課程設計-企業(yè)網絡安全整體解決方案

PAGE1課程設計成績評價表課程設計成績評價表學習與工作態(tài)度（30%）選題的價值與意義（10%）文獻綜述（10%）研究水平與設計能力（20%）課程設計說明說（論文）撰寫質量（20%）學術水平與創(chuàng)新（10%）總分指導老師簽名：年月日課程設計答辯記錄及評價表學生講述情況教師主要提問記錄學生回答問題情況答辯評分評分項目分值評價參考標準評分總分優(yōu)良中及格差選題的價值與意義1098764文獻綜述1098764研究水平與設計能力201917151310課程設計說明書（論文）撰寫質量201917151310學術水平與創(chuàng)新1098764答辯效果302825221915是否同意論文（設計）通過答辯□同意□不同意答辯小組成員簽名答辯小組組長簽名：年月日課程設計成績評定表成績匯總評分項目評分比例分數(shù)課程設計總分指導老師評分50%答辯小組評分50%封面封面成都信息工程學院課程設計題目：企業(yè)網絡安全整體解決方案作者姓名：班級：學號：日期：作者簽名：摘要近年來計算機系統(tǒng)漏洞的發(fā)現(xiàn)速度加快，計算機網絡安全狀況不容樂觀。目前的計算機網絡攻擊具有攻擊源相對集中，攻擊手段更加靈活，攻擊對象的范圍擴大等新特點。雖然現(xiàn)在的網絡安全技術較過去有近年來計算機系統(tǒng)漏洞的發(fā)現(xiàn)速度加快，計算機網絡安全狀況不容樂觀。目前的計算機網絡攻擊具有攻擊源相對集中，攻擊手段更加靈活，攻擊對象的范圍擴大等新特點。雖然現(xiàn)在的網絡安全技術較過去有了很大進步，但計算機網絡安全是攻擊和防御的技術和力量中此消彼長中的一個動態(tài)過程，整體狀況不容樂觀。網絡安全企業(yè)和專家應該從這些特點出發(fā)，尋找更好的解決之道。本文通過具體分析目前企業(yè)所遇到的安全威脅，并一一列出能解決這項威脅的安全方法，通過一一對應的分析方式，成功并基本完全地解決了目前企業(yè)遇到的主流的網絡安全問題關鍵詞：網絡安全；企業(yè)；安全方式；

目錄1引言 11.1課題背景 11.2 國內外現(xiàn)況 11.3 企業(yè)面臨的安全威脅 1２需求分析 1２.１企業(yè)面臨的安全威脅 1２.２業(yè)務系統(tǒng)的安全需求 1２.３Internet服務網絡的安全需求 2３解決思路 3３.１網絡安全與網絡性能和功能的關系 3３.２網絡安全的管理因素 3３.３網絡安全的拓撲圖 4４具體解決方案 5４.１虛擬網技術 5４.２防火墻技術 6４.１.１使用防火墻的益處 6４.１.２設置防火墻的要素 7４.１.３防火墻的基本分類 8４.１.４建設防火墻的基本原則 9４.１.５選擇防火墻的要點 11４.３病毒防護技術 11４.４入侵檢測技術 12４.５安全掃描技術 14４.６認證與數(shù)字簽名技術 15４.７ＶＰＮ技術 16４.７.１企業(yè)對VPN技術的需求 16４.７.２數(shù)字簽名 16４.７.３IPSec 17４.８應用系統(tǒng)的安全技術 18４.８.１域名服務 18４.８.２WebServer應用安全 19４.８.３電子郵件系統(tǒng)安全 19４.８.４操作系統(tǒng)安全 208結論 209參考文獻 21第21頁共26頁1引言1.1課題背景近年來計算機系統(tǒng)漏洞的發(fā)現(xiàn)速度加快，計算機網絡安全狀況不容樂觀。目前的計算機網絡攻擊具有攻擊源相對集中，攻擊手段更加靈活，攻擊對象的范圍擴大等新特點。雖然現(xiàn)在的網絡安全技術較過去有了很大進步，但計算機網絡安全是攻擊和防御的技術和力量中此消彼長中的一個動態(tài)過程，整體狀況不容樂觀。網絡安全企業(yè)和專家應該從這些特點出發(fā)，尋找更好的解決之道。國內外現(xiàn)況自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網絡遠程訪問而構成的安全威脅成為日益受到嚴重關注的問題。根據(jù)美國FBI的調查，美國每年因為網絡安全造成的經濟損失超過1.5萬億美元。企業(yè)面臨的安全威脅由于企業(yè)網絡內運行的主要是多種網絡協(xié)議，而這些網絡協(xié)議并非專為安全通訊而設計。所以，企業(yè)網絡可能存在的安全威脅來自以下方面：(1)操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。(2)防火墻的安全性。防火墻產品自身是否安全，是否設置錯誤，需要經過檢驗。(3)來自內部網用戶的安全威脅。(4)缺乏有效的手段監(jiān)視、評估網絡系統(tǒng)的安全性。(5)采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。(6)未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進行有效控制。(7)應用服務的安全，許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。２需求分析２.１企業(yè)面臨的安全威脅滿足基本的安全要求，是該網絡成功運行的必要條件，在此基礎上提供強有力的安全保障，是建設企業(yè)網絡系統(tǒng)安全的重要原則。企業(yè)網絡內部部署了眾多的網絡設備、服務器，保護這些設備的正常運行，維護主要業(yè)務系統(tǒng)的安全，是企業(yè)網絡的基本安全需求。對于各科各樣的網絡攻擊，如何在提供靈活且高效的網絡通訊及信息服務的同時，抵御和發(fā)現(xiàn)網絡攻擊，并且提供跟蹤攻擊的手段，是本項目需要解決的問題。２.２業(yè)務系統(tǒng)的安全需求與普通網絡應用不同的是，業(yè)務系統(tǒng)是企業(yè)應用的核心。對于業(yè)務系統(tǒng)應該具有最高的網絡安全措施。企業(yè)網絡應保障：訪問控制，確保業(yè)務系統(tǒng)不被非法訪問。數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性。入侵檢測，對于試圖破壞業(yè)務系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。來自網絡內部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。２.３Internet服務網絡的安全需求Internet服務網絡分為兩個部分：提供網絡用戶對Internet的訪問：提供Internet對網內服務的訪問。網絡內客戶對Internet的訪問，有可能帶來某些類型的網絡安全。如通過電子郵件、FTP引入病毒、危險的Java或ActiveX應用等。因此，需要在網絡內對上述情況提供集成的網絡病毒檢測、消除等操作。網絡安全需求是保護網絡不受破壞，確保網絡服務的可用性，作為信息網絡之間的互聯(lián)的邊界安全應作為主要安全需求：需要保證信息網絡之間安全互聯(lián)，能夠實現(xiàn)網絡安全隔離；對于專有應用的安全服務；必要的信息交互的可信任性；能夠提供對于主流網絡應用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠實現(xiàn)安全應用；同時信息網絡公共資源能夠對開放用戶提供安全訪問；能夠防范包括：利用Http應用，通過JavaApplet、ActiveX以及JavaScript形式；利用Ftp應用，通過文件傳輸形式；利用SMTP應用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于信息網絡的侵害；對網絡安全事件的審計；對于網絡安全狀態(tài)的量化評估；對網絡安全狀態(tài)的實時監(jiān)控；其次，對于信息網絡內部同樣存在安全需求，包括：信息網絡中的各單位網絡之間建立連接控制手段；能夠滿足信息網絡內的授權用戶對相關專用網絡資源訪問；同時對于遠程訪問用戶增強安全管理；加強對于整個信息網絡資源和人員的安全管理與培訓。３解決思路３.１網絡安全與網絡性能和功能的關系通常，系統(tǒng)安全與性能和功能是一對矛盾的關系。如果某個系統(tǒng)不向外界提供任何服務（斷開），外界是不可能構成安全威脅的。但是，企業(yè)接入國際互連網絡，提供網上商店和電子商務等服務，等于將一個內部封閉的網絡建成了一個開放的網絡環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產生。構建網絡安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網絡效率，并且降低客戶應用的靈活性；另一方面也增加了管理費用。但是，來自網絡的安全威脅是實際存在的，特別是在網絡上運行關鍵業(yè)務時，網絡安全是首先要解決的問題。選擇適當?shù)募夹g和產品，制訂靈活的網絡安全策略，在保證網絡安全的情況下，提供靈活的網絡服務通道。采用適當?shù)陌踩w系設計和管理計劃，能夠有效降低網絡安全對網絡性能的影響并降低管理費用。全方位的安全體系：與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應用系統(tǒng)的安全休系應包含：訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認證：良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內部信息，使攻擊者不能了解系統(tǒng)內的基本情況。設立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護及緊急情況服務。３.２網絡安全的管理因素網絡安全可以采用多種技術來增強和執(zhí)行。但是，很多安全威脅來源于管理上的松懈及對安全威脅的認識。安全威脅主要利用以下途徑：系統(tǒng)實現(xiàn)存在的漏洞。系統(tǒng)安全體系的缺陷。使用人員的安全意識薄弱。管理制度的薄弱。良好的網絡管理有助于增強系統(tǒng)的安全性：及時發(fā)現(xiàn)系統(tǒng)安全的漏洞。審查系統(tǒng)安全體系。加強對使用人員的安全知識教育。建立完善的系統(tǒng)管理制度。如前所述，能否制定一個統(tǒng)一的安全策略，在全網范圍內實現(xiàn)統(tǒng)一的安全管理，對于信息網來說就至關重要了。安全管理主要包括兩個方面：內部安全管理：主要是建立內部安全管理制度，如機房管理制度、設備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。內部安全管理主要采取行政手段和技術手段相結合的方法。網絡安全管理：在網絡層設置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的ACL設置正確，其配置不允許被隨便修改。網絡層的安全管理可以通過防火墻、安全檢測、網絡病毒防治以及網管等一些網絡層的管理工具來實現(xiàn)。３.３網絡安全的拓撲圖４具體解決方案基于以上的分析，企業(yè)網絡系統(tǒng)涉及到各方面的網絡安全問題，我們認為整個企業(yè)的安全體系必須集成多種安全技術實現(xiàn)。如虛擬網技術、防火墻技術，入侵監(jiān)控技術、安全漏洞掃描技術、病毒防護技術、加密技術、認證和數(shù)字簽名技術等。下面就以上技術加以詳細闡述：４.１虛擬網技術虛擬網技術主要基于近年發(fā)展的局域網交換技術(ATM和以太網交換）。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。因此，網管系統(tǒng)有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此、防止了大部分基于網絡監(jiān)聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。但是，虛擬網技術也帶來了新的安全問題：執(zhí)行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象?；诰W絡廣播原理的入侵監(jiān)控技術在高速交換網絡內需要特殊的設置?；贛AC的VLAN不能防止MAC欺騙攻擊。以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。網絡層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。IP協(xié)議族各廠家實現(xiàn)的不完善，因此，在網絡層發(fā)現(xiàn)的安全漏洞相對更多，如IPsweep,teardrop,sync-flood,IPspoofing攻擊等。４.２防火墻技術防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網絡入口點檢查網絡通訊，根據(jù)客戶設定的安全規(guī)則，在保護內部網絡安全的前提下，提供內外網絡通訊。４.１.１使用防火墻的益處保護脆弱的服務通過過濾不安全的服務，F(xiàn)irewall可以極大地提高網絡安全和減少子網中主機的風險。例如，F(xiàn)irewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，F(xiàn)irewall允許外部訪問特定的MailServer和WebServer。集中的安全管理Firewall對企業(yè)內部網實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內部網絡系統(tǒng)，而無須在內部網每臺機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過—次認證即可訪問內部網。增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網絡系統(tǒng)的有用信息，如Finger和DNS。記錄和統(tǒng)計網絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall可以記錄和統(tǒng)計通過Firewall的網絡通訊，提供關于網絡使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶。４.１.２設置防火墻的要素網絡策略影響Firewall系統(tǒng)設計、安裝和使用的網絡策略可分為兩級，高級的網絡策略定義允許和禁止的服務以及如何使用服務，低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。服務訪問策略服務訪問策略集中在Internet訪問服務以及外部網絡訪問（如撥入策略、SLIP/PPP連接等）。服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。Firewall設計策略Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。通常采用第二種類型的設計策略。４.１.３防火墻的基本分類包過濾IP包過濾：√源IP地址；√目的IP地址；√TCP/UDP源端口；√TCP/UDP目的端口。包過濾路由器存在許多弱點：√包過濾規(guī)則難于設置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測出來?！虒嶋H運行中，經常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。但是，規(guī)則例外使包過濾規(guī)則過于復雜而難以管理。例如，定義規(guī)則-禁止所有到達(Inbound)的端口23連接(telnet)，如果某些系統(tǒng)需要直接Telnet連接，此時必須為內部網的每個系統(tǒng)分別定義一條規(guī)則?！棠承┌^濾路由器不支持TCP/UDP源端口過濾，可能使過濾規(guī)則集更加復雜，并在過濾模式中打開了安全漏洞。如SMTP連接源端口是隨機產生的(>1023)，此時如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有>1023端口的雙向連接。此時用戶通過重新映射端口，可以繞過過濾路由器。√對許多RPC(RemouteProcedureCall服務進行包過濾非常困難。由于RPC的Listen口是在主機啟動后隨機地分配的，要禁止RPC服務，通常需要禁止所有的UDP(絕大多數(shù)RPC使用UDP)，如此可能需要允許的DNS連接就會被禁止。應用網關為了解決包過濾路由器的弱點，F(xiàn)irewall要求使用軟件應用來過濾和傳送服務連接（如Telnet和Ftp)。這樣的應用稱為代理服務，運行代理服務的主機被稱為應用網關。應用網關和包過濾器混合使用能提供比單獨使用應用網關和包過濾器更高的安全性和更大的靈活性。

應用網關的優(yōu)點是：√比包過濾路由器更高的安全件?！烫峁f(xié)議的過濾，如可以禁止FTP連接的Put命令?！绦畔㈦[藏，應用網關為外部連接提供代理?！探训恼J證和日志。√節(jié)省費用，第三方的認證設備(軟件或硬件)只需安裝在應用網關上?！毯喕挽`活的過濾規(guī)則，路由器只需簡單地通過到達應用網關的包并拒絕其余的包通過。應用網關的缺點在于：√新的服務需要安裝新的代理服務器?！逃袝r需要對客戶軟件進行修改?！炭赡軙档途W絡性能?！虘镁W關可能被攻擊。線路級網關線路級網關提供內部網和外部網連接的中繼，但不提供額外的處理和過濾能力。Stateful防火墻該類防火墻綜合了包過濾防火墻及應用網關的特性。能夠提供比應用網關更多的連接特性，但是安全性比較應用網關差。４.１.４建設防火墻的基本原則分析安全和服務需求以下問題有助于分析安全和服務需求：√計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。√增加的需要，如加密或拔號接入支持?！烫峁┮陨戏蘸驮L問的風險?！烫峁┚W絡安全控制的同時，對系統(tǒng)應用服務犧牲的代價。策略的靈活性Internet相關的網絡安全策略總的來說，應該保持一定的靈活性，主要有以下原因：√Internet自身發(fā)展非?？?，機構可能需要不斷使用Internet提供的新服務開展業(yè)務。新的協(xié)議和服務大量涌現(xiàn)帶來新的安全問題，安全策略必須能反應和處理這些問題?！虣C構面臨的風險并非是靜態(tài)的，機構職能轉變、網絡設置改變都有可能改變風險。遠程用戶認證策略√遠程用戶不能通過放置于Firewall后的未經認證的Modem訪問系統(tǒng)?！蘌PP/SLIP連接必須通過Firewall認證?！虒h程用戶進行認證方法培訓。撥入/撥出策略√撥入/撥出能力必須在設計Firewall時進行考慮和集成。√外部撥入用戶必須通過Firewall的認證。InformationServer策略√公共信息服務器的安全必須集成到Firewall中。√必須對公共信息服務器進行嚴格的安全控制，否則將成為系統(tǒng)安全的缺口?！虨镮nformationserver定義折中的安全策略允許提供公共服務?！虒残畔⒎蘸蜕虡I(yè)信息(如email)講行安全策略區(qū)分。Firewall系統(tǒng)的基本特征√Firewall必須支持．“禁止任何服務除非被明確允許”的設計策略?！蘁irewall必須支持實際的安全政策，而非改變安全策略適應Firewall。√Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變?！蘁irewall必須支持增強的認證機制?！蘁irewall應該使用過濾技術以允許或拒絕對特定主機的訪問?！蘄P過濾描述語言應該靈活，界面友好，并支持源IP和目的IP，協(xié)議類型，源和目的TCP/UDP口，以及到達和離開界面?！蘁irewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP，http等)也必須通過代理服務器。√Firewall應該支持集中的SMTP處理，減少內部網和遠程系統(tǒng)的直接連接?！蘁irewall應該支持對公共Informationserver的訪問，支持對公共Informationserver的保護，并且將Informationserver同內部網隔離?！蘁irewall可支持對撥號接入的集中管理和過濾?！蘁irewall應支持對交通、可疑活動的日志記錄?！倘绻鸉irewall需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞Patch?！蘁irewall的設計應該是可理解和管理的?！蘁irewall依賴的操作系統(tǒng)應及時地升級以彌補安全漏洞。４.１.５選擇防火墻的要點(1)安全性：即是否通過了嚴格的入侵測試。(2)抗攻擊能力：對典型攻擊的防御能力(3)性能：是否能夠提供足夠的網絡吞吐能力(4)自我完備能力：自身的安全性，F(xiàn)ail-close(5)可管理能力：是否支持SNMP網管(6)VPN支持(7)認證和加密特性(8)服務的類型和原理(9)網絡地址轉換能力４.３病毒防護技術病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網絡的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網站。(4)通過群件系統(tǒng)傳播。病毒防護的主要技術如下：(1)阻止病毒的傳播。在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應不斷更新，并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。４.４入侵檢測技術利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠：(1)入侵者可尋找防火墻背后可能敞開的后門。(2)入侵者可能就在防火墻內。(3)由于性能的限制，防火焰通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機√基于網絡基于主機的入侵檢測系統(tǒng)用于保護關鍵應用的服務器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應用的監(jiān)視如Web服務器應用?；诰W絡的入侵檢測系統(tǒng)用于實時監(jiān)控網絡關鍵路徑的信息，其基本模型如下圖示：(i.e.,closeconnection)(i.e.,closeconnection)(i.e.,detectionof“phf”string(i.e.,detectionof“phf”stringinsession)Countermeasure(C)Box(i.e.,storecontentsofconnectiondisk)Pattern-MatchingSignatureAnalysisPattern-MatchingSignatureAnalysisStorage(D)BoxPassiveProtocolPassiveProtocolAnalysis(i.e,TCPStreamreconstruction)EthernetEthernet圖入侵檢測系統(tǒng)的基本模型上述模型由四個部分組成：(1)PassiveprotocolAnalyzer網絡數(shù)據(jù)包的協(xié)議分析器、將結果送給模式匹配部分并根據(jù)需要保存。(2)Pattern-MatchingSignatureAnalysis根據(jù)協(xié)議分析器的結果匹配入侵特征，結果傳送給Countermeasure部分。(3)countermeasure執(zhí)行規(guī)定的動作。(4)Storage保存分析結果及相關數(shù)據(jù)。基于主機的安全監(jiān)控系統(tǒng)具備如下特點：(1)精確，可以精確地判斷入侵事件。(2)高級，可以判斷應用層的入侵事件。(3)對入侵時間立即進行反應。(4)針對不同操作系統(tǒng)特點。(5)占用主機寶貴資源?；诰W絡的安全監(jiān)控系統(tǒng)具備如下特點：(1)能夠監(jiān)視經過本網段的任何活動。(2)實時網絡監(jiān)視。(3)監(jiān)視粒度更細致。(4)精確度較差。(5)防入侵欺騙的能力較差。(6)交換網絡環(huán)境難于配置。基于主機及網絡的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在需要監(jiān)視的服務器上安裝監(jiān)視模塊(agent)，分別向管理服務器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網絡路徑上，放置監(jiān)視模塊(sensor),分別向管理服務器報告及上傳證據(jù)，提供跨網絡的入侵監(jiān)視解決方案。選擇入侵監(jiān)視系統(tǒng)的要點是：(1)協(xié)議分析及檢測能力。(2)解碼效率(速度)。(3)自身安全的完備性。(4)精確度及完整度，防欺騙能力。(5)模式更新速度。４.５安全掃描技術網絡安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網絡。安全掃描工具源于Hacker在入侵網絡系統(tǒng)時采用的工具。商品化的安全掃描工具為網絡安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描工具通常也分為基于服務器和基于網絡的掃描器?；诜掌鞯膾呙杵髦饕獟呙璺掌飨嚓P的安全漏洞，如password文件，目錄和文件權限，共享文件系統(tǒng)，敏感服務，軟件，系統(tǒng)漏洞等，并給出相應的解決辦法建議。通常與相應的服務器操作系統(tǒng)緊密相關?；诰W絡的安全掃描主要掃描設定網絡內的服務器、路由器、網橋、變換機、訪問服務器、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。網絡安全掃描的主要性能應該考慮以下方面：(1)速度。在網絡內進行安全掃描非常耗時。(2)網絡拓撲。通過GUI的圖形界面，可迭擇一步或某些區(qū)域的設備。(3)能夠發(fā)現(xiàn)的漏洞數(shù)量。(4)是否支持可定制的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網絡內服務器及其它設備對相同協(xié)議的實現(xiàn)存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。(5)報告，掃描器應該能夠給出清楚的安全漏洞報告。(6)更新周期。提供該項產品的廠商應盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應的改進建議。安全掃描器不能實時監(jiān)視網絡上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。４.６認證與數(shù)字簽名技術認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術中的一種具體技術，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。認證技術將應用到企業(yè)網絡中的以下方面：(1)路由器認證，路由器和交換機之間的認證。(2)操作系統(tǒng)認證。操作系統(tǒng)對用戶的認證。(3)網管系統(tǒng)對網管設備之間的認證。(4)VPN網關設備之間的認證。(5)撥號訪問服務器與客戶間的認證。(6)應用服務器(如WebServer)與客戶的認證。(7)電子郵件通訊雙方的認證。數(shù)字簽名技術主要用于：(1)基于PKI認證體系的認證過程。(2)基于PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。UserName/Password認證該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、telnet、rlogin等，但由于此種認證方式過程不加密，即password容易被監(jiān)聽和解密。使用摘要算法的認證Radius(撥號認證協(xié)議)、路由協(xié)議(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的securitykey，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。基于PKI的認證使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術，很好地將安全性和高效率結合起來。后面描述了基于PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務４.７ＶＰＮ技術４.７.１企業(yè)對VPN技術的需求企業(yè)總部和各分支機構之間采用internet網絡進行連接，由于internet是公用網絡，因此，必須保證其安全性。我們將利用公共網絡實現(xiàn)的私用網絡稱為虛擬私用網(VPN)。因為VPN利用了公共網絡，所以其最大的弱點在于缺乏足夠的安全性。企業(yè)網絡接入到internet，暴露出兩個主要危險：來自internet的未經授權的對企業(yè)內部網的存取。當企業(yè)通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網絡的全面安全要求保證：保密-通訊過程不被竊聽。通訊主體真實性確認-網絡上的計算機不被假冒。４.７.２數(shù)字簽名數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。通訊雙方通過Diffie-Hellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。類型技術用途基本會話密鑰DES加密通訊加密密鑰Deff-Hellman生成會話密鑰認證密鑰RSA驗證加密密鑰表1加密模式使用的密鑰技術基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關系。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。４.７.３IPSecIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持，預計在1998年將確定為IETF標準，是VPN實現(xiàn)的Internet標準。IPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協(xié)商(SecurityAssociation)。Ipsec包含兩個部分：(1)IPsecurityProtocolproper，定義Ipsec報文格式。(2)ISAKMP/Oakley，負責加密通訊協(xié)商。Ipsec提供了兩種加密通訊手段：IpsecTunnel：整個IP封裝在Ipsec報文。提供Ipsec-gateway之間的通訊。Ipsectransport：對IP包內的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。IpsecTunnel不要求修改已配備好的設備和應用，網絡黑客戶不能看到實際的的通訊源地址和目的地址，并且能夠提供專用網絡通過Internet加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。ISAKMP/Oakley使用X.509數(shù)字證書，因此，使VPN能夠容易地擴大到企業(yè)級。(易于管理)。在為遠程撥號服務的Client端，也能夠實現(xiàn)Ipsec的客戶端，為撥號用戶提供加密網絡通訊。由于Ipsec即將成為Internet標準，因此不同廠家提供的防火墻(VPN)產品可以實現(xiàn)互通。４.８應用系統(tǒng)的安全技術由于應用系統(tǒng)的復雜性，有關應用平臺的安全問題是整個安全體系中最復雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應用平臺服務的安全問題及相關技術。４.８.１域名服務Internet域名服務為Internet/Intranet應用提供了極大的靈活性。幾乎所有的網絡應用均利用域名服務。但是，域名服務通常為hacker提供了入侵網絡的有用信息，如服務器的IP、操作系統(tǒng)信息、推導出可能的網絡結構等。同時，新發(fā)現(xiàn)的針對BIND-NDS實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預測的查詢ID可欺騙域名服務器給出錯誤的主機名-IP對應關系。因此，在利用域名服務時，應該注意到以上的安全問題。主要的措施有：(1)內部網和外部網使用不同的域名服務器，隱藏內部網絡信息。(2)域名服務器及域名查找應用安裝相應的安全補丁。(3)對付Denial-of-Service攻擊，應設計備份域名服務器。４.８.２WebServer應用安全WebServer是企業(yè)對外宣傳、