司 如東方龍馬 天融信公司等 1 CHECKPOINTFIREWALL 1廠家 CHECKPOINT軟件技術(shù)有限公司網(wǎng)址 基本特性 1 軟件防火墻 2 通用平臺支持廣泛 3 狀態(tài)檢測 4 結(jié)合了多種安全機(jī)制 5 一個開放的系統(tǒng) 6 性能好 7 優(yōu)秀的用戶管理方式 2 CISCOSECUREPIXFIREWALL廠家 CISCO系統(tǒng)公司網(wǎng)址 基本特性 1 硬件防火墻 2 專用系統(tǒng) 3 性能 是同類產(chǎn)品中最好的 對100baset可達(dá)線速 4 管理模塊能力沒有CHECKPOINT防火墻管理模塊那么強(qiáng)勁 3 NETSCREENFIREWALL廠家 NETSCREEN公司網(wǎng)址 基本特性 1 硬件防火墻 2 集成了防火墻 VPN 流量控制三種功能 3 將防火墻 虛擬專用網(wǎng) 網(wǎng)絡(luò)流量控制和寬帶接入這些功能全部集成在專有的一體硬件中 該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加密時(shí)的性能瓶頸 4 配置可在網(wǎng)絡(luò)上任何一臺帶有瀏覽器的機(jī)器上完成 4 NAIGAUNTLET防火墻廠家 NAI公司網(wǎng)址 基本特性 1 軟件的防火墻 2 應(yīng)用層代理 3 提出集成防病毒產(chǎn)品的解決方案 5 天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻北京天融信公司的網(wǎng)絡(luò)衛(wèi)士是我國第一套自主版權(quán)的防火墻系統(tǒng) 目前在我國電信 電子 教育 科研等單位廣泛使用 它由防火墻和管理器組成 6 紫光UNISFIREWALL基本特性 1 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 2 中立區(qū) DMZ 策略 3 多級過濾 動態(tài)過濾和代理 4 URL過濾 5 基于SSL的瀏覽器管理界面 允許通過流行的WEB瀏覽器使用HTTP協(xié)議管理和配置防火墻 保證了防火墻管理的安全性和易用性 支持瀏覽器超時(shí)退出的功能 保證了管理員離開管理計(jì)算機(jī)后的安全 6 訪問記錄 7 傳輸定制 7 東大阿爾派NETEYE基本特性 1 強(qiáng)大的過濾功能 提供了包過濾規(guī)則的時(shí)間屬性 以限制網(wǎng)絡(luò)訪問的時(shí)間 2 面向?qū)ο蟮目梢暬囊?guī)則編輯和管理工具 全新的可視化的管理和配置概念 3 雙機(jī)熱備份 即在同一個網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個配置相同的防火墻 4 雙向NAT功能 支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保留的IP地址 通過動態(tài)的地址轉(zhuǎn)換功能實(shí)現(xiàn)對外部網(wǎng)的訪問 5 提供三個網(wǎng)絡(luò)界面 即內(nèi)網(wǎng) 外網(wǎng)和DMZ區(qū) 6 實(shí)時(shí)入侵檢測 可以有效地防范外部黑客對內(nèi)部網(wǎng)絡(luò)的攻擊 提高了被保護(hù)網(wǎng)絡(luò)的安全性 7 對防火墻用戶的一次性口令驗(yàn)證 8 東方龍馬防火墻基本特性 1 動態(tài)設(shè)置過濾規(guī)則的功能 2 雙向的網(wǎng)絡(luò)地址轉(zhuǎn)換功能 同時(shí)支持一對一的靜態(tài)地址映射和多對一的動態(tài)地址映射兩種方式的地址轉(zhuǎn)換 3 抗攻擊和自我保護(hù)能力強(qiáng) 4 提供操作簡單的圖形化用戶界面對防火墻進(jìn)行配置 5 采用負(fù)載均衡技術(shù) 可以智能地將用戶的服務(wù)請求分布到多臺服務(wù)器上面 同時(shí) 提供容錯功能 可以自動隔離出有問題的服務(wù)器 6 通過雙機(jī)熱備份 提供可靠的容錯 熱待機(jī)功能 7 提供創(chuàng)新的URL級統(tǒng)計(jì) 屏蔽功能 管理員可以根據(jù)上述內(nèi)容控制的統(tǒng)計(jì)結(jié)果 手動或計(jì)算機(jī)自動屏蔽某些URL 6 4常見企業(yè)級防火墻的使用方法 6 4 1FIREWALL 16 4 2CISCOPIX防火墻 6 4 1FIREWALL 1一 FIREWALL 1產(chǎn)品組成包括以下模塊 1 基本模塊狀態(tài)檢測模塊 提供訪問控制 客戶機(jī)認(rèn)證 會話認(rèn)證 地轉(zhuǎn)換和審計(jì)功能 防火墻模塊 包含一個狀態(tài)檢測模塊 另外提供用戶認(rèn)證 內(nèi)容安全和多防火墻同步功能 管理模塊 對一個或多個安全策略執(zhí)行點(diǎn)提供集中的 圖形化的安全管理功能 2 可選模塊連接控制 為提供相同服務(wù)的多個應(yīng)用服務(wù)器提供負(fù)載平衡功能 路由器安全管理模塊 提供通過防火墻管理工作站配置 維護(hù)3COM CISCO BAY等路由器的安全規(guī)則 其他模塊 如加密模塊等 3 圖形用戶界面 GUI 是管理模塊功能的體現(xiàn) 包括 策略編輯器 維護(hù)管理對象 建立安全規(guī)則 把安全規(guī)則施加到安全策略執(zhí)行點(diǎn)上去 日志查看器 查看經(jīng)過防火墻的連接 識別并阻斷攻擊 系統(tǒng)狀態(tài)查看器 查看所有被保護(hù)對象的狀態(tài) 4 FIREWALL 1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合 單網(wǎng)關(guān)產(chǎn)品 只有防火墻模塊 管理模塊和圖形用戶界面各一個且防火墻模塊和管理模塊必須安裝在同一臺機(jī)器上 企業(yè)級產(chǎn)品 可以有若干個基本模塊和可選模塊以及圖形用戶界面組成 特別是可能配置較多的防火墻模塊和獨(dú)立的狀態(tài)檢測模塊 企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機(jī)器上 二 CHECKPOINT的主要特性 1 狀態(tài)檢測機(jī)制 2 OPSEC 3 企業(yè)級防火墻安全管理安全策略編輯器日志管理器系統(tǒng)狀態(tài)查看器 4 分布的客戶機(jī) 服務(wù)器結(jié)構(gòu) 5 認(rèn)證三種認(rèn)證方法 用戶認(rèn)證客 戶機(jī)認(rèn)證 會話認(rèn)證 6 地址轉(zhuǎn)換 NAT 三種不同的地址轉(zhuǎn)換模式 靜態(tài)源地址轉(zhuǎn)換靜態(tài)目的地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換 7 內(nèi)容安全利用第三方的防病毒服務(wù)器 通過防火墻規(guī)則配置 掃描通過防火墻的文件 清除計(jì)算機(jī)病毒 根據(jù)安全策略 在訪問WEB資源時(shí) 從HTTP頁面剝離JAVA等代碼 用戶定義過濾條件 過濾URL 控制FTP的操作 過濾FTP傳輸?shù)奈募?nèi)容 SMTP的內(nèi)容安全 可以設(shè)置在發(fā)現(xiàn)異常時(shí)進(jìn)行記錄或報(bào)警 通過控制臺集中管理 配置 維護(hù) 8 連接控制ServerLoadRoundTripRoundRobinRandomDomain 9 路由器安全管理通過圖形用戶界面生成路由器的過濾和配置 引入 維護(hù)路由器的訪問控制列表 記錄路由器事件 在路由器上執(zhí)行通過圖形用戶界面制定的安全策略 三 FIREWALL 1在WINDOWSNT下的安裝第一 了解整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) 第二 安裝防火墻主機(jī)操作系統(tǒng) 第三 安裝防火墻 第四 定義網(wǎng)絡(luò)對象 第五 配置防火墻主機(jī)的地址映射 第六 設(shè)定防火墻的安全策略 6 4 2CISCOPIX防火墻防火墻產(chǎn)品氛圍硬件和軟件兩種 硬件防火墻采用專用的硬件設(shè)備 然后集成生產(chǎn)廠商的專用防火墻軟件 軟件防火墻一般基于某個操作系統(tǒng)平臺開發(fā) 直接在計(jì)算機(jī)上進(jìn)行軟件的安裝和配置 相對于軟件防火墻而言 硬件防火墻往往能提供更優(yōu)越的網(wǎng)絡(luò)速度和性能 CISCO公司的PIX防火墻就是一種典型的企業(yè)級硬件防火墻 它優(yōu)勢有兩點(diǎn) 第一 網(wǎng)絡(luò)性能相當(dāng)不錯 第二 包含了豐富的基于IPSEC的VPN服務(wù)軟件 不足之處是管理完全基于命令行方式 安裝步驟如下 1 連接一臺控制終端 2 獲得最新PIX軟件 3 配置網(wǎng)絡(luò)路由 4 配置PIX 5 配置網(wǎng)絡(luò)接口 6 允許內(nèi)部用戶訪問外部網(wǎng)段 7 定義外部路由 8 允許使用PING命令 9 保存設(shè)置和重新啟動 10 增加TELNET訪問控制 11 增加服務(wù)器訪問控制 12 控制內(nèi)部網(wǎng)段對外的訪問 6 5常見的入侵檢測系統(tǒng) 6 5 1概述6 5 2常見的企業(yè)級網(wǎng)絡(luò)入侵檢測系統(tǒng) 6 5 1概述IntrusionDetectionSystem 入侵檢測系統(tǒng) 顧名思義 便是對入侵行為的發(fā)覺 它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反