(完整word版)系統(tǒng)容錯和安全機制

網(wǎng)絡系統(tǒng)的容錯和安全設計第一章網(wǎng)絡系統(tǒng)的容錯設計第一章網(wǎng)絡系統(tǒng)的容錯設計網(wǎng)絡容錯概述采用用友網(wǎng)絡財務軟件NC（基金Web版）Web系統(tǒng)后，基金管理公司及托管行的所有數(shù)據(jù)都存放在數(shù)據(jù)庫服務器中，服務器的宕機，會給企業(yè)帶來巨大的損失；這就要求一旦生產(chǎn)用服務器產(chǎn)生任何形式的宕機或失效，網(wǎng)絡上備用的服務器能夠立即接管宕機的服務器使整個系統(tǒng)不至于崩潰，從而保證整個企業(yè)的業(yè)務連續(xù)運作。保證系統(tǒng)高可用性，應從以下幾方面著手設計：1、數(shù)據(jù)鏡像數(shù)據(jù)鏡像是一種有效、高性能的高可用性解決方案，它不需要昂貴的RAID磁盤子系統(tǒng)，也無需考慮SCSI接口對纜線長度的限制?？蓴U展的磁盤鏡像運行在兩臺相互獨立又有備份邏輯的服務器之間。通過不斷檢測主系統(tǒng)磁盤或文件（源）的狀態(tài)，而實時地將改動的信息鏡像到目標機器的相應磁盤上或文件中。為了保證數(shù)據(jù)的完整性，擴展鏡像限制了用戶對目標磁盤或文件的寫操作。通過使用可擴展的磁盤鏡像，源系統(tǒng)的任何數(shù)據(jù)更新將通過LANs和WANs鏡像到用戶指定的目標系統(tǒng)上，當源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬盤損壞時在目標系統(tǒng)上將保留一份鏡像數(shù)據(jù)。有些可擴展的磁盤鏡像軟件可以實現(xiàn)一對一、一對多、多對一及多對多的數(shù)據(jù)鏡像而不需要任何附加的硬件設備。2、故障切換從系統(tǒng)確信不能收到來自主系統(tǒng)的”alive”心跳信號后，就開始啟動從系統(tǒng)上的自動恢復功能，將主系統(tǒng)上的需要保護的資源自動轉(zhuǎn)移到從系統(tǒng)上，并開始向客戶提供服務。一個比較好的機制在于如果從系統(tǒng)感覺不到主系統(tǒng)的心跳后，試圖通過其他途徑做進一步地檢測（例如檢測其他客戶機是否不能獲得主系統(tǒng)的服務）。故障切換的時間是指從系統(tǒng)自確信主系統(tǒng)“死掉”后，到完全接管主系統(tǒng)并向客戶提供服務止所經(jīng)歷的時間，時間越短，熱備份程度越高。當從服務器發(fā)生故障時，不應對主系統(tǒng)有任何影響。3、失效切換源要轉(zhuǎn)移到從系統(tǒng)上去，這就不但要求系統(tǒng)中的核心數(shù)據(jù)能轉(zhuǎn)移過來，還要求將其他資源轉(zhuǎn)移過來。與客戶關系比較密切的資源主要是：LAN局部網(wǎng)名，IP地址、應用程序、以及應用程序所依賴的數(shù)據(jù)。4、自動恢復要求在主服務器失效后，修復好后，IP地址、局部網(wǎng)名字、數(shù)據(jù)應用與服務應該方便地恢復到主服務器上5、私有通信純軟件實現(xiàn)的雙機容錯技術要求將主服務器的關鍵數(shù)據(jù)完全鏡像到從服務器，大量的數(shù)據(jù)如果通過網(wǎng)絡進行，必然會對網(wǎng)絡性能造成影響，另外主從服務器的相互檢測機制也會不同程度的影響網(wǎng)絡性能。因此純軟件實現(xiàn)的雙機容錯技術能夠提供附加的網(wǎng)卡鏈路將會有很大的好處。6、應用保護雙機容錯系統(tǒng)應該提供非?？煽康膽贸绦虮Ｗo機制，對于常用的數(shù)據(jù)庫和群件系統(tǒng)應該能夠進行無縫集成。7、寫盤延遲這是一個比較重要的參數(shù)，是指數(shù)據(jù)寫入主服務器與寫入從服務器的時間差。WindowsN平臺下的雙機容錯軟件—LegatoOctopusOctopusHA+forWindowsNT提供一個完全容錯的軟件解決方案，它提供數(shù)據(jù)、應用程序和通訊資源的高度可用性。Octopus不需要任何自定義的容錯硬件。Octopus提供了WindowsNT網(wǎng)絡平臺的數(shù)據(jù)容錯和實時數(shù)據(jù)保護，并且能夠模擬從一臺失效的源服務器切換到指定的目標服務器的全部手工作業(yè)過程，用來提供不間斷的服務器的所有業(yè)務服務。Fulltime公司研制開發(fā)的Octopus軟件提供了WindowsNT網(wǎng)絡平臺的雙機熱備份功能。它能夠?qū)崿F(xiàn)數(shù)據(jù)容錯和實時數(shù)據(jù)保護，源系統(tǒng)的任何數(shù)據(jù)更新將通過LANs和WANs鏡像到用戶指定的目標系統(tǒng)上，當源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬盤損壞時在目標系統(tǒng)上能夠得到一份鏡像文件。Octopus可以實現(xiàn)一對一、一對多、多對一及多對多的數(shù)據(jù)鏡像而不需要任何附加的硬件設備。它還能夠模擬從一臺失效的源服務器切換到指定的目標服務器的全部手工作業(yè)過程。它通過設計一個"檢測狗"判定源服務器的連續(xù)運做。一旦"檢測狗""聞"不到源服務器的"氣息"，目標服務器將自動接管源服務器的作業(yè)(包括主機名及IP地址)。Octopus消除了CPU損壞，硬盤損壞等災難的不良影響，使得用戶業(yè)務可以連續(xù)正常運行。OctopusHA+forWindowsNT為WindowsNT網(wǎng)絡提供實時數(shù)據(jù)保護和服務器高可用性，通過LAN或WAN,產(chǎn)品捕捉在源系統(tǒng)上選定文件的更新，傳遞到使用者指定的目標系統(tǒng)的磁盤。即使源系統(tǒng)發(fā)生數(shù)據(jù)丟失或硬件損壞，在目標系統(tǒng)上也能保留一份實時的數(shù)據(jù)。用戶將Octopus安裝在要作為源和/或目標服務器的WindowsNT上。安裝和配置Octopus非常容易，只需幾分鐘。Octopus可運行于任何WindowsNT支持的網(wǎng)絡接口上，并且不需要指定特殊的網(wǎng)卡。當然，用戶也可以指定特殊的網(wǎng)卡以減少網(wǎng)絡負擔。對源機器，用戶指定要備份的驅(qū)動器，目錄和/或文件，并指定用來保存數(shù)據(jù)的目標系統(tǒng)。當源機器上指定文件發(fā)生改變,Octopus鏡像進程把變化同步寫入目標服務器的指定位置。如果源和目標服務器的網(wǎng)絡連接發(fā)生中斷，Octopus保存源服務器上需鏡像的數(shù)據(jù)變化的日志，網(wǎng)絡連接恢復正常后，再把數(shù)據(jù)變化日志自動地傳送到目標服務器，目標服務器執(zhí)行相同的數(shù)據(jù)變化，以實現(xiàn)數(shù)據(jù)一致。Octopus能實現(xiàn)一對一，一對多，多對一或多對多方式的數(shù)據(jù)鏡像。因此，除數(shù)據(jù)保護之外，它還能作為分布式數(shù)據(jù)系統(tǒng)的高效率的數(shù)據(jù)傳送工具循環(huán)。例如，對需要很多只讀版本和一個讀寫版本的WEB節(jié)點，Octopus非常適用；另一方面，如果應用系統(tǒng)需要收集遠端節(jié)點的數(shù)據(jù)并集中于中央節(jié)點，可以使用Octopus多對一方式的數(shù)據(jù)鏡像。除數(shù)據(jù)保護之外,Octopus也提供核心業(yè)務環(huán)境下所需的服務器高可用性和業(yè)務連續(xù)性。SASO(SuperAutoSwitch-over)特性提供目標服務器自動擔任一或多個源服務器的角色的功能。在源服務器上用戶設定一個"心跳"頻率，"心跳"頻率決定了源服務器向目標服務器發(fā)送"I'malive"消息的頻率和目標服務器多長時間收不到源服務器的消息后就開始自動切換。如果目標系統(tǒng)在限定的時間之內(nèi)接收不到源系統(tǒng)”I'malive"報文，它檢查WindowsNT注冊表和服務數(shù)據(jù)庫。如果WindowsNT能在網(wǎng)絡上找到源服務器，它就持續(xù)監(jiān)視，如果找不到，就啟動Switch-over進程。在大的網(wǎng)絡它可能花很長時間來搜索WindowsNT注冊表和服務數(shù)據(jù)庫。因此Octopus提供一個最大等待時間參數(shù)，告訴Octopus不必等搜索完成，就啟動切換進程。這個特性使用戶可以指定一個目標服務器尋找源服務器的最大時間，如果在這個時間內(nèi)目標服務器收不到源服務器的信息，就假定源服務器失效并開始進行切換。通過SASO,目標服務器添加源服務器的主機名，及用戶指定的IP地址，用戶還可以指定在切換前/后要停止/啟動的服務或應用。切換后，目標服務器自身的應用仍可使用，并且可加入多個失效服務器的角色。網(wǎng)絡中的用戶可以繼續(xù)工作而感覺不到服務器已經(jīng)失效并已經(jīng)被切換。而通過ASO則是目標服務器完全切換成源服務器的主機名，代替源服務器的工作。如果你有WindowsNT服務器，通過Octopus的實時數(shù)據(jù)保護和高可用性，可保護你的服務器和有價值的數(shù)據(jù)。Octopus軟件的特性：沒有延遲實時鏡像數(shù)據(jù)；鏡像實際文件操作，不是全文件比較或拷貝；鏡像使用者指定的文件、目錄、或磁盤，而不是整個磁盤、分區(qū)或卷集；可對打開的文件進行操作；對刪除的保護；每個服務器都可做為源或目標；數(shù)據(jù)可以通過NT網(wǎng)絡鏡像到任何地方；無須附加的硬件；允許鏡像至多個位置；自動切換無須人工干涉；SuperAutomaticSwitch-Over允許目標服務器可接管多臺服務器的服務而不影響本身的應用；在切換時可指定服務、應用；遠程管理或安裝；可以選用附加的網(wǎng)卡來減輕網(wǎng)絡負擔。三．惠普雙機雙控容錯系統(tǒng)方案（1）惠普雙機雙控容錯系統(tǒng)簡介近年來隨著計算機技術的飛速發(fā)展，服務器的性能有了大幅度的提升，服務器作為處理關鍵性事物的業(yè)務主機已隨處可見。對于要求有高可用性和高安全性的系統(tǒng)，比如金融、郵電、交通、石油、電力、保險、證券等行業(yè)，用戶提出了系統(tǒng)容錯的要求?；萜展靖鶕?jù)用戶這一要求，推出了惠普雙機雙控容錯系統(tǒng)方案。用二臺服務器共同工作，當一臺服務器的系統(tǒng)出現(xiàn)故障時，另一臺服務器可確保系統(tǒng)正常運行，從而將系統(tǒng)風險降低到最低限度，保障了系統(tǒng)的高可靠性、高安全性和高可用性?；萜针p機雙控容錯系統(tǒng)技術基礎為近年來成熟起來的Cluster集群技術。Cluster集群技術出發(fā)點是提供高可靠性、可擴充性和抗災難性?；萜针p機雙控容錯系統(tǒng)解決方案重點在提供高可靠性和高安全性，Cluster集群技術為此提供了技術上的保證?；萜展緸榻鹑凇⑧]電、交通、石油、電力、保險、證券等需要安全運行的系統(tǒng)度身定作了基于Cluster集群技術的雙機雙控容錯系統(tǒng)方案。Cluster集群技術Cluster集群技術可如下定義：一組相互獨立的服務器在網(wǎng)絡中表現(xiàn)為單一的系統(tǒng)，并以單一系統(tǒng)的模式加以管理。此單一系統(tǒng)為客戶工作站提供高可靠性的服務。Cluster大多數(shù)模式下，集群中所有的計算機擁有一個共同的名稱，集群內(nèi)任一系統(tǒng)上運行的服務可被所有的網(wǎng)絡客戶所使用。Cluster必須可以協(xié)調(diào)管理各分離的組件的錯誤和失敗,并可透明地向Cluster中加入組件。一個Cluster包含多臺（至少二臺）擁有共享數(shù)據(jù)儲存空間的服務器。任何一臺服務器運行一個應用時，應用數(shù)據(jù)被存儲在共享的數(shù)據(jù)空間內(nèi)。每臺服務器的操作系統(tǒng)和應用程序文件存儲在其各自的本地儲存空間上。Cluster內(nèi)各節(jié)點服務器通過一內(nèi)部局域網(wǎng)相互通訊。當一臺節(jié)點服務器發(fā)生故障時，這臺服務器上所運行的應用程序?qū)⒃诹硪还?jié)點服務器上被自動接管。當一個應用服務發(fā)生故障時，應用服務將被重新啟動或被另一臺服務器接管。當以上任一故障發(fā)生時，客戶將能很快連接到新的應用服務上。RmRmI圖1-1Cluster集群技術示意圖Cluster集群可由N臺服務器構成，當我們?nèi)luster要求的最小值N=2時，就成為一個雙機系統(tǒng)。(2).HPNetServerClusters雙機雙控容錯系統(tǒng)方案惠普NetServer為雙機雙控容錯系統(tǒng)提供了高品質(zhì)和高可靠的硬件基礎?；萜瞻逊€(wěn)定的產(chǎn)品與先進的技術相互結(jié)合，為客戶提供全套的解決方案?；萜针p機雙控容錯系統(tǒng)結(jié)合了惠普服務器產(chǎn)品的安全可靠性與Cluster技術的優(yōu)點，相互配合二者的優(yōu)勢?；萜誑etServer服務器針對Cluster技術做了許多優(yōu)化和改進，滿足了Cluster所有硬件連接要求，針對Cluster需求專門設計了惠普獨有的ClusterAdapter，以及特殊版本的NetRAID陣列卡?；萜张c第三方軟件廠商一起充分分析了客戶的需求，基于UNIX應用環(huán)境的實際情況，研制了雙機雙控軟件ServerGuard；基于WindowsNT應用環(huán)境的實際情況，研制了雙機雙控軟件Dataware。與微軟公司合作，提供了運行WolfPack的硬件平臺?；萜针p機雙控容錯系統(tǒng)是惠普提供的全套解決方案，并由惠普提供技術保障。圖1-2惠普雙機雙控容錯系統(tǒng)示意圖第二章網(wǎng)絡的安全規(guī)劃與設計一．網(wǎng)絡系統(tǒng)安全綜合解決方案由于大型網(wǎng)絡系統(tǒng)內(nèi)運行多種網(wǎng)絡協(xié)議（TCP/IP,IPX/SPX,NETBEUA）,而這些網(wǎng)絡協(xié)議并非專為安全通訊而設計。所以，網(wǎng)絡系統(tǒng)可能存在的安全威脅來自以下方面：1、操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。2、防火墻的安全性。防火墻產(chǎn)品自身是否安全,是否設置錯誤,需要經(jīng)過檢驗。3、來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)的安全性。4、采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。5、未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。6、應用服務的安全。許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。二．局域網(wǎng)安全解決方案由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。1、網(wǎng)絡分段網(wǎng)絡分段是保證安全的一項重措施，同時也是一項基本措施，其指導思想在于將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡從物理層和數(shù)據(jù)鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現(xiàn)對網(wǎng)絡的物理分段。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡層（ISO/OSI模型中的第三層）上進行分段。例如，對于TCP/IP網(wǎng)絡，可把網(wǎng)絡分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。2、VLAN的實現(xiàn)虛擬網(wǎng)技術主要基于近年發(fā)展的局域網(wǎng)交換技術（ATM和以太網(wǎng)交換）。交換技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機制，但應用了交換機和VLAN技術后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此，防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術也帶來了新的問題：執(zhí)行虛擬網(wǎng)交換的設備越來越復雜，從而成為被攻擊的對象。基于網(wǎng)絡廣播原理的入侵監(jiān)控技術在高速交換網(wǎng)絡內(nèi)需要特殊的設置?；贛AC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。三．廣域網(wǎng)安全解決方案由于廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進行傳輸時信息也可能會被不法分子截取。如分支機構從異地發(fā)一個信息到總部時，這個信息包就可能被人截取和利用。因此在廣域網(wǎng)上發(fā)送和接收信息時要保證：1、除了發(fā)送方和接收方外，其他人是不可知悉的（隱私性）；2、傳送過程中不被篡改（真實性）；3、發(fā)送方能確信接收方不是假冒的（非偽裝性）；4、發(fā)送方不能否認自己的發(fā)送行為（非否認）。如果沒有專門的軟件對數(shù)據(jù)進行控制，所有的廣域網(wǎng)通信都將不受限制地進行傳輸，因此任何一個對通信進行監(jiān)測的人都可以對通信數(shù)據(jù)進行截取。這種形式的“攻擊”是相對比較容易成功的，只要使用現(xiàn)在可以很容易得到的“包檢測”軟件即可。如果從一個聯(lián)網(wǎng)的UNIX工作站上使用“跟蹤路由”命令的話，就可以看見數(shù)據(jù)從客戶機傳送到服務器要經(jīng)過多少種不同的節(jié)點和系統(tǒng)，所有這些都被認為是最容易受到黑客攻擊的目標。一般地，一個監(jiān)聽攻擊只需通過在傳輸數(shù)據(jù)的末尾獲取IP包的信息即可以完成。這種辦法并不需要特別的物理訪問。如果對網(wǎng)絡用線具有直接的物理訪問的話，還可以使用網(wǎng)絡診斷軟件來進行竊聽。對付這類攻擊的辦法就是對傳輸?shù)男畔⑦M行加密，或者是至少要對包含敏感數(shù)據(jù)的部分信息進行加密。（1）、加密技術加密型網(wǎng)絡安全技術的基本思想是不依賴于網(wǎng)絡中數(shù)據(jù)路徑的安全性來實現(xiàn)網(wǎng)絡系統(tǒng)的安全，而是通過對網(wǎng)絡數(shù)據(jù)的加密來保障網(wǎng)絡的安全可靠性，因而這一類安全保障技術的基石是使用放大數(shù)據(jù)加密技術及其在分布式系統(tǒng)中的應用。數(shù)據(jù)加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，從而使用成本較高，保安性能也不易保證。這類算法的代表是在計算機專網(wǎng)系統(tǒng)中廣泛使用的DES算法（DigitalEncryptionStandard）。不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有二個密鑰，它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到廣泛應用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)對數(shù)據(jù)加密使用，而用于解密的相應私有密鑰則由數(shù)據(jù)的接收方妥善保管。不對稱加密的另一用法稱為“數(shù)字簽名”（digitalsignature）,即數(shù)據(jù)源使用其私有密鑰對數(shù)據(jù)的求校驗和（checksum）或其它與數(shù)據(jù)內(nèi)容有關的變量進行加密，而數(shù)據(jù)接收方則用相應的公用密鑰解讀“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗。在網(wǎng)絡系統(tǒng)中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法（DigitalSignatureAlgorithm）。不對稱加密法在分布式系統(tǒng)中應用需注意的問題是如何管理和確認公用密鑰的合法性。不可逆加密算法的特征是加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合于分布式網(wǎng)絡系統(tǒng)上使用，但是其加密計算工作量相當可觀，所以通常用于數(shù)據(jù)量有限的情形下的加密，例如計算機系統(tǒng)中的口令就是利用不可逆算法加密的。近來隨著計算機系統(tǒng)性能的不斷改善，不可逆加密的應用逐漸增加。在計算機網(wǎng)絡中應用較多的有RSA公司發(fā)明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準（SHS-SecureHashStandard）。加密技術用于網(wǎng)絡安全通常有二種形式，即面向網(wǎng)絡或面向應用服務。前者通常工作在網(wǎng)絡層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡路由及其他網(wǎng)絡協(xié)議所需的信息，從而保證網(wǎng)絡的連通性和可用性不受損害。在網(wǎng)絡層上實現(xiàn)的加密技術對于網(wǎng)絡應用層的用戶通常是透明的。此外，通過適當?shù)拿荑€管理機制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡上建立虛擬專用網(wǎng)絡并保障虛擬專用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來IETF在這方面的努力之一。面向網(wǎng)絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，例如使用Kerberos服務的telnet、NFS、rlogion等，以及用作電子郵件加密的PEM(PrivacyEnhancedMail)和PGP(PrettyGoodPrivacy)。這一類加密技術的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。(2)、數(shù)字簽名和認證技術認證技術主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術中的一種具體技術，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。(3)、UserName/Password認證該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、teInet、login等，但此種認證方式過程不加密，即password容易被監(jiān)聽和解密。、使用摘要算法的認證Radius(撥號認證協(xié)議)、OSPF(路由協(xié)議)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能技術出共享的securitykey，敏感信息不在網(wǎng)絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。、基于PKI的認證使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術，很好地將安全性和高效性結(jié)合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。(6)、數(shù)字簽名數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)，CA使用私有密鑰技術其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算機能力上不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。通訊雙方通過Diffie-Hellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。下表列出了加密模式使用的密鑰技術類型技術用途基本會話密鑰DES加密通訊加密密鑰Deff-Hellman生成會話密鑰認證密鑰RSA驗證加密密鑰基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關系。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。(7)、VPN技術網(wǎng)絡系統(tǒng)總部和各分支機構之間采用公網(wǎng)網(wǎng)絡進行連接，其最大的弱點在于缺乏足夠的安全性。企業(yè)網(wǎng)絡接入到公網(wǎng)中，暴露出兩個主要危險：a、來自公網(wǎng)的未經(jīng)授權的對企業(yè)內(nèi)部網(wǎng)的存取。b、當網(wǎng)絡系統(tǒng)通過公網(wǎng)進行通訊時，信息可能受到竊聽和非法修改。完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術的原理：VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上安全的通信。它采用復雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。其處理過程大體是這樣：a、要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備；b、VPN設備根據(jù)網(wǎng)管設置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。c、對需要加密的數(shù)據(jù)，VPN設備對整個數(shù)據(jù)包進行加密和附上數(shù)字簽名。d、VPN設備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。e、VPN設備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設備IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當數(shù)據(jù)包到達目標VPN設備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。(8)、IPSecIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持。IPSec主要提供IP網(wǎng)絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsulatingsecuritypayload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協(xié)商(SecurityAssociation)。IPSec包含兩個部分：a、IPsecurityProtocolproper，定義IPSec報頭格式。b、ISAKMP/Oakley，負責加密通訊協(xié)商。IPSec提供了兩種加密通訊手段：IPSecTunnel：整個IP封裝在Ipsec-gateway之間的通訊。Ipsectransport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。IPsecTunnel不要求修改已配備好的設備和應用，網(wǎng)絡黑客不能看到實際的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡通過Internet加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)廠商均使用該模式。ISAKMP/Oakley使用X.509數(shù)字證書，因此，使VPN能夠容易地擴大到企業(yè)級。(易于管理)。在為遠程撥號服務的Client端，也能夠?qū)崿F(xiàn)IPsec的客戶端，為撥號用戶提供加密網(wǎng)絡通訊。由于IPsec即將成為Internet標準，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實現(xiàn)互通。(9)、如何保證遠程訪問的安全性對于從外部撥號訪問總部內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進行數(shù)據(jù)傳輸所帶來的風險，必須嚴格控制其安全性。首先，應嚴格限制撥號上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在撥號訪問服務器后設置NetScreen防火墻來實現(xiàn)。其次，應加強對撥號用戶的身份認證，使用RADIUS等專用身份驗證服務器。一方面，可以實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術，防止數(shù)據(jù)被非法竊取。一種方法是使用PGPforBusinessSecurity，對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN(虛擬專網(wǎng))技術。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數(shù)據(jù)傳輸?shù)陌踩?。四．防火墻技術防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。1、防火墻防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻能有效地防止外來的入侵，它在網(wǎng)絡系統(tǒng)中的作用是：、控制進出網(wǎng)絡的信息流向和信息包；、提供使用和流量的日志和審計；、隱藏內(nèi)部IP地址及網(wǎng)絡結(jié)構的細節(jié)；(4)、提供VPN功能；2、使用防火墻的益處、保護脆弱的服務通過過濾不安全的服務，防火墻可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如，防火墻可以禁止NIS、NFS服務通過，防火墻同時可以拒絕源路由和ICMP重定向封包。、控制對系統(tǒng)的訪問防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的MailServer和WebServer。(3)、集中的安全管理防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。、增強的保密性使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger和DNS。、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。、策略執(zhí)行防火墻提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置防火墻時，網(wǎng)絡安全取決于每臺主機的用戶。3、防火墻的種類防火墻總體上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。(1)、數(shù)據(jù)包過濾數(shù)據(jù)包過濾(PacketFiltering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制表(AccessControlTable)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。、應用級網(wǎng)關應用級網(wǎng)關(ApplicationLevelGateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結(jié)構和運行狀態(tài)，這有利于實施非法訪問和攻擊。、代理服務代理服務(ProxyService)也稱鏈路級網(wǎng)關或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的"鏈接"，由兩個終止代理服務器上的"鏈接"來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。4、防火墻在大型網(wǎng)絡系統(tǒng)中的部署根據(jù)網(wǎng)絡系統(tǒng)的安全需要，可以在如下位置部署防火墻：、局域網(wǎng)內(nèi)的VLAN之間控制信息流向時。、Intranet與Internet之間連接時(企業(yè)單位與外網(wǎng)連接時的應用網(wǎng)關)。、在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構的局域網(wǎng)看成不安全的系統(tǒng)，(通過公網(wǎng)ChinaPac,ChinaDDN,FrameRelay等連接)在總部的局域網(wǎng)和各分支機構連接時采用防火墻隔離，并利用VPN構成虛擬專網(wǎng)。、總部的局域網(wǎng)和分支機構的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專網(wǎng)。、在遠程用戶撥號訪問時，加入虛擬專網(wǎng)。、ISP可利用NetScreen的負載平衡功能在公共訪問服務器和客戶端間加入防火墻進行負載分擔、存取控制、用戶認證、流量控制、日志紀錄等功能。、兩網(wǎng)對接時，可利用NetScreen硬件防火墻作為網(wǎng)關設備實現(xiàn)地址轉(zhuǎn)換(NAT),地址映射(MAP),網(wǎng)絡隔離(DMZ)，存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。在防火墻領域，往往產(chǎn)品千百種，既有硬件防火墻也有軟件防火墻，既有針對Intranet產(chǎn)品，也有針對Extranet和VPN的專門產(chǎn)品，更有以上“三者合一”防火墻產(chǎn)品，等等。a、CheckPointFirewall-1CheckPoint公司在防火墻市場中占據(jù)較大的市場份額，擁有眾多的合作伙伴，并和其他大公司建立了伙伴關系。該公司不僅開發(fā)防火墻產(chǎn)品，而且還涉足帶寬和IP地址管理等關鍵技術產(chǎn)品領域。最近‘Checkpoint和數(shù)家ISP以及防火墻服務提供商簽訂協(xié)議，在這個快速發(fā)展的市場中牢牢地占據(jù)了主要地位。該公司最重要的產(chǎn)品是FireWall-1,該產(chǎn)品可以在需要多個防火墻并行運行或者基于相同策略運行的環(huán)境中發(fā)揮作用。b、CiscoPIXFirewall520Cisco公司的PIX產(chǎn)品在防火墻硬件市場中占據(jù)主導地位，并占領了整個防火墻市場19%的份額。由于現(xiàn)在用戶對于基于WindowsNT的防火墻需求逐漸增加，該公司通過一系列的并購行動開始向軟件防火墻市場滲透。PIX其吞吐可達150Mbps,而且使用NAT時不影響其性能。它可以防止有害的SMTP命令，但對FTP,它不能對get和put進行限制。PIX的管理風格和Cisco路由器命令接口風格類似。PIX的管理需要有一臺NT服務器專門運行該軟件，通過Web來訪問，但使用Web界面管理PIX只能進行簡單的配置改變。它的日志和監(jiān)控能力較弱，所有日志須送到另一臺運行syslog的機器上。c、微軟ProxyServer2.0Microsoft的早期產(chǎn)品ProxyServer1.0防火墻/緩存產(chǎn)品功能非常有限。所以Microsoft沒有將該產(chǎn)品定位為防火墻產(chǎn)品，只是定位為一般的緩存服務器，改善Internet的訪問速度。由于WindowsNT具有極大的裝機量，而且ProxyServer2.0本身功能的改進，ProxyServer2.0成為WindowsNT防火墻市場中的有力競爭者。但是該產(chǎn)品還是面向中小型企業(yè)。使用CheckPoint等高端產(chǎn)品的用戶不太有可能轉(zhuǎn)移到ProxyServer中。d、NAI-Gauntlet防火墻NAI公司的防火墻產(chǎn)品GauntletFirewall源于TIS公司的InternetFirewallToolkit,在TIS公司的Web站點上，該防火墻工具箱被下載超過50,000次，使其成為事實上互聯(lián)網(wǎng)上應用最廣泛的防火墻產(chǎn)品。GauntletFirewall的實現(xiàn)基于NAI公司開創(chuàng)性的自適應代理技術，集成了用戶透明代理、集成管理、VPN、內(nèi)容安全檢測等功能特性，保護內(nèi)外網(wǎng)間的服務往來。同時，在不損害網(wǎng)絡安全的情況下提供高效的吞吐量。ActiveGauntlet可自動對系