美國安泰成發(fā)網(wǎng)絡(luò)安全解決方案樣本

企業(yè)內(nèi)部網(wǎng)信息安全建設(shè)技術(shù)要求、配置方案及提議美國安泰成發(fā)國際集團(tuán)企業(yè)一九九九年五月四日

企業(yè)網(wǎng)網(wǎng)絡(luò)安全處理方案引言1999年已經(jīng)到來,人類處于二十一世紀(jì)前夜。1998年是全球信息革命和Internet新騰飛十二個(gè)月。“帶寬爆炸”,用戶超億,網(wǎng)上協(xié)同攻破密碼等等發(fā)明性應(yīng)用層出不窮。Internet已成為全新傳輸媒體,克林頓丑聞材料在48小時(shí)內(nèi)就有萬人上網(wǎng)觀看。電子商務(wù)發(fā)展更出人意料,網(wǎng)上購物僅圣誕節(jié)就突破3億美元銷售額,比估計(jì)整年20億還多。美國對(duì)“Internet經(jīng)濟(jì)”投資達(dá)成1240億,第二代Internet正式開啟,第三代智能網(wǎng)絡(luò)已在醞釀,以Internet為代表和主體信息網(wǎng)絡(luò)必將在二十一世紀(jì)成為人類生產(chǎn)、生活、自下而上一個(gè)基礎(chǔ)方法。世界各國全部以戰(zhàn)略眼光注視著它發(fā)展,并在主動(dòng)謀取網(wǎng)上優(yōu)勢(shì)和主動(dòng)權(quán)。不過Internet網(wǎng)信息安全問題在1998年也較突出,除兩千年蟲問題已進(jìn)入倒計(jì)時(shí)外,下面摘錄上電報(bào)導(dǎo):病毒感染事件1998年增加了二倍,宏病毒入侵案件占60%,已超出1300種,而1996只有40種。網(wǎng)上攻擊事件大幅上升,對(duì)50個(gè)國家抽樣調(diào)查顯示:去年有73%單位受到多種形式入侵,而1996年是42%。據(jù)估量,世界上已經(jīng)有兩千萬人含有進(jìn)行攻擊潛力。網(wǎng)上經(jīng)濟(jì)詐騙增加了五倍,估量金額達(dá)成6億美元,而同年暴力搶劫銀行損失才5900萬。一份調(diào)查匯報(bào)中說:有48%企業(yè)受過網(wǎng)上侵害,其中損失最多達(dá)一百萬美元。對(duì)美軍非絕密計(jì)算機(jī)系統(tǒng)攻擊試驗(yàn)表明,成功率達(dá)成88%。而被主動(dòng)查出只占5%。1998年5月美CIA局長在信息安全匯報(bào)中正式宣告:“信息戰(zhàn)威脅確實(shí)存在?！本W(wǎng)上賭博盛行,去年在200個(gè)網(wǎng)點(diǎn)上賭博金額達(dá)成60億美元,估計(jì)今年還會(huì)增加一倍。網(wǎng)上色情泛濫,經(jīng)過瀏覽器、電子郵件等方法大量擴(kuò)散。因?yàn)閱栴}嚴(yán)重,西方12個(gè)國家警方在去年九月進(jìn)行了一次聯(lián)合行動(dòng),共抓96人,其中一個(gè)網(wǎng)址竟有25萬張黃色圖像。聯(lián)合國科教文組織決定今年一月召開會(huì)議,研究遏制網(wǎng)上色情。歐盟正式發(fā)表了對(duì)網(wǎng)上有害和非法信息內(nèi)容處理法規(guī)。電子郵件垃圾已被新聞界選為1998年Internet壞消息之一,美國一家網(wǎng)絡(luò)企業(yè)十二個(gè)月傳送電子郵件中有三分之一是電子垃圾。網(wǎng)上違反保密和密碼管制問題已成為各國政府關(guān)注一個(gè)焦點(diǎn)。暴露個(gè)人隱私問題突出,比如經(jīng)過美國一個(gè)網(wǎng)站很輕易量到她人經(jīng)濟(jì)收入信息,另一網(wǎng)址只要輸入車牌號(hào)碼就可查到車主地址,為此這些網(wǎng)址已被封閉。在電子郵件內(nèi)傳輸個(gè)人隱私情況更為嚴(yán)重。帶有政治性網(wǎng)上攻擊在1998年有較大增加,包含篡改政府機(jī)構(gòu)網(wǎng)頁,侵入競選對(duì)手網(wǎng)站竊取信息,在東南亞經(jīng)濟(jì)危機(jī)中散布謠言,偽造世界熱點(diǎn)地域現(xiàn)場照片,煽動(dòng)民族糾紛等等,已引發(fā)各國政府高度重視。中國情況也大致相仿。首先Internet上網(wǎng)人數(shù)增加,僅下六個(gè)月年就由117萬劇增到210萬,其次,同一時(shí)期內(nèi)外電對(duì)在中國發(fā)生Internet安全事件報(bào)道數(shù)量也大增,比1997年整年還多6倍,其中包含經(jīng)濟(jì)犯罪、竊密、黑客入侵,造謠惑眾等等。以上報(bào)導(dǎo)只是全部景觀一角,卻預(yù)示著下一個(gè)世紀(jì)全球信息安全形勢(shì)不容樂觀。中國正處于網(wǎng)絡(luò)發(fā)展初級(jí)階段,又面臨著發(fā)達(dá)國家信息優(yōu)勢(shì)壓力,要在信息化進(jìn)程中趨利避害,從一開始就做好信息安全工作十分關(guān)鍵。這是這項(xiàng)工作難度也很大,常常碰到十分困難選擇,甚至非難。大家對(duì)于“該不該”和“能不能”抓好信息安?全也還有不一樣見解。我們應(yīng)該充足相信中國制度優(yōu)越性和人民智慧和覺悟,主動(dòng)尋求處理中國特色I(xiàn)nternet安全問題措施。在此,僅就企業(yè)內(nèi)部網(wǎng)信息安全建設(shè)作一個(gè)具體討論。1．企業(yè)網(wǎng)絡(luò)現(xiàn)實(shí)狀況世紀(jì)之交，信息化已成為國際性發(fā)展趨勢(shì)，作為國民經(jīng)濟(jì)信息化基礎(chǔ)，企業(yè)信息化建設(shè)受到國家和企業(yè)廣泛重視。企業(yè)信息化，企業(yè)網(wǎng)絡(luò)建設(shè)是基礎(chǔ)，從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展現(xiàn)實(shí)狀況來看，Intranet是得到廣泛認(rèn)同企業(yè)網(wǎng)絡(luò)模式。Intranet并不完全是原來局域網(wǎng)概念，經(jīng)過和Internet聯(lián)結(jié)，企業(yè)網(wǎng)絡(luò)范圍能夠是跨地域，甚至跨國界。現(xiàn)在，Internet發(fā)展已成燎原之勢(shì)，伴隨WWW上商業(yè)活動(dòng)激增，Intranet也應(yīng)運(yùn)而生。近幾年，很多有遠(yuǎn)見企業(yè)領(lǐng)導(dǎo)者全部已感到企業(yè)信息化關(guān)鍵性,陸續(xù)建立起了自己企業(yè)網(wǎng)和Intranet并經(jīng)過多種WAN線路和Internet相連。國際互聯(lián)網(wǎng)Internet在帶來巨大資源和信息訪問方便同時(shí)，它也帶來了巨大潛在危險(xiǎn)，至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全關(guān)鍵性。在中國網(wǎng)絡(luò)急劇發(fā)展還是近幾年事，而在國外企業(yè)網(wǎng)領(lǐng)域出現(xiàn)安全事故已經(jīng)是數(shù)不勝數(shù)。所以，我們應(yīng)該在主動(dòng)進(jìn)行企業(yè)網(wǎng)建設(shè)同時(shí)，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全上多考慮部分，將企業(yè)網(wǎng)中可能出現(xiàn)危險(xiǎn)和漏洞降到最低。使已經(jīng)花了不少財(cái)力、人力和時(shí)間后，建立起來網(wǎng)絡(luò)真正達(dá)成預(yù)想效果。從總體上來說,企業(yè)網(wǎng)絡(luò)建設(shè)以下幾方面誤區(qū)：處理方案上誤區(qū)、應(yīng)用開發(fā)上誤區(qū)和系統(tǒng)管理上誤區(qū)。處理方案上誤區(qū)在處理方案上誤區(qū)關(guān)鍵包含：認(rèn)為只要肯花錢就萬事大吉了。誠然，投資是企業(yè)網(wǎng)絡(luò)建設(shè)基礎(chǔ)，但并非全部東西全部能直接買來。實(shí)際上，數(shù)據(jù)、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)管理及網(wǎng)絡(luò)應(yīng)用水平等全部不是簡單買來了事。不依據(jù)實(shí)際需求，盲目認(rèn)為購置硬件、軟件產(chǎn)品越優(yōu)異越好，甚至要求達(dá)成不落后等要求。這種提法本身就不科學(xué)，信息技術(shù)發(fā)展是日新月異，前誰也不知道現(xiàn)在計(jì)算機(jī)會(huì)發(fā)展到如此水平，一樣，后怎樣也無法預(yù)料。這么一來，后果是能夠想到：平臺(tái)越優(yōu)異，設(shè)備越昂貴，技術(shù)越復(fù)雜，建設(shè)投入和產(chǎn)出相比一定很高，這當(dāng)然不是企業(yè)需要得到結(jié)果。認(rèn)為有了網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、聯(lián)通了Internet就能要什么就有什么了，忽略總體數(shù)據(jù)體系計(jì)劃和組織、應(yīng)用系統(tǒng)開發(fā)，數(shù)據(jù)采集、傳輸、加工、存放和查詢等具體應(yīng)用工作。而缺乏這些，網(wǎng)絡(luò)作用就不能充足發(fā)揮出來，這恰恰和企業(yè)網(wǎng)絡(luò)建設(shè)初衷相違。認(rèn)為能夠“畢其功于一役”地搞企業(yè)網(wǎng)絡(luò)建設(shè)，實(shí)際上，這是一項(xiàng)長久工作。認(rèn)為只要找到好供給商、系統(tǒng)集成商就肯定能夠把網(wǎng)絡(luò)建好，沒有想到只有良好合作才能取得成功，只有建立自己技術(shù)隊(duì)伍才能保持成功之果。應(yīng)用開發(fā)上誤區(qū)應(yīng)用開發(fā)是企業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè)中關(guān)鍵內(nèi)容，也是網(wǎng)絡(luò)建設(shè)成功是否關(guān)鍵。不少企業(yè)網(wǎng)絡(luò)建設(shè)項(xiàng)目中，在應(yīng)用開發(fā)方面也存在部分誤區(qū)：認(rèn)為只要有好計(jì)算機(jī)專業(yè)人員去干就能夠了，業(yè)務(wù)人員不參與應(yīng)用開發(fā)工作，甚至不很好地配合。實(shí)際上，因?yàn)閷I(yè)計(jì)算機(jī)人員缺乏具體業(yè)務(wù)知識(shí)和經(jīng)驗(yàn)，無法獨(dú)立開發(fā)出很適合業(yè)務(wù)部門應(yīng)用軟件。認(rèn)為通常業(yè)務(wù)部門、業(yè)務(wù)人員提出需求全部要進(jìn)行開發(fā)。在應(yīng)用開發(fā)范圍上，不進(jìn)行認(rèn)真地分析，不分主次。實(shí)際上，很多現(xiàn)成工具軟件已包含了很多功效，比如EXECL，但因?yàn)椴恢匾晿I(yè)務(wù)人員計(jì)算機(jī)技能提升，一切功效全部寄期望于開發(fā)。這就造成開發(fā)成本提升和工作關(guān)鍵分散。認(rèn)為只有采取最新潮開發(fā)工具和最時(shí)髦開發(fā)語言才能開發(fā)好軟件，而不顧自己實(shí)際需求，也不問那些工具和語言到底有什么用。認(rèn)為開發(fā)軟件和操作軟件一樣輕易，所以不重視開發(fā)人員工作，隨意提出需求，以后又隨意改動(dòng)。這么改動(dòng)，很可能給開發(fā)增加很多工作量，更為嚴(yán)重是，破壞開發(fā)總體計(jì)劃，造成開發(fā)進(jìn)度延遲。企業(yè)高級(jí)領(lǐng)導(dǎo)認(rèn)為開發(fā)工作是下面事情，不參與總體計(jì)劃，卻對(duì)開發(fā)抱著過高期望，認(rèn)為開發(fā)結(jié)果一定應(yīng)符合自己想象。1.3系統(tǒng)管理上誤區(qū)企業(yè)網(wǎng)絡(luò)效果發(fā)揮離不開系統(tǒng)管理，決不僅僅是安裝好企業(yè)網(wǎng)絡(luò)設(shè)備，配置好軟件那么簡單，一樣一個(gè)運(yùn)行良好企業(yè)網(wǎng)離不開人管理，系統(tǒng)管理在網(wǎng)絡(luò)建設(shè)和維護(hù)中是至關(guān)關(guān)鍵，現(xiàn)在在系統(tǒng)管理方面存在誤區(qū)關(guān)鍵包含：認(rèn)為系統(tǒng)管理只要有計(jì)算機(jī)人員就能夠了，不建立規(guī)范、有效管理制度，沒有想到系統(tǒng)管理實(shí)際上是企業(yè)管理中必不可少一部分。認(rèn)為系統(tǒng)管理就是對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件管理，沒考慮到對(duì)企業(yè)整體信息資源管理，不重視對(duì)數(shù)據(jù)信息規(guī)范化、標(biāo)準(zhǔn)化管理。認(rèn)為系統(tǒng)管理簡單，費(fèi)用不高，投入財(cái)力、人力、物力不足。有很多企業(yè)系統(tǒng)管理員只會(huì)“玩”PC而已，網(wǎng)管軟件也被看成是可有可無東西。殊不知，伴隨網(wǎng)絡(luò)技術(shù)發(fā)展和信息增多，系統(tǒng)管理工作是相當(dāng)復(fù)雜和繁重。認(rèn)為系統(tǒng)管理工作只是輔助性工作，不能為企業(yè)發(fā)明直接效益，能夠不予重視。結(jié)果造成專業(yè)計(jì)算機(jī)人才流失，只好使用非專業(yè)人員，使管理效果大打折扣。認(rèn)為只有看見東西才值錢，所以不愿意在服務(wù)上花錢。在系統(tǒng)管理上無法得到專業(yè)廠商支持，造成管理水平業(yè)余而落后。Intranet和網(wǎng)絡(luò)安全技術(shù)2.1信息安全關(guān)鍵性和內(nèi)涵長久以來,大家把信息安全了解為對(duì)信息機(jī)密性、完整性和可獲性保護(hù),這當(dāng)然是正確,但這個(gè)觀念是在二十多年前主機(jī)時(shí)代形成。當(dāng)初大家需要保護(hù)是設(shè)在專用機(jī)房內(nèi)主機(jī)和數(shù)據(jù)安全性,所以它是面向單機(jī)、面向數(shù)據(jù)。八十年代進(jìn)入了微機(jī)和局域網(wǎng)時(shí)代,計(jì)算機(jī)已從專用機(jī)房內(nèi)解放到分散辦公桌面乃至家庭,因?yàn)樗脩?網(wǎng)絡(luò)結(jié)構(gòu)比較簡單、對(duì)稱,所以既要依靠技術(shù)方法保護(hù),還要制訂人人必需遵守要求。所以,這個(gè)時(shí)代信息安全是面向網(wǎng)管、面向規(guī)約。九十年代進(jìn)入了互聯(lián)網(wǎng)時(shí)代,每個(gè)用戶有全部能夠聯(lián)接、使用乃至控制散布在世界上各個(gè)角落上網(wǎng)計(jì)算機(jī),所以Internet信息安全內(nèi)容更多,更為強(qiáng)調(diào)面向連接、面向用戶(“人”)。因?yàn)樵谶@個(gè)嶄新世界里,人和計(jì)算機(jī)關(guān)系發(fā)生了質(zhì)改變。人、網(wǎng)、環(huán)境相結(jié)合,形成了一個(gè)復(fù)雜巨系統(tǒng)。經(jīng)過網(wǎng)上協(xié)同和交流,人智能和計(jì)算機(jī)快速運(yùn)行能力聚集并融合起來,發(fā)明了新社會(huì)生產(chǎn)力,豐富著大量應(yīng)用(電子商務(wù),網(wǎng)上購物等等)和滿足著大家多種社會(huì)需要(交流、學(xué)習(xí)、醫(yī)療、消費(fèi)、娛樂、安全感、安全環(huán)境等等)。在這個(gè)復(fù)雜巨系統(tǒng)中,“人”以資源使用者身份出現(xiàn),是系統(tǒng)主體,處于主導(dǎo)地位,而系統(tǒng)資源(包含硬軟件、通訊網(wǎng)、數(shù)據(jù)、信息內(nèi)容等)則是客體,它是為主體即“人”服務(wù),和此相適應(yīng),信息安全主體也是“人”(包含用戶、團(tuán)體、社會(huì)和國家),其目標(biāo)關(guān)鍵是確保主體對(duì)信息資源控制。能夠這么說:面向數(shù)據(jù)安全概念是前述保密性、完整性和可獲性,而面向使用者安全概念則是判別、授權(quán)、訪問控制、抗否認(rèn)性和可服務(wù)性和在于內(nèi)容個(gè)人隱私、知識(shí)產(chǎn)權(quán)等保護(hù)。這二者結(jié)合就是信息安全體系結(jié)構(gòu)中安全服務(wù)功效),而這些安全問題又要依靠密碼、數(shù)字署名、身份驗(yàn)證技術(shù)、防火墻、安全審計(jì)、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機(jī)制(方法)加以處理。其中密碼技術(shù)和管理是信息安全關(guān)鍵,安全標(biāo)準(zhǔn)和系統(tǒng)評(píng)定是信息安全基礎(chǔ)?？偠灾畯臍v史、人網(wǎng)大系統(tǒng)概念出發(fā),現(xiàn)代信息安全包含到個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國家安全。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全和公共、國家信息安全總和。信息安全完整內(nèi)涵是和信息安全方法論相匹配,信息安全系統(tǒng)是一個(gè)多維、多原因、多層次、多目標(biāo)系統(tǒng)。所以,有必需從方法論角度去了解現(xiàn)有信息安全模式。1.分析和綜合辯證思維方法:要在分析過程中從整體上把握好分析要素內(nèi)部矛盾,比如:*在威脅分析中環(huán)境災(zāi)難和人員失誤、無意疏忽和有意破壞、外部人員和內(nèi)部職員、竊密篡改和拒絕服務(wù)、個(gè)人行為和有組織信息戰(zhàn)威脅等關(guān)系。在脆弱性分析中軟件、協(xié)議缺點(diǎn)和嵌入后門、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層微弱步驟關(guān)聯(lián)等。在攻擊分析中利用技術(shù)漏洞和社會(huì)工程、行為模式和隱蔽方法等關(guān)系。在綜合方法上則應(yīng)該面向過程,著眼發(fā)展:風(fēng)險(xiǎn)管理綜合方法:立足于盡可能降低風(fēng)險(xiǎn),實(shí)施資產(chǎn)評(píng)定,風(fēng)險(xiǎn)估算,關(guān)鍵選擇,綜合平衡,政策制訂,系統(tǒng)實(shí)施,審計(jì)監(jiān)管等全過程和全方面質(zhì)量管理。安全評(píng)定綜合方法:面向設(shè)計(jì)過程,強(qiáng)調(diào)系統(tǒng)總體評(píng)價(jià)。在評(píng)定標(biāo)準(zhǔn)上掌握好傳統(tǒng)和現(xiàn)實(shí)、國際通用互認(rèn)和中國特點(diǎn)關(guān)系。在保護(hù)輪廓內(nèi)掌握好安全功效和保障關(guān)系。2.從系統(tǒng)復(fù)雜性見解了解和處理安全問題:信息安全是過程、政策、標(biāo)準(zhǔn)、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)有機(jī)總和。這需要在不一樣層面上面向目標(biāo),用定性和定量相結(jié)合、技術(shù)方法和教授經(jīng)驗(yàn)相結(jié)合綜合集成方法加以處理。對(duì)信息內(nèi)容管理則要從源頭、傳輸、網(wǎng)關(guān)、服務(wù)網(wǎng)站和用戶層面進(jìn)行綜合治理。以創(chuàng)新精神跟上網(wǎng)絡(luò)和安全技術(shù)新發(fā)展我們處于網(wǎng)絡(luò)調(diào)整發(fā)展和科技突飛猛進(jìn)時(shí)代,信息安全技術(shù)是含有對(duì)抗性敏感技術(shù),面對(duì)日益迫切需要,唯一出路就是自主?創(chuàng)新。不過自主創(chuàng)新并不排斥吸收國外優(yōu)異技術(shù)相反,只有親密跟蹤國際信息安全技術(shù)新進(jìn)民才能知已知彼,為我所用,在技術(shù)創(chuàng)新上以下發(fā)展值得注意:1.在信息安全系統(tǒng)構(gòu)建、模式、評(píng)定方面風(fēng)險(xiǎn)管理技術(shù)已由傳統(tǒng)相對(duì)固定模式向靈活不停反饋、不停演進(jìn)彈性模式轉(zhuǎn)化,強(qiáng)調(diào)可測(cè)量方法體系,形成所謂“有適應(yīng)能力風(fēng)險(xiǎn)管理模式”。十年前,信息安全系統(tǒng)構(gòu)建理念是“自上而下”即頂層設(shè)計(jì)。從Internet歷史特點(diǎn)和發(fā)展現(xiàn)實(shí)出發(fā),需要先“自下而上”赴,接著“上下結(jié)合”,然后再在網(wǎng)絡(luò)確實(shí)定范圍內(nèi)從全局上計(jì)劃,組成安全體系。系統(tǒng)安全不能作到一勞永逸,需要?jiǎng)討B(tài)構(gòu)建模型。在安全功效、服務(wù)配置上,過去是先從整體定義入手,不過Internet量個(gè)多元化應(yīng)用環(huán)境,而且日新月異。所以現(xiàn)實(shí)處理措施是“分而治之”。多種應(yīng)用,各個(gè)部門,先在統(tǒng)一規(guī)范下,“從我做起”或分層分步實(shí)施。這在相當(dāng)一段時(shí)間內(nèi),是推進(jìn)網(wǎng)絡(luò)發(fā)展、激勵(lì)安全應(yīng)用現(xiàn)實(shí)路徑。新安全協(xié)議不停出現(xiàn),有已趨于成熟,比如大家熟知IPv6已被公認(rèn)安全性較強(qiáng),又能比IPv4提供愈加好互連互通功效,很有可能進(jìn)入主流,怎樣使我們安全產(chǎn)品能同時(shí)支持IPv6已提到日程上人類社會(huì)一直是正義和邪惡并存,在科學(xué)技術(shù)進(jìn)步同時(shí)人類也面臨新威脅,計(jì)算機(jī)技術(shù)發(fā)展帶來計(jì)算機(jī)犯罪就是其中經(jīng)典例子。下面談?wù)剬?shí)施一個(gè)完整安全體系應(yīng)該考慮問題。中國信息系統(tǒng)安全嗎?在國家范圍網(wǎng)絡(luò)建設(shè)方面,國家電信事業(yè)快速發(fā)展,取得了巨大成績。不過,國家通信網(wǎng)絡(luò)交換機(jī)及其通信設(shè)備有相當(dāng)一部分因?yàn)闆]有經(jīng)過安全檢測(cè),安全問題沒有確保,這是因?yàn)榘踩珯z測(cè)工作建設(shè)滯后造成。交換機(jī)嵌入操作系統(tǒng)安全性也存在問題。通信業(yè)務(wù)計(jì)算機(jī)系統(tǒng)也多采取開放式操作系統(tǒng),安全等級(jí)全部很低,也沒有附加安全方法。這些系統(tǒng)不能抵御黑客攻擊和信息炸彈攻擊。在國家政府部門,應(yīng)該說對(duì)信息系統(tǒng)安全性還是重視,但苦于沒有好處理問題方案和安全建設(shè)經(jīng)費(fèi)不足,行業(yè)系統(tǒng)安全問題還是相當(dāng)嚴(yán)重,計(jì)算機(jī)系統(tǒng)也多采取開放式操作系統(tǒng),安全等級(jí)較低。不能抵御黑客攻擊和信息炸彈攻擊。有些系統(tǒng)網(wǎng)絡(luò)多路出口,對(duì)信息系統(tǒng)安全沒有概念,完全沒有安全方法,更談不上安全管理和安全策略制訂。有行業(yè)信息系統(tǒng)業(yè)務(wù)是在沒有安全保障情況下發(fā)展。在金融領(lǐng)域,有些系統(tǒng)采取了開放操作系統(tǒng)UNIX。在系統(tǒng)采購時(shí),有些單位沒有采購安全系統(tǒng)或安全系統(tǒng)建設(shè)不完善。這些系統(tǒng)安全等級(jí)較低,安全問題是普遍性。有商品交易所和證券企業(yè)使用信息系統(tǒng)采取是微機(jī)網(wǎng)絡(luò)系統(tǒng),已經(jīng)出現(xiàn)內(nèi)外黑客攻擊,應(yīng)該說問題已經(jīng)相當(dāng)嚴(yán)重。在產(chǎn)業(yè)發(fā)展決議方面,當(dāng)然改革開放以來取得巨大成績,在行業(yè)計(jì)劃方面一度存在輕系統(tǒng)重應(yīng)用發(fā)展思緒,對(duì)現(xiàn)在出現(xiàn)信息系統(tǒng)安全問題是有影響。行業(yè)部門應(yīng)該重視系統(tǒng)軟件建設(shè)工作,因?yàn)閱慰科髽I(yè)發(fā)展系統(tǒng)軟件是不可能在較短時(shí)間內(nèi)取得地位,要在系統(tǒng)軟件領(lǐng)域占有一席之地應(yīng)該成為國策,甚至不亞于芯片建設(shè)關(guān)鍵性。要加強(qiáng)信息系統(tǒng)安全標(biāo)準(zhǔn)化工作,要開啟信息系統(tǒng)安全建設(shè)內(nèi)需,要明確信息系統(tǒng)安全建設(shè)要求和規(guī)范。應(yīng)該引發(fā)我們注意是操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)安全問題,是信息系統(tǒng)關(guān)鍵技術(shù),沒有系統(tǒng)安全就沒有信息安全。我們應(yīng)該尤其注意,中國在信息系統(tǒng)安全方面和美國是不平等。在信息系統(tǒng)安全管理部門信息系統(tǒng)產(chǎn)品認(rèn)證和檢測(cè)工作剛剛開始,任重而道遠(yuǎn)2.3影響網(wǎng)絡(luò)信息安全原因現(xiàn)今網(wǎng)絡(luò)信息安全存在威脅關(guān)鍵表現(xiàn)在以下多個(gè)方面。1.非授權(quán)訪問。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。2.冒充正當(dāng)用戶。關(guān)鍵指利用多種假冒或欺騙手段非法取得正當(dāng)用戶使用權(quán)限,以達(dá)成占用正當(dāng)用戶資源目標(biāo)。3.破壞數(shù)據(jù)完整性。指使用非法手段,刪除、修改、重發(fā)一些關(guān)鍵信息,以干擾用戶正常使用。4.干擾系統(tǒng)正常運(yùn)行。指改變系統(tǒng)正常運(yùn)行方法,減慢系統(tǒng)響應(yīng)時(shí)間等手段。5.病毒和惡意攻擊。指經(jīng)過網(wǎng)絡(luò)傳輸病毒或惡意Java、XActive等。6.線路竊聽。指利用通信介質(zhì)電磁泄漏或搭線竊聽等手段獲取非法信息。2.4計(jì)算機(jī)安全分類及基礎(chǔ)功效依據(jù)國家計(jì)算機(jī)安全規(guī)范,可把計(jì)算機(jī)安全大致分為三類。一是實(shí)體安全,包含機(jī)房、線路,主機(jī)等;二是網(wǎng)絡(luò)和信息安全,包含網(wǎng)絡(luò)通暢、正確及其網(wǎng)上信息安全;三是應(yīng)用安全,包含程序開發(fā)運(yùn)行、輸入輸出、數(shù)據(jù)庫等安全。下面關(guān)鍵探討第二類網(wǎng)絡(luò)和信息安全問題。網(wǎng)絡(luò)信息安全需求能夠歸結(jié)為以下幾類:1.基礎(chǔ)安全類包含訪問控制、授權(quán)、認(rèn)證、加密和內(nèi)容安全等。訪問控制是提供企業(yè)內(nèi)部和外界及內(nèi)部不一樣信息源之間隔離基礎(chǔ)機(jī)制,也是企業(yè)基礎(chǔ)要求。不過提供隔離不是最終目標(biāo),企業(yè)利用Internet技術(shù)最終目標(biāo)應(yīng)該是在安全前題下提供方便信息訪問,這就是授權(quán)需求。同時(shí),用戶也期望對(duì)授權(quán)人身份進(jìn)行有效識(shí)別,這就是認(rèn)證需求。為了確保信息在存放和傳輸中不被纂改、竊聽等需要加密功效,同時(shí),為了實(shí)施對(duì)進(jìn)出企業(yè)網(wǎng)流量進(jìn)行有效控制,就需要引入內(nèi)容安全要求。2.管理和記帳類包含安全策略管理、企業(yè)范圍內(nèi)集中管理、記帳、實(shí)時(shí)監(jiān)控,報(bào)警等功效。3.網(wǎng)絡(luò)互聯(lián)設(shè)備安全類包含路由器安全管理、遠(yuǎn)程訪問服務(wù)器安全管理、通信服務(wù)器安全管理、交換機(jī)安全管理等。4.連接控制類關(guān)鍵為公布企業(yè)消息服務(wù)器提供可靠連接服務(wù),包含負(fù)載均衡、高可靠性和流量管理等。2.5安全缺口安全策略常常會(huì)和用戶方便性相矛盾,從而產(chǎn)生相反壓力,使安全方法和安全策略相脫節(jié)。這種情況稱為安全缺口。為何會(huì)存在安全缺口呢?有下面四個(gè)原因:1、網(wǎng)絡(luò)設(shè)備種類繁多——目前使用有多種多樣網(wǎng)絡(luò)設(shè)備,從WindowsNT和UNIX服務(wù)器到防火墻、路由器和Web服務(wù)器,每種設(shè)備全部有其獨(dú)特安全情況和保密功效;2、訪問方法多樣化——通常來說,您網(wǎng)絡(luò)環(huán)境存在多個(gè)進(jìn)出方法,很多過程拔號(hào)登錄點(diǎn)和新Internet訪問方法可能會(huì)使安全策略設(shè)置復(fù)雜化;3、網(wǎng)絡(luò)不停改變——網(wǎng)絡(luò)不是靜態(tài),一直全部處于發(fā)展改變中。啟用新硬件設(shè)備和操作系統(tǒng),實(shí)施新應(yīng)用程序和Web服務(wù)器時(shí),安全配置也有不盡相同;4、用戶保安專業(yè)知識(shí)缺乏——很多組織所擁有對(duì)網(wǎng)絡(luò)進(jìn)行有效保護(hù)保安專業(yè)知識(shí)十分有限,這實(shí)際上是造成安全缺口最為關(guān)鍵一點(diǎn)。2.6網(wǎng)絡(luò)安全評(píng)定為堵死安全策略和安全方法之間缺口,必需從以下三方面對(duì)網(wǎng)絡(luò)安全情況進(jìn)行評(píng)定:1、從企業(yè)外部進(jìn)行評(píng)定:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中防火墻;2、從企業(yè)內(nèi)部進(jìn)行評(píng)定:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中計(jì)算機(jī);3、從應(yīng)用系統(tǒng)進(jìn)行評(píng)定:考察每臺(tái)硬件設(shè)備上運(yùn)行操作系統(tǒng)。2.7計(jì)算機(jī)網(wǎng)絡(luò)安全策略2.7.1物理安全策略物理安全策略目標(biāo)是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)難、人為破壞和搭線攻擊；驗(yàn)證用戶身份和使用權(quán)限、防用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好電磁兼容工作環(huán)境；建立完備安全管理制度，預(yù)防非法進(jìn)入計(jì)算機(jī)控制室和多種偷竊、破壞活動(dòng)發(fā)生。抑制和預(yù)防電磁泄漏（即TEMPEST技術(shù)）是物理安全策略一個(gè)關(guān)鍵問題?，F(xiàn)在關(guān)鍵防護(hù)方法有兩類：一類是對(duì)傳導(dǎo)發(fā)射防護(hù)，關(guān)鍵采取對(duì)電源線和信號(hào)線加裝性能良好濾波器，減小傳輸阻抗和導(dǎo)線間交叉耦合。另一類是對(duì)輻射防護(hù)，這類防護(hù)方法又可分為以下兩種：一是采取多種電磁屏蔽方法，如對(duì)設(shè)備金屬屏蔽和多種接插件屏蔽，同時(shí)對(duì)機(jī)房下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾防護(hù)方法，即在計(jì)算機(jī)系統(tǒng)工作同時(shí)，利用干擾裝置產(chǎn)生一個(gè)和計(jì)算機(jī)系統(tǒng)輻射相關(guān)偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)工作頻率和信息特征。2.7.2訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)關(guān)鍵策略，它關(guān)鍵任務(wù)是確保網(wǎng)絡(luò)資源不被非法使用和很訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源關(guān)鍵手段。多種安全策略必需相互配合才能真正起到保護(hù)作用，但訪問控制能夠說是確保網(wǎng)絡(luò)安全最關(guān)鍵關(guān)鍵策略之一。下面我們分述多種訪問控制策略。1)入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)時(shí)間和準(zhǔn)許她們?cè)谀呐_(tái)工作站入網(wǎng)。用戶入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名識(shí)別和驗(yàn)證、用戶口令識(shí)別和驗(yàn)證、用戶帳號(hào)缺省限制檢驗(yàn)。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶用戶名和口令進(jìn)行驗(yàn)證是預(yù)防非法訪問第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入用戶名是否正當(dāng)。假如驗(yàn)證正當(dāng)，才繼續(xù)驗(yàn)證用戶輸入口令，不然，用戶將被拒之網(wǎng)絡(luò)之外。用戶口令是用戶入網(wǎng)關(guān)鍵所在。為確?？诹畎踩?，用戶口令不能顯示在顯示器上，口令長度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其它字符混合，用戶口令必需經(jīng)過加密，加密方法很多，其中最常見方法有：基于單向函數(shù)口令加密，基于測(cè)試模式口令加密，基于公鑰加密方案口令加密，基于平方剩下口令加密，基于多項(xiàng)式共享口令加密，基于數(shù)字署名方案口令加密等。經(jīng)過上述方法加密口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采取一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn)證用戶身份。網(wǎng)絡(luò)管理員應(yīng)該能夠控制和限制一般用戶帳號(hào)使用、訪問網(wǎng)絡(luò)時(shí)間、方法。用戶名或用戶帳號(hào)是全部計(jì)算機(jī)系統(tǒng)中最基礎(chǔ)安全形式。用戶帳號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必需提交“證件”、用戶能夠修改自己口令，但系統(tǒng)管理員應(yīng)該能夠控制口令以下多個(gè)方面限制：最小口令長度、強(qiáng)制修改口令時(shí)間間隔、口令唯一性、口令過期失效后許可入網(wǎng)寬限次數(shù)。用戶名和口令驗(yàn)證有效以后，再深入推行用戶帳號(hào)缺省限制檢驗(yàn)。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)站點(diǎn)、限制用戶入網(wǎng)時(shí)間、限制用戶入網(wǎng)工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)訪問“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶帳號(hào)加以限制，用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對(duì)全部用戶訪問進(jìn)行審計(jì)。假如數(shù)次輸入口令不正確，則認(rèn)為是非法用戶入侵，應(yīng)給出報(bào)警信息。2)網(wǎng)絡(luò)權(quán)限控制網(wǎng)絡(luò)權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出一個(gè)安全保護(hù)方法。用戶和用戶組被給予一定權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組能夠訪問哪些目錄、子目錄、文件和其它資源。能夠指定用戶對(duì)這些文件、目錄、設(shè)備能夠?qū)嵤┠男┎僮鳌Ｊ芡姓咧概珊屠^承權(quán)限屏蔽（IRM）可作為其兩種實(shí)現(xiàn)方法。受托者指派控制用戶和用戶組怎樣使用網(wǎng)絡(luò)服務(wù)器目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，能夠限制子目錄從父目錄那里繼承哪些權(quán)限。我們能夠依據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；通常見戶，系統(tǒng)管理員依據(jù)她們實(shí)際需要為她們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)安全控制和資源使用情況審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源訪問權(quán)限能夠用一個(gè)訪問控制表來描述。3)目錄級(jí)安全控制網(wǎng)絡(luò)應(yīng)許可控制用戶對(duì)目錄、文件、設(shè)備訪問。用戶在目錄一級(jí)指定權(quán)限對(duì)全部文件和子目錄有效，用戶還可深入指定對(duì)目錄下子目錄和文件權(quán)限。對(duì)目錄和文件訪問權(quán)限通常有八種：系統(tǒng)管理員權(quán)限（Supervisor）；讀權(quán)限（Read）、；寫權(quán)限（Write）；創(chuàng)建權(quán)限（Create）；刪除權(quán)限（Erase）；修改權(quán)限（Modify）；文件查找權(quán)限（FileScan）；存取控制權(quán)限（AccessControl）；用戶對(duì)文件或目標(biāo)有效權(quán)限取決于以下二個(gè)原因：用戶受托者指派、用戶所在組受托者指派、繼承權(quán)限屏蔽取消用戶權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)該為用戶指定合適訪問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器訪問。八種訪問權(quán)限有效組合能夠讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器安全性。4)屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制能夠?qū)⒔o定屬性和網(wǎng)絡(luò)服務(wù)器文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)絡(luò)起來。屬性安全在權(quán)限安全基礎(chǔ)上提供更深入安全性。網(wǎng)絡(luò)上資源全部應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源訪問權(quán)限對(duì)應(yīng)一張?jiān)L問控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源訪問能力。屬性設(shè)置能夠覆蓋已經(jīng)指定任何受托者指派和有效權(quán)限。屬性往往能控制以下多個(gè)方面權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、實(shí)施文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)屬性能夠保護(hù)關(guān)鍵目錄和文件，預(yù)防用戶對(duì)目錄和文件誤刪除、、實(shí)施修改、顯示等。5)網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)許可在服務(wù)器控制臺(tái)上實(shí)施一系列操作。用戶使用控制臺(tái)能夠裝載和卸載模塊，能夠安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器安全控制包含能夠設(shè)置口令鎖定服務(wù)器控制臺(tái)，以預(yù)防非法用戶修改、刪除關(guān)鍵信息或破壞數(shù)據(jù)；能夠設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測(cè)和關(guān)閉時(shí)間間隔。6)網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源訪問，對(duì)非法網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引發(fā)網(wǎng)絡(luò)管理員注意。假如不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)統(tǒng)計(jì)企圖嘗試進(jìn)入網(wǎng)絡(luò)次數(shù)，假如非法訪問次數(shù)達(dá)成設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。7)網(wǎng)絡(luò)端口和節(jié)點(diǎn)安全控制網(wǎng)絡(luò)中服務(wù)器端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密形式來識(shí)別節(jié)點(diǎn)身份。自動(dòng)回呼設(shè)備用于預(yù)防假冒正當(dāng)用戶，靜默調(diào)制解調(diào)器用以防范黑客自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必需攜帶證實(shí)身份驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對(duì)用戶身份進(jìn)行驗(yàn)證以后，才許可用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證2.8確保網(wǎng)絡(luò)安全方法因?yàn)榫W(wǎng)絡(luò)安全目標(biāo)是保障用戶關(guān)鍵信息安全，所以限制直接接觸十分關(guān)鍵。假如用戶網(wǎng)絡(luò)連入Internet，那麼最好盡可能地把和Internet連接機(jī)器和網(wǎng)絡(luò)其它部分隔離開來。實(shí)現(xiàn)這個(gè)目標(biāo)最安全方法是將Internet服務(wù)器和網(wǎng)絡(luò)實(shí)際隔開。當(dāng)然，這種處理方案增加了機(jī)器管理難度。不過假如有些人闖進(jìn)隔離開機(jī)器，那麼網(wǎng)絡(luò)其它部分不會(huì)受到牽連。最關(guān)鍵是限制訪問。不要讓不需要進(jìn)入網(wǎng)關(guān)人全部進(jìn)入網(wǎng)關(guān)。在機(jī)器上用戶僅需要一個(gè)用戶帳號(hào)，嚴(yán)格限制它口令。只有在使用su時(shí)才許可進(jìn)入根帳號(hào)。這個(gè)方法保留一份使用根帳號(hào)者統(tǒng)計(jì)。在Internet服務(wù)器上提供部分服務(wù)有FTP、HTTP、遠(yuǎn)程登陸和WAIS（廣域信息服務(wù)）。不過，F(xiàn)TP和HTTP是使用最普遍服務(wù)。它們還有潛力泄露出乎用戶意料之外秘密。和任何其它Internet服務(wù)一樣，F(xiàn)TP一直是（而且仍是）易于被濫用。值得一提弱點(diǎn)包含多個(gè)方面。第一個(gè)危險(xiǎn)是配置不妥。它使站點(diǎn)訪問者（或潛在攻擊者）能夠取得更多超出其預(yù)期數(shù)據(jù)。她們一旦進(jìn)入，下一個(gè)危險(xiǎn)是可能破壞信息。一個(gè)未經(jīng)審查攻擊者能夠抹去用戶整個(gè)FTP站點(diǎn)。最終一個(gè)危險(xiǎn)無須長篇累牘，這是因?yàn)樗粫?huì)造成破壞，而且是低水平。它由用戶FTP站點(diǎn)組成，對(duì)于交換文件人來說，用戶FTP站點(diǎn)成為“麻木不仁窩臟點(diǎn)”。這些文件無所不包，能夠是盜版軟件，也能夠是色情畫。這種交換怎樣進(jìn)行呢？簡單很。發(fā)送者發(fā)覺了一個(gè)她們有權(quán)寫入和拷入可疑文件FTP站點(diǎn)。經(jīng)過一些其它方法，發(fā)送者通知它們同伙文件能夠使用。全部這些問題全部是由未正確要求許可條件而引發(fā)。最大一個(gè)問題可能是許可FTP用戶有機(jī)會(huì)寫入。當(dāng)用戶經(jīng)過FTP訪問一個(gè)系統(tǒng)時(shí)，這通常是FTP用戶所做事。所以，F(xiàn)TP用戶能夠訪問，用戶訪問者也能夠使用。全部這些問題全部是由未正確要求許可條件而引發(fā)。最大一個(gè)問題可能是許可FTP用戶有機(jī)會(huì)寫入。當(dāng)用戶經(jīng)過FTP訪問一個(gè)系統(tǒng)時(shí)，這通常是FTP用戶所做事。所以，F(xiàn)TP用戶能夠訪問，用戶訪問者也能夠訪問。通常說來，F(xiàn)TP用戶不是用戶系統(tǒng)中已經(jīng)有。所以，用戶要建立FTP用戶。不管怎樣要確保將外殼設(shè)置為真正外殼以外東西。這一步驟預(yù)防FTP用戶經(jīng)過遠(yuǎn)程登錄進(jìn)行注冊(cè)（用戶或許已經(jīng)嚴(yán)禁遠(yuǎn)程登錄，不過萬一用戶沒有這么做，確定一下也不會(huì)有錯(cuò)）。將全部文件和目錄主人放在根目錄下，不要放在ftp下。這個(gè)預(yù)防方法預(yù)防FTP用戶修改用戶仔細(xì)構(gòu)思出口令。然后，將口令要求為755（讀和實(shí)施，但不能寫，除了主人之外）。在用戶期望匿名用戶訪問全部目錄上做這項(xiàng)工作。盡管這個(gè)要求許可她們讀目錄，但它也預(yù)防她們把什麼東西放到目錄中來。用戶還需要編制一些可用庫。然而，因?yàn)橛脩粢呀?jīng)在以前建立了必需目錄，所以這一步僅實(shí)施一部分。所以，用戶需要做一切是將/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib中。接著將~ftp/usr/lib上口令改為555，并建立主接收器。最終，用戶需要在~ftp/dev/中建立/dev/null和/dev/socksys設(shè)備結(jié)點(diǎn)。用戶能夠用mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會(huì)愈加輕易。SCO文檔說用cpio,不過copy（非cp）很管用。假如用戶想建立一個(gè)大家全部可用留下文件目錄，那麼可將它稱作輸入。許可其它人寫入這個(gè)目錄，但不能讀。這個(gè)預(yù)防方法預(yù)防它成為麻木不仁窩臟點(diǎn)。大家能夠在這里放入她們想放任何東西，不過她們不能將它們?nèi)〕?。假如用戶認(rèn)為信息比較適合共享，那麼將拷貝到另一個(gè)目錄中。2.9提升企業(yè)內(nèi)部網(wǎng)安全性多個(gè)步驟限制對(duì)網(wǎng)關(guān)訪問。限制網(wǎng)關(guān)上帳號(hào)數(shù)。不要許可在網(wǎng)絡(luò)上進(jìn)行根注冊(cè)；不要信任任何人。網(wǎng)關(guān)不信任任何機(jī)器。沒有一臺(tái)機(jī)器應(yīng)該信任網(wǎng)關(guān)；不要用NFS向網(wǎng)關(guān)傳輸或接收來自網(wǎng)關(guān)任何文件系統(tǒng)；不要在網(wǎng)關(guān)上使用NIS（網(wǎng)絡(luò)信息服務(wù)）；制訂和實(shí)施一個(gè)非網(wǎng)關(guān)機(jī)器上安全性方針；關(guān)閉全部多出服務(wù)和刪除多出程序刪除網(wǎng)關(guān)全部多出程序（遠(yuǎn)程登錄、rlogin、FTP等等）；定時(shí)閱讀系統(tǒng)統(tǒng)計(jì)。3.Intranet安全處理方案3.1Intranet安全處理方案過去我們往往把信息安全局限于通信保密,局限于對(duì)信息加密功效要求,其實(shí)網(wǎng)絡(luò)信息安全牽涉到方方面面問題,是一個(gè)極其復(fù)雜系統(tǒng)工程。從簡化角度來看,要實(shí)施一個(gè)完整網(wǎng)絡(luò)和信息安全體系,最少應(yīng)包含三類方法,而且三者缺一不可。一是社會(huì)法律政策、企業(yè)規(guī)章制度和安全教育等外部軟環(huán)境。在該方面政府相關(guān)部門、企業(yè)關(guān)鍵領(lǐng)導(dǎo)應(yīng)該飾演關(guān)鍵角色。二是技術(shù)方面方法,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存放通信、身份認(rèn)證、授權(quán)等。只有技術(shù)方法并不能確保百分之百安全。三是審計(jì)和管理方法,該方面方法同時(shí)包含了技術(shù)和社會(huì)方法。其關(guān)鍵方法有:實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時(shí)改變安全策略能力、對(duì)現(xiàn)有安全系統(tǒng)實(shí)施漏洞檢驗(yàn)等,以防患于未然。企業(yè)要實(shí)施一個(gè)安全系統(tǒng)應(yīng)該三管齊下。其中法律、企業(yè)領(lǐng)導(dǎo)層重視應(yīng)處于最關(guān)鍵位置。沒有社會(huì)參與就不可能實(shí)施安全保障。網(wǎng)絡(luò)信息安全包含了建立安全環(huán)境多個(gè)關(guān)鍵組成部分,其中安全基石是社會(huì)法律、法規(guī)和手段,這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。第二部分為增強(qiáng)用戶認(rèn)證,用戶認(rèn)證在網(wǎng)絡(luò)和信息安全中屬于技術(shù)方法第一道大門,最終防線為審計(jì)和數(shù)據(jù)備份,不加強(qiáng)這道大門建設(shè),整個(gè)安全體系就會(huì)較脆弱。用戶認(rèn)證關(guān)鍵目標(biāo)是提供訪問控制和不可抵賴作用。用戶認(rèn)證方法按其層次不一樣能夠依據(jù)以下三種原因提供認(rèn)證。1.用戶持有證件,如大門鑰匙、門卡等等;2.用戶知道信息,如密碼;3.用戶特有特征,如指紋、聲音、視網(wǎng)膜掃描等等。依據(jù)在認(rèn)證中采取原因多少,能夠分為單原因認(rèn)證、雙原因認(rèn)證,多原因認(rèn)證等方法。第三部分是授權(quán),這關(guān)鍵為特許用戶提供適宜訪問權(quán)限,并監(jiān)控用戶活動(dòng),使其不越權(quán)使用。該部分和訪問控制(常說隔離功效)是相對(duì)立。隔離不是管理最終目標(biāo),管理最終目標(biāo)是要加強(qiáng)信息有效、安全使用,同時(shí)對(duì)不一樣用戶實(shí)施不一樣訪問許可。第四部分是加密。在上述安全體系結(jié)構(gòu)中,加密關(guān)鍵滿足以下多個(gè)需求。1.認(rèn)證——識(shí)別用戶身份,提供訪問許可;2.一致性——確保數(shù)據(jù)不被非法篡改;3.隱密性——保護(hù)數(shù)據(jù)不被非法用戶查看;4.不可抵賴——使信息接收者無法否認(rèn)曾經(jīng)收到信息。加密是信息安全應(yīng)用中最早開展有效手段之一,數(shù)據(jù)經(jīng)過加密能夠確保在存取和傳送過程中不被非法查看、篡改、竊取等。在實(shí)際網(wǎng)絡(luò)和信息安全建設(shè)中,利用加密技術(shù)最少應(yīng)能處理以下問題:1.鑰匙管理,包含數(shù)據(jù)加密鑰匙、私人證書、私密等確保分發(fā)方法;2.建立權(quán)威鑰匙分發(fā)機(jī)構(gòu);3.確保數(shù)據(jù)完整性技術(shù);4.數(shù)據(jù)加密傳輸;5.數(shù)據(jù)存放加密等。第五部分為審計(jì)和監(jiān)控,確切說,還應(yīng)包含數(shù)據(jù)備份,這是系統(tǒng)安全最終一道防線。系統(tǒng)一旦出了問題,這部分能夠提供問題再現(xiàn)、責(zé)任追查、關(guān)鍵數(shù)據(jù)復(fù)原等保障。在網(wǎng)絡(luò)和信息安全模型中,這五個(gè)部分是相輔相成、缺一不可。其中底層是上層保障基礎(chǔ),假如缺乏下面各層次安全保障,上一層安全方法則無從說起。假如一個(gè)企業(yè)沒有對(duì)授權(quán)用戶操作規(guī)范、安全政策和教育等方面制訂有效管理標(biāo)準(zhǔn),那么對(duì)用戶授權(quán)控制過程和事后審計(jì)等工作就會(huì)變得很困難。3.2網(wǎng)絡(luò)信息安全產(chǎn)品為了實(shí)施上面提出安全體系,可采取防火墻產(chǎn)品來滿足其要求。采取NetScreen企業(yè)硬件防火墻處理方案NetScreen-10&NetScreen-100能夠滿足以下功效。(1)訪問控制實(shí)施企業(yè)網(wǎng)和外部、企業(yè)內(nèi)部不一樣部門之間隔離。其關(guān)鍵在于應(yīng)支持現(xiàn)在Internet中全部協(xié)議,包含傳統(tǒng)面向連接協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議和用戶自定義協(xié)議等。(2)一般授權(quán)和認(rèn)證提供多個(gè)認(rèn)證和授權(quán)方法,控制不一樣信息源。(3)內(nèi)容安全對(duì)流入企業(yè)內(nèi)部網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢驗(yàn),包含URL過濾等等。(4)加密提供防火墻和防火墻之間、防火墻和移動(dòng)用戶之間信息安全傳輸。(5)網(wǎng)絡(luò)設(shè)備安全管理現(xiàn)在一個(gè)企業(yè)網(wǎng)絡(luò)可能會(huì)有多個(gè)連通外界出口,如連接ISP專線、撥號(hào)線等,同時(shí),在大企業(yè)網(wǎng)內(nèi)不一樣部門和分企業(yè)之間可能亦會(huì)有由多級(jí)網(wǎng)絡(luò)設(shè)備隔離小網(wǎng)絡(luò)。依據(jù)信息源分布情況,有必需對(duì)不一樣網(wǎng)絡(luò)和資源實(shí)施不一樣安全策略和多個(gè)等級(jí)安全保護(hù),如能夠在防火墻上實(shí)施路由器、交換機(jī)、訪問服務(wù)器安全管理。(6)集中管理實(shí)施一個(gè)企業(yè)一個(gè)安全策略,實(shí)現(xiàn)集中管理、集中監(jiān)控等。(7)提供記帳、報(bào)警功效實(shí)施移動(dòng)方法報(bào)警功效,包含E-mail、SNMP等。企業(yè)怎樣選擇適宜防火墻計(jì)算機(jī)網(wǎng)絡(luò)將有效實(shí)現(xiàn)資源共享,但資源共享和信息安全是一對(duì)矛盾。伴隨資源共享深入加強(qiáng)，隨之而來信息安全問題也日益突出。并不是每一款防火墻全部適應(yīng)于每個(gè)用戶需求，依據(jù)用戶需求不一樣，所需要防火墻可能完全不一樣。下面列舉了多個(gè)網(wǎng)絡(luò)中防火墻應(yīng)用。INTERNET或信息公布服務(wù)這種情況很普遍，ISP或ICP，企業(yè)網(wǎng)頁，在INTERNET上提供息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。任何一個(gè)想提供普遍服務(wù)或廣而告之網(wǎng)絡(luò)行為，必需許可用戶能夠訪問到你提供服務(wù)主機(jī)，全部屬于這種情況。對(duì)訪問服務(wù)行業(yè)而言，訪問服務(wù)提供者必需把要提供服務(wù)服務(wù)器主機(jī)放在外部用戶能夠訪問地方，也就是說，主機(jī)安全幾乎是唯一確保。除非明確地知道誰會(huì)對(duì)你訪問驚醒破壞，才能夠?qū)Τ隹诼酚善骰虺隹诜阑饓@醒部分針對(duì)性限制訪問控制設(shè)定，不然，訪問控制變得毫無意義。主機(jī)安全是一個(gè)很有效手段。所謂主機(jī)安全是一個(gè)很廣義概念，首先是要有一個(gè)安全操作系統(tǒng)，建立在一個(gè)不安全、甚至穩(wěn)定性全部很差操作系統(tǒng)上，是無法作到一個(gè)安全主機(jī)。然后是仔細(xì)檢驗(yàn)?zāi)闼峁┓?wù)，假如不是你所必需提供服務(wù)，提議除掉一切你所不需要進(jìn)程，對(duì)你服務(wù)而言，它們?nèi)渴悄惆踩想[患。能夠采取部分安全檢測(cè)或網(wǎng)絡(luò)掃描工具來確定你服務(wù)器上到底有伸麼服務(wù)，以確保是否有安全漏洞或隱患。最終是對(duì)主機(jī)確定很嚴(yán)格訪問限制規(guī)則，除了許可提供商愿意提供服務(wù)之外，宣紙并拒絕全部未許可服務(wù)，這是一個(gè)很嚴(yán)格方法。除了主機(jī)安全以外，假如還需要提升服務(wù)安全性，就該考慮采取網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和交互式動(dòng)態(tài)防火墻。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)，會(huì)自動(dòng)捕捉網(wǎng)絡(luò)上全部通信包，并對(duì)其進(jìn)行分析和解析，并判定出用戶行為和企圖。假如發(fā)覺用戶行為或企圖和服務(wù)商所許可服務(wù)不一樣，交互式防火墻立即采取方法，封堵或拒絕用戶訪問，將其拒絕在防火墻之外，并報(bào)警。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)和交互式防火墻含有很強(qiáng)審計(jì)功效，但成本相對(duì)偏高。INTERNET和內(nèi)部網(wǎng)企業(yè)首先訪問INTERNET，得到INTERNET所帶來好處，其次，卻不期望外部用戶去訪問企業(yè)內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有措施去建立兩套網(wǎng)絡(luò)來滿足這種需求。防火墻基礎(chǔ)思想不是對(duì)每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓全部對(duì)系統(tǒng)訪問經(jīng)過某一點(diǎn)，而且保護(hù)這一點(diǎn)，并盡可能地對(duì)受保護(hù)內(nèi)部網(wǎng)和不可信任外界網(wǎng)絡(luò)之間建立一道屏障，它能夠?qū)嵤┍容^慣犯安全政策來控制信息流，預(yù)防不可預(yù)料潛在入侵破壞。依據(jù)企業(yè)內(nèi)部網(wǎng)安全政策不一樣，采取防火墻技術(shù)手段也有所不一樣。包過濾防火墻包過濾防火墻安全性是基于對(duì)包IP地址校驗(yàn)。在Internet上，全部信息全部是以包形式傳輸，信息包中包含發(fā)送方IP地址和接收方IP地址。包過濾防火墻將全部經(jīng)過信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并根據(jù)預(yù)先設(shè)定過濾標(biāo)準(zhǔn)過濾信息包。那些不符合要求IP地址信息包會(huì)被防火墻過濾掉，以確保網(wǎng)絡(luò)系統(tǒng)安全。包過濾防火墻是基于訪問控制來實(shí)現(xiàn)。它利用數(shù)據(jù)包頭信息（源IP地址、封裝協(xié)議、端口號(hào)等）判定和過濾規(guī)則相匹配是否決定舍取。建立這類防火墻需按以下步驟去做；建立安全策略；寫出所許可和嚴(yán)禁任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段邏輯表示式；用對(duì)應(yīng)句法重寫邏輯表示式并設(shè)置之，包過濾防火墻關(guān)鍵是預(yù)防外來攻擊，或是限制內(nèi)部用戶訪問一些外部資源。假如是預(yù)防外部攻擊，針對(duì)經(jīng)典攻擊過濾規(guī)則，大致有：對(duì)付源IP地址欺騙式攻擊（SourceIPAddressSpoofingAttacks）對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址數(shù)據(jù)包這類攻擊，防火墻只需把來自外部端口使用內(nèi)部源地址數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。對(duì)付殘片攻擊（TinyFragmentAttacks）入侵者使用TCP/IP數(shù)據(jù)包分段特征，創(chuàng)建極小分段并強(qiáng)行將TCP/IP頭信息分成多個(gè)數(shù)據(jù)包，以繞過用戶防火墻過濾規(guī)則。黑客期望防火墻只檢驗(yàn)第一個(gè)分段而許可其它分段經(jīng)過。對(duì)付這類攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（FragmentOffset）為1數(shù)據(jù)包全部丟棄即可。包過濾防火墻簡單、透明，而且很行之有效，能處理大部分安全問題，但必需了解包過濾防火墻不能做伸麼和有伸麼缺點(diǎn)。對(duì)于采取動(dòng)態(tài)分配端口服務(wù)，如很多RPC（遠(yuǎn)程過程調(diào)用）服務(wù)相關(guān)聯(lián)服務(wù)器在系統(tǒng)開啟時(shí)隨機(jī)分配端口，就極難進(jìn)行有效地過濾。包過濾防火墻只根據(jù)規(guī)則丟棄數(shù)據(jù)包而不對(duì)其作日志，造成對(duì)過濾IP地址不一樣用戶，不含有用戶身份認(rèn)證功效，不含有檢測(cè)經(jīng)過高層協(xié)議（如應(yīng)用層）實(shí)現(xiàn)安全攻擊能力。代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻果斷給予拒絕。而代理服務(wù)器則是另外一個(gè)方法，能回避就回避，甚至干脆隱藏起來。代理服務(wù)器接收用戶請(qǐng)求后會(huì)檢驗(yàn)驗(yàn)證其正當(dāng)性，如其正當(dāng)，代理服務(wù)器象一臺(tái)用戶機(jī)一樣取回所需信息再轉(zhuǎn)發(fā)給用戶。它將內(nèi)部系統(tǒng)和外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只許可有代理服務(wù)經(jīng)過，而其它全部服務(wù)全部完全被封鎖住。代理服務(wù)器很適合那些根本就不期望外部用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，而也不期望內(nèi)部用戶無限制使用或?yàn)E用INTERNET。采取代理服務(wù)器，能夠把企業(yè)內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部用戶需要驗(yàn)證和授權(quán)以后才能夠去訪問INTERNET。代理服務(wù)器包含兩大類：一類是電路級(jí)代理網(wǎng)關(guān)，另一類是應(yīng)用級(jí)代理網(wǎng)關(guān)。電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)，它工作在會(huì)話層。它在兩主機(jī)收次建立TCP連接時(shí)創(chuàng)建一個(gè)電子屏障。它作為服務(wù)器接收外來請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；和被保護(hù)主機(jī)連接時(shí)則擔(dān)當(dāng)用戶機(jī)角色、起代理服務(wù)作用。它監(jiān)視兩主機(jī)建立連接時(shí)握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳輸數(shù)據(jù)，而不進(jìn)行過濾。電路網(wǎng)關(guān)中特殊用戶程序只在首次連接時(shí)進(jìn)行安全協(xié)商控制，其后就透明了。只有知道怎樣和該電路網(wǎng)關(guān)通信用戶機(jī)才能抵達(dá)防火墻另一邊服務(wù)器。電路級(jí)網(wǎng)關(guān)防火墻安全性比較高，但它仍不能檢驗(yàn)應(yīng)用層數(shù)據(jù)包以消除應(yīng)用層攻擊威脅。應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定應(yīng)用服務(wù)，如TELNET、FTP等服務(wù)連接。這是一個(gè)代理服務(wù)。它只許可有代理服務(wù)經(jīng)過，也就是說只有那些被認(rèn)為“可信賴”服務(wù)才被許可經(jīng)過防火墻。另外代理服務(wù)還能夠過濾協(xié)議，如過濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級(jí)網(wǎng)關(guān)安全性高，其不足是要為每種應(yīng)用提供專門代理服務(wù)程序。兩種代理技術(shù)全部含有登記、日志、統(tǒng)計(jì)和匯報(bào)功效，有很好審計(jì)功效。還能夠含有嚴(yán)格用戶認(rèn)證功效。優(yōu)異認(rèn)證方法，如驗(yàn)證授權(quán)RADIUS、智能卡、認(rèn)證令牌、生物統(tǒng)計(jì)學(xué)和基于軟件工具已被用來克服傳統(tǒng)口令弱點(diǎn)。狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對(duì)網(wǎng)絡(luò)安全正常工作完全沒有影響前提下，采取捕捉網(wǎng)絡(luò)數(shù)據(jù)包方法對(duì)網(wǎng)絡(luò)通信各個(gè)層次實(shí)施監(jiān)測(cè)，并作安全決議依據(jù)。監(jiān)視模塊支持多個(gè)網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，能夠方便地實(shí)現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。狀態(tài)監(jiān)視服務(wù)能夠監(jiān)視RPC（遠(yuǎn)程過程調(diào)用）和UDP（用戶數(shù)據(jù)包）端口信息，而包過濾和代理服務(wù)則全部無法做到。網(wǎng)絡(luò)狀態(tài)監(jiān)控對(duì)主機(jī)要求很高，128M內(nèi)存可能是一個(gè)基礎(chǔ)要求，硬盤要求也很大，最少要求9G，對(duì)SWAP區(qū)最少也要求192M以上。一個(gè)好網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理量可能高達(dá)每秒45M左右（一條T3線路）。網(wǎng)絡(luò)狀態(tài)監(jiān)控結(jié)果，直接就是要求能夠有一個(gè)交互式防火墻來滿足用戶較高要求。中網(wǎng)IP防火墻就是這么一個(gè)產(chǎn)品。虛擬專用網(wǎng)VPNEXTRANET和VPN是現(xiàn)代網(wǎng)絡(luò)新熱點(diǎn)。虛擬專用網(wǎng)本質(zhì)實(shí)際上包含到密碼問題。在無法確保電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全情況下，或也不相信其它安全方法情況下，一個(gè)行之有效措施就是加密，而加密就是必需考慮加密算法和密碼問題?？紤]到中國對(duì)密碼管理體制情況，密碼是一個(gè)單獨(dú)領(lǐng)域。對(duì)防火墻而言，是否防火墻支持對(duì)其它密碼體制支持，支持提供API來調(diào)用第三方加密算法和密碼，很關(guān)鍵。怎樣構(gòu)筑虛擬專用網(wǎng)VPN企業(yè)利用Internet構(gòu)筑虛擬專用網(wǎng)絡(luò)(VPN)，意味著能夠削減巨額廣域網(wǎng)成本，然而在VPN中確保關(guān)鍵數(shù)據(jù)安全等原因又是企業(yè)必需面正確問題。削減廣域網(wǎng)成本，吸引新用戶，這是當(dāng)今每一位企業(yè)主管求勝之路。不過包含到Internet，企業(yè)有得又有失，比如專用線路高可靠性及安全性就是VPN需要關(guān)鍵考慮地方。相比之下VPN比租用專線費(fèi)用低近80%，而且能夠?qū)nternet上多個(gè)網(wǎng)站連接起來，使企業(yè)接觸新企業(yè)伙伴和用戶。明確遠(yuǎn)程訪問需求首先企業(yè)要明確需要和哪種WAN連接，用戶是經(jīng)過LAN/WAN還是撥號(hào)鏈路進(jìn)入企業(yè)網(wǎng)絡(luò)，遠(yuǎn)程用戶是否為同一機(jī)構(gòu)組員等問題。WAN連接有兩類：內(nèi)聯(lián)網(wǎng)連接和外聯(lián)網(wǎng)連接。內(nèi)聯(lián)網(wǎng)連接著同一個(gè)機(jī)構(gòu)內(nèi)可信任終端和用戶，這一類經(jīng)典連接是總部和下屬辦事處、遠(yuǎn)程工作站及路途中用戶連接。對(duì)于內(nèi)聯(lián)網(wǎng)連接，VPN應(yīng)提供對(duì)企業(yè)網(wǎng)絡(luò)相同訪問路徑就好象用戶或下屬辦事處真正和總部連接起來。內(nèi)聯(lián)網(wǎng)VPN實(shí)施安全決議通常是標(biāo)準(zhǔn)企業(yè)決議，遠(yuǎn)程用戶最少要經(jīng)過一次認(rèn)證。圍繞下屬辦事處，VPN要考慮一個(gè)關(guān)鍵問題是這些辦事處物理安全性。物理安全性涵蓋了一切原因，從下屬辦事處密鑰和鎖，到計(jì)算設(shè)備物理訪問，再到可訪問設(shè)施非雇員數(shù)量等等。假如全部這一切全部萬無一失，在總部和下屬辦事處之間就能夠建立一個(gè)“開放管道”VPN。這類似于LAN到LAN連接。即不需要基于VPN用戶認(rèn)證，因?yàn)槲覀冋J(rèn)為這么連接是安全。不過，假如這些地方有問題，網(wǎng)絡(luò)設(shè)計(jì)人員就要考慮采取更嚴(yán)格安全方法。比如，VPN需要嚴(yán)格認(rèn)證，或?qū)?duì)總部網(wǎng)絡(luò)訪問限制在某個(gè)孤立子網(wǎng)中。VPN對(duì)外聯(lián)網(wǎng)安全要求通常十分嚴(yán)格，對(duì)保密信息訪問只有在需要時(shí)才能獲準(zhǔn)，而敏感網(wǎng)絡(luò)資源則嚴(yán)禁訪問。因?yàn)橥饴?lián)網(wǎng)連接可能會(huì)包含機(jī)構(gòu)外人員，處理用戶改變問題則很有挑戰(zhàn)性。從根本上說，這是嚴(yán)格政治問題。但在機(jī)構(gòu)確定用戶時(shí)，這是嚴(yán)格急需處理技術(shù)問題。重視管理企業(yè)網(wǎng)絡(luò)是攻擊者垂涎目標(biāo),所以,管理層必需保護(hù)企業(yè)網(wǎng)絡(luò)免遭遠(yuǎn)程入侵。一個(gè)機(jī)構(gòu)安全決議應(yīng)界定何種形式遠(yuǎn)程訪問是許可或不許可，決議中還要確定對(duì)應(yīng)VPN設(shè)備和實(shí)施選擇方法。通常來說，決議者應(yīng)處理VPN特有多個(gè)問題：遠(yuǎn)程訪問資格，可實(shí)施計(jì)算能力，外聯(lián)網(wǎng)連接責(zé)任，和VPN資源監(jiān)管。另外，還應(yīng)包含為出差旅行職員及遠(yuǎn)程工作站職員提供訪問步驟。當(dāng)然，決議中應(yīng)包含部分技術(shù)細(xì)節(jié)，比如加密密鑰長度，假如VPN加密算法要求公開認(rèn)證，則還需要法律支持保護(hù)。對(duì)外另外而言，決議中應(yīng)具體說明立即通報(bào)遠(yuǎn)程用戶人員變更步驟，被解聘人員必需立即從數(shù)據(jù)庫中清除。這需要外聯(lián)網(wǎng)用戶機(jī)構(gòu)同VPN管理人員之間進(jìn)行良好協(xié)作。通常，企業(yè)人事部門已制訂有些人事管理要求，這些要求可能也適適用于VPN用戶。確定最好產(chǎn)品組合可選擇VPN產(chǎn)品很多，但產(chǎn)品基礎(chǔ)上可分成三大類：基于系統(tǒng)硬件、獨(dú)立軟件包和基于系統(tǒng)防火墻。大部分產(chǎn)品對(duì)LAN到LAN及遠(yuǎn)程撥號(hào)連接全部支持。硬件VPN產(chǎn)品是經(jīng)典加密路由器,因?yàn)樗鼈冊(cè)谠O(shè)備硅片中存放了加密密鑰,所以,較之基于軟件同類產(chǎn)品更不易被破壞.另外,加密路由器速度快,實(shí)際上,假如鏈路傳輸速度超出T1(1.554Mbps),這么VPN是名列前茅?；谲浖PN可能提供更多靈活性。很多產(chǎn)品許可依據(jù)地址或協(xié)議打開通道，而硬件產(chǎn)品則不一樣，它們通常為全部信息流量打開通道，而不考慮協(xié)議要求。因流量類型不一樣，特定通道在遠(yuǎn)程站點(diǎn)可能碰到混合信息流時(shí)分優(yōu)先級(jí)，比如有些信息流需要經(jīng)過VPN進(jìn)入總部數(shù)據(jù)庫，有些信息流則是在網(wǎng)上沖浪。在通常情況下，如經(jīng)過撥號(hào)鏈路連接用戶，軟件結(jié)構(gòu)可能是最好選擇。軟件系統(tǒng)問題在于難于管理，它要求使用者熟悉主機(jī)操作系統(tǒng)、應(yīng)用程序本身和對(duì)應(yīng)安全機(jī)制，甚至部分軟件包需要對(duì)路由表和網(wǎng)絡(luò)地址方案進(jìn)行改動(dòng)。基于防火墻VPN則利用了防火墻安全機(jī)制優(yōu)勢(shì)，能夠?qū)?nèi)部網(wǎng)絡(luò)訪問進(jìn)行限制。另外，它們還實(shí)施地址翻譯，滿足嚴(yán)格認(rèn)證功效要求，提供實(shí)時(shí)報(bào)警，含有廣泛登錄能力。大多數(shù)商業(yè)防火墻還能經(jīng)過剔除危險(xiǎn)或無須要服務(wù)加固主機(jī)操作系統(tǒng)內(nèi)核。因?yàn)闃O少有VPN廠商提供操作系統(tǒng)級(jí)安全指導(dǎo)，所以，提供操作系統(tǒng)保護(hù)是這種VPN一大優(yōu)勢(shì)。什么時(shí)候企業(yè)選擇基于防火墻VPN呢？通常是在遠(yuǎn)程用戶或網(wǎng)絡(luò)充滿潛在敵意時(shí)候。這時(shí)，網(wǎng)管員可建立起所謂非軍事區(qū)（DMZ），部分，系統(tǒng)通常使用在防火墻上一個(gè)第三方界面，并有自己訪問控制規(guī)則。攻擊者可能能抵達(dá)DMZ，但不能破壞內(nèi)部部分?；诜阑饓PN對(duì)于僅僅實(shí)施內(nèi)聯(lián)網(wǎng)應(yīng)用企業(yè)還是蠻好，它是軟件產(chǎn)品中最輕易確保安全和管理產(chǎn)品。對(duì)于這三種VPN產(chǎn)品，網(wǎng)管員還要在四個(gè)領(lǐng)域進(jìn)行考評(píng)：協(xié)議處理、IP安全支持、認(rèn)證服務(wù)器支持和加密密鑰引出。比如：即使大多數(shù)企業(yè)網(wǎng)絡(luò)為多協(xié)議型，但VPN產(chǎn)品只處理IP協(xié)議傳輸，假如其它協(xié)議如IPX或SNA需要傳送，用戶需要尋求能為這些協(xié)議加密，或能將它們打包成IP，讓基于IPVPN系統(tǒng)處理方案。顯然，后一個(gè)選擇可能會(huì)降低系統(tǒng)性能。Ipsec是IETF(InternetEngineeringTaskForce)組織為TCP/IP協(xié)議集增加標(biāo)準(zhǔn)認(rèn)證和加密功效。伴隨Ipsec越來越穩(wěn)定和實(shí)施越來越廣泛，VPN終端用戶能夠無須使用同一廠商產(chǎn)品以確保可靠工作，不過到現(xiàn)在為止，實(shí)施成功VPN通常意味著要從同一家廠商購置全部設(shè)備。盡管大部分VPN可保留自己認(rèn)證數(shù)據(jù)庫，但網(wǎng)管員也期望借助于現(xiàn)有認(rèn)證服務(wù)器。比如，很多遠(yuǎn)程訪問服務(wù)器使用下述兩種協(xié)議之一外部系統(tǒng)來認(rèn)證用戶：遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器（Radius）或終端訪問控制器訪問系統(tǒng)(Tacscs)。獨(dú)立認(rèn)證服務(wù)器優(yōu)勢(shì)在于可收縮性，即不管增加多少臺(tái)訪問設(shè)備，一臺(tái)認(rèn)證服務(wù)器就足矣。假如一個(gè)企業(yè)VPN延伸到海外，網(wǎng)管員還必需處理出口問題?，F(xiàn)在美國法律嚴(yán)禁128位加密算法出口，盡管未來立法可能會(huì)或多或少地放寬限制，但通?？鐕?jīng)營美國公民可能需要布署兩個(gè)VPN系統(tǒng)：一個(gè)加密功效較弱，用于國際用戶，一個(gè)加密功效較強(qiáng)，用于中國用戶。進(jìn)行測(cè)試企業(yè)不能武斷地選擇某種VPN方案，通常要經(jīng)過廣泛測(cè)試，運(yùn)行兩到三種VPN產(chǎn)品，再作出決定。企業(yè)首先要確定一個(gè)遠(yuǎn)程用戶間測(cè)試伙伴小組，由她們測(cè)試系統(tǒng)情況。注意，測(cè)試小組中一定要包含多種技術(shù)工種職員，這一點(diǎn)對(duì)于確保VPN測(cè)試公正和評(píng)定系統(tǒng)管理人員排除故障能力至關(guān)關(guān)鍵。成功VPN測(cè)試包含6個(gè)方面：首先，測(cè)試VPN是否可根據(jù)機(jī)構(gòu)遠(yuǎn)程訪問決議進(jìn)行配置；其次，測(cè)試VPN是否支持全部正在使用認(rèn)證和授權(quán)機(jī)構(gòu)；第三，驗(yàn)證VPN可有效地產(chǎn)生和分配密鑰；第四，測(cè)試VPN是否許可遠(yuǎn)程用戶加入到企業(yè)網(wǎng)絡(luò)中，就像她們?cè)谖锢砩鲜沁B接起來一樣；第五，驗(yàn)證系統(tǒng)為排除故障和提供顯著線索能力；最終，驗(yàn)證是否技術(shù)和非技術(shù)人員一樣能輕松利用VPN。確定系統(tǒng)大小為企業(yè)系統(tǒng)選擇適宜硬件時(shí),網(wǎng)絡(luò)決議者要估量系統(tǒng)用戶總數(shù),同時(shí)舉行網(wǎng)絡(luò)會(huì)議經(jīng)典數(shù)量,和數(shù)據(jù)時(shí)間敏感性（它決定所需密鑰長度）。比如對(duì)于基于軟件VPN，假設(shè)采取三倍DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）加密，使用128位密鑰、數(shù)據(jù)壓縮和信息認(rèn)證，這么，200MHzPentium處理器就能處理T1網(wǎng)絡(luò)連接。鑒于內(nèi)存越大，可許可同時(shí)連接信息流越多，所以，系統(tǒng)在服務(wù)器上能夠指定盡可能多RAM。正如以上所述，速度高于T1網(wǎng)絡(luò)連接則可能需要基于硬件VPN。假如廠商提供產(chǎn)品性能基準(zhǔn)，網(wǎng)絡(luò)管理員注意務(wù)必了解怎樣進(jìn)行測(cè)試具體說明。為了能對(duì)不一樣廠商產(chǎn)品進(jìn)行公平比較，網(wǎng)管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮使用及信息認(rèn)證算法現(xiàn)實(shí)狀況。另外，網(wǎng)管員在設(shè)計(jì)生產(chǎn)系統(tǒng)時(shí)，還要考慮備份和冗余問題，大型機(jī)構(gòu)或信息流量大機(jī)構(gòu)可能還想考慮多服務(wù)器上負(fù)載均衡問題。為VPN服務(wù)器選擇位置遠(yuǎn)程用戶隸屬關(guān)系有利于確定VPN設(shè)備放置位置。對(duì)于期望經(jīng)過遠(yuǎn)程訪問復(fù)制辦事處工作環(huán)境職員來說，VPN服務(wù)器最好直接放在專用網(wǎng)絡(luò)中，但這一方法也最易成為攻擊者攻擊目標(biāo)。對(duì)于職員企業(yè)，假如絕大多數(shù)遠(yuǎn)程用戶屬于外部機(jī)構(gòu)，將VPN設(shè)備放在DMZ網(wǎng)絡(luò)上意義更大，因?yàn)樗葍?nèi)部網(wǎng)絡(luò)更為安全，屏蔽DMZ防火墻有利于保護(hù)其間設(shè)備。這種方法也比將VPN設(shè)備完全放在安全設(shè)施周圍之外更安全。假如一臺(tái)認(rèn)證服務(wù)器屬于DMZ子網(wǎng)，它會(huì)得到細(xì)心管理和保護(hù)，免于內(nèi)部和外部威脅。企業(yè)在設(shè)計(jì)安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時(shí)，安置VPN和認(rèn)證服務(wù)器是關(guān)鍵一步。其中，建立和下屬辦事處鏈路最簡單：一對(duì)VPN服務(wù)器只需在兩個(gè)站點(diǎn)間建立加密通道。因?yàn)槌霾盥眯新殕T或遠(yuǎn)程工作站需要進(jìn)行認(rèn)證，所以，它們建立和VPN服務(wù)器鏈路，將認(rèn)證請(qǐng)求傳送到DMZ上認(rèn)證服務(wù)器。外界顧問不需要認(rèn)證，她們只需同另一臺(tái)VPN服務(wù)器連接起來，這一臺(tái)服務(wù)器應(yīng)在第二個(gè)DMZ上，以保護(hù)企業(yè)認(rèn)證服務(wù)器。另外值得注意是，企業(yè)為業(yè)務(wù)伙伴進(jìn)行連接配置最需要技巧，連接請(qǐng)求首先抵達(dá)第二個(gè)DMZ上VPN服務(wù)器，以后請(qǐng)求被傳送到第一個(gè)DMZ上認(rèn)證服務(wù)器，最終，同意請(qǐng)求被傳送到請(qǐng)求訪問資源中。重新配置其它網(wǎng)絡(luò)設(shè)備安裝VPN，尤其是包含IP地址管理和防火墻時(shí)，企業(yè)可能要對(duì)網(wǎng)絡(luò)上其它設(shè)備重新進(jìn)行配置。VPN通常使用網(wǎng)絡(luò)地址翻譯器（NAT），如IETFRFC1918中所述，NAT將專用地址（通常從一組保留地址中選出）映射到一個(gè)或多個(gè)在Internet上可見地址上。網(wǎng)管員最少要使VPN設(shè)備配置清楚哪些地址要保留下來供內(nèi)部使用。另外，很多基于VPN防火墻還支持動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）。網(wǎng)管員需將DHCP和VPN功效協(xié)調(diào)起來，不然，用戶機(jī)可能最終將信息只發(fā)送到Internet而不是專用網(wǎng)絡(luò)上。部分VPN設(shè)備使用虛擬網(wǎng)絡(luò)適配器將有效IP地址分配到專用網(wǎng)絡(luò)上，如DEC企業(yè)Altavista通道服務(wù)器，或使用由微軟企業(yè)開發(fā)點(diǎn)到點(diǎn)通道協(xié)議（PPTP）全部能夠?qū)⑦@些地址分配到未使用地址中，并對(duì)路由器及其它需要進(jìn)行地址更新網(wǎng)絡(luò)設(shè)備進(jìn)行必需修改。假如VPN服務(wù)器在防火墻以內(nèi)，網(wǎng)絡(luò)管理員還要對(duì)防火墻進(jìn)行重新配置。大多數(shù)VPN將全部信息流閉合起來，形成一股使用單一TCP端口號(hào)信息流。這么，防火墻需要一個(gè)類屬代理或用于傳輸封閉VPN信息流規(guī)則，和許可將信息流傳送到VPN設(shè)備上規(guī)則。假如VPN設(shè)備在DMZ部分外聯(lián)網(wǎng)中，防火墻還需要一個(gè)許可加密信息流從Internet流動(dòng)到DMZ上規(guī)則，另外，還有讓應(yīng)用程序流從DMZ流動(dòng)到內(nèi)部網(wǎng)絡(luò)上規(guī)則。假如認(rèn)證服務(wù)器在內(nèi)部網(wǎng)絡(luò)上，防火墻配置一定要有許可DMZ和專用網(wǎng)絡(luò)間認(rèn)證請(qǐng)求。網(wǎng)絡(luò)管理員應(yīng)該注意，網(wǎng)絡(luò)中中有一個(gè)千萬不能被篡改地方是專用網(wǎng)絡(luò)域名系統(tǒng)（DNS）服務(wù)器，它負(fù)責(zé)專用網(wǎng)絡(luò)設(shè)備主機(jī)名稱到IP地址解析。假如DNS可在Internet上看到，那么攻擊者可了解專用網(wǎng)絡(luò)布局。安裝和配置VPN對(duì)于基于軟件VPN和那些圍繞防火墻制作產(chǎn)品，從安全系統(tǒng)入手是根本。在安裝前從服務(wù)器中取消全部沒有須要服務(wù)、應(yīng)用程序和用戶帳戶，以確保安裝是最新、安全產(chǎn)品，這么安裝VPN軟件才是安全。對(duì)VPN進(jìn)行配置時(shí)，網(wǎng)管員要為一系列原因設(shè)定參數(shù)，包含密鑰長度、關(guān)鍵和次要認(rèn)證服務(wù)器及相關(guān)共享秘密資源、連接和超時(shí)設(shè)置、證書核查VPN終點(diǎn)設(shè)備（而不是用戶）身份，大部分VPN產(chǎn)品全部提供此功效。對(duì)此，部分廠商實(shí)現(xiàn)方法是，讓全部信息進(jìn)入總部設(shè)備下載相關(guān)信息。而對(duì)于遠(yuǎn)程用戶，則需要建立口令，準(zhǔn)備連接腳本，確立認(rèn)證步驟。網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來。二者聽起來差不多，但有些微妙且關(guān)鍵差異。認(rèn)證是要證實(shí)遠(yuǎn)程用戶是她或她聲稱身份（在外聯(lián)網(wǎng)設(shè)置中，要證實(shí)則相反，即服務(wù)器可信）。授權(quán)是要確定遠(yuǎn)程用戶有權(quán)訪問何種網(wǎng)絡(luò)資源。假如認(rèn)證服務(wù)器還控制授權(quán)分組，比如營銷或策劃小組授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同VPN設(shè)備聯(lián)絡(luò)組信息。監(jiān)控和管理VPN這一步是要建立監(jiān)控Internet連接機(jī)制，它能夠測(cè)定VPN對(duì)網(wǎng)絡(luò)利用和吞吐量，而且也是培訓(xùn)訪問臺(tái)職員操作VPN設(shè)備及認(rèn)識(shí)認(rèn)證服務(wù)器和防火墻相互間影響關(guān)鍵一步。另外，機(jī)構(gòu)中全部網(wǎng)管員全部應(yīng)該了解VPN基礎(chǔ)操作，認(rèn)識(shí)到管理VPN人不應(yīng)該只是那些安裝和配置人，最終用戶也需要接收Internet了解及VPN軟件工作原理基礎(chǔ)培訓(xùn)。而且，讓最終一接收部分基礎(chǔ)故障排除方法培訓(xùn)，能夠使她們能自己處理部分小故障。進(jìn)行備份伴隨用戶對(duì)VPN深入熟悉，企業(yè)可能會(huì)包含到部分由任務(wù)決定應(yīng)用程序，比如企業(yè)要為用戶建立一個(gè)電子商店。在這么情況下，備份連接是必需，所以網(wǎng)管員在設(shè)計(jì)網(wǎng)絡(luò)階段就應(yīng)為冗余鏈路和設(shè)備制訂計(jì)劃。信息流量大站點(diǎn)應(yīng)選擇支持多設(shè)備負(fù)載均衡VPN，原因在于提供負(fù)載均衡能力VPN廠商很少，現(xiàn)在NetScreen防火墻產(chǎn)品支持負(fù)載均衡和流量控制功效同時(shí)也支持冗余路徑。即使網(wǎng)絡(luò)應(yīng)用并不關(guān)鍵，進(jìn)行備份也不失為避免用戶投訴好措施。在這方面，保留幾臺(tái)調(diào)制解調(diào)器和電話線路用于緊急情況可能就足矣。然而，這種方法費(fèi)用較高，而且速度慢，對(duì)于LAN到LAN連接，備份連接最好由ISDN或其它專用線路來滿足。要注意是，一定要定時(shí)測(cè)試備份連接系統(tǒng)。復(fù)合型防火墻體系防火墻體系采納是一個(gè)很專業(yè)化過程，不是一個(gè)簡單是和非。當(dāng)然能夠依據(jù)具體情況，作出一定安全政策，并采取某種上述特定防火墻。但絕大多數(shù)情況是，依據(jù)具體安全需求，經(jīng)過某種體系構(gòu)架，來實(shí)現(xiàn)更高強(qiáng)度安全體系?；蚴遣扇“鲜龉π?fù)合型防火墻。我們就具體情況作一個(gè)簡單說明：屏蔽主機(jī)網(wǎng)關(guān)由一個(gè)運(yùn)行代理服務(wù)雙穴網(wǎng)關(guān)和一個(gè)含有包過濾功效路由器組成，功效分開提升了防護(hù)系統(tǒng)效率。一個(gè)獨(dú)立屏蔽子網(wǎng)在Intranet和Internet之間，起保護(hù)作用。它由兩臺(tái)過濾路由器和一臺(tái)代理服務(wù)主機(jī)組成。路由器過濾掉嚴(yán)禁或不能識(shí)別信息，將正當(dāng)信息送到代理服務(wù)主機(jī)上，并讓其檢驗(yàn)，并向內(nèi)或向外轉(zhuǎn)發(fā)符合安全要求。4、NetScreen網(wǎng)絡(luò)安全處理方案4.1企業(yè)背景NetScreen科技企業(yè)成立于1997年10月，總部在美國加州硅谷。企業(yè)奠基者有過在Cisco和Intel等科技領(lǐng)先企業(yè)多年工作經(jīng)驗(yàn)。1998年11月，RobertThomas即Sun企業(yè)實(shí)施總裁加盟NetScreen企業(yè)，任企業(yè)總裁。企業(yè)致力于發(fā)展一個(gè)新型和網(wǎng)絡(luò)安全相關(guān)高科技產(chǎn)品，把多個(gè)功效集成到一起，發(fā)明新業(yè)界性能紀(jì)錄。NetScreen創(chuàng)建新體系結(jié)構(gòu)并已取得了專利。該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)性能瓶頸，能實(shí)現(xiàn)最高等級(jí)IP安全（Ipsec），優(yōu)異系統(tǒng)級(jí)設(shè)計(jì)許可產(chǎn)品提供多個(gè)功效，而且這些功效全部含有沒有和倫比性能。NetScreen科技企業(yè)已經(jīng)為業(yè)界在虛擬專用網(wǎng)領(lǐng)域設(shè)置了新安全處理系統(tǒng)標(biāo)準(zhǔn)。全部功效全部放在相關(guān)專有硬件平臺(tái)盒子里，而且這些功效全部有著無和倫比性能?，F(xiàn)在企業(yè)由SequoiaCapital投資贊助。Sequoia是一家領(lǐng)先風(fēng)險(xiǎn)投資企業(yè)，成立于1974年，已成功地為超出350家企業(yè)提供了最初風(fēng)險(xiǎn)投資基金，其中包含3Com企業(yè)、Cisco系統(tǒng)企業(yè)、Oracle企業(yè)、Symantec企業(yè)和Yahoo企業(yè)等等。其中大部分企業(yè)股票全部已成功上市。NetScreen科技企業(yè)現(xiàn)在有50多名職員企業(yè)在全美關(guān)鍵城市全部設(shè)有辦事處，而且主動(dòng)拓展海外市場。用戶群包含HP、日立、日本電訊電話企業(yè)和美國在線等，覆蓋了歐美亞等十多個(gè)國家和地域。NetScreen企業(yè)產(chǎn)品NetScreen-100取得了KeyLabs工作組“測(cè)試首選獎(jiǎng)”，在1998年4月舉行數(shù)據(jù)通訊雜志評(píng)測(cè)中，NetScreen-100VPN吞吐量是取得第二名2.5倍。1998年11月，NetScreen企業(yè)再次榮獲“測(cè)試者選擇獎(jiǎng)”，這是數(shù)據(jù)通訊雜志年度獎(jiǎng)。在同類產(chǎn)品中，NetScreen是唯一職員把防火墻、虛擬專用網(wǎng)（VPN）、負(fù)載均衡及流量控制結(jié)合起來，且提供100M線速性能產(chǎn)品。NetScreen確保這一點(diǎn)。在1998年8月和9月，NetScreen-10和NetScreen-100經(jīng)過了ICSA(國際計(jì)算機(jī)安全協(xié)會(huì))防火墻認(rèn)證。1998年9月，NetScreen推出了VPN遠(yuǎn)程存取用戶端軟件。1998年10月，NetScreen宣告推出NetScreen-1000產(chǎn)品。這是第一個(gè)支持千兆位傳輸含有防火墻和VPN功效產(chǎn)品。1998年6月，NetScreen-100被HP企業(yè)選為它在防火墻方面新合作伙伴。HP合作伙伴是在全球范圍年為HP提供集成處理系統(tǒng)，并在增強(qiáng)用戶Internet上應(yīng)用。NetScreen是HP選中二家防火墻廠家一家，而且是唯一一家基于硬件產(chǎn)品。1998年12月日立企業(yè)宣告它將在日本推廣NetScreen產(chǎn)品。日立企業(yè)準(zhǔn)備在未來三年內(nèi)賣出10000套NetScreen產(chǎn)品。4.2產(chǎn)品系列現(xiàn)在，NetScreen有NetScreen-10用于10MB傳輸網(wǎng)絡(luò)。NetScreen-100用于100MB傳輸網(wǎng)絡(luò)。NetScreen-100端口是自適應(yīng)端口，也可用于現(xiàn)在傳輸為10MB并計(jì)劃未來升級(jí)為100MB網(wǎng)絡(luò)。NetScreen-1000很快將要面市，它將為那些大型企業(yè)和網(wǎng)絡(luò)主干供給商提供千兆網(wǎng)安全處理方案。NetScreen-5現(xiàn)在正在測(cè)試階段。它大小類似一個(gè)CDROM。它是為小型辦公室或個(gè)人用戶而設(shè)計(jì)。NetScreen遠(yuǎn)程VPN用戶軟件可提供遠(yuǎn)程VPN訪問處理方案。4.3產(chǎn)品功效及特點(diǎn)NetScreen產(chǎn)品是基于安全包處理器產(chǎn)品。全新技術(shù)包含定制專有芯片無償加盟和策略實(shí)現(xiàn)。高性能多總線體系結(jié)構(gòu)、內(nèi)嵌高速RISCCPU和專用軟件。NetScreen防火墻專用ASIC芯片提供存取策略功效。該功效以硬件方法實(shí)現(xiàn)，它比軟件防火墻有著無可比擬速度優(yōu)勢(shì)。CPU可專門負(fù)責(zé)管理數(shù)據(jù)流。（策略存取實(shí)施防火墻保護(hù)和加密解密功效）。因?yàn)樽龅搅讼到y(tǒng)級(jí)安全處理功效。NetScreen消除了基于PC平臺(tái)防火墻需管理多個(gè)部件所引發(fā)性能下降瓶頸。NetScreen提供了多功效和高安全性能無縫連接，NetScreen-1000,NetScreen-100和NetScreen-10分別提供了1000M、100M和10M傳輸性能。NetScreen-1000是市場上唯一千兆集防火墻、VPN和流量管理于一身防火墻產(chǎn)品。一樣，NetScreen-100是業(yè)界最快防火墻，另外，NetScreen自動(dòng)調(diào)整端口速率，使其達(dá)成10M和100M自適應(yīng)。因?yàn)槭腔谟布O(shè)計(jì)，NetScreen是唯一一家安全處理系統(tǒng)提供商，NetScreen產(chǎn)品高性能許可用戶享受到高速好處，可提供多條E1線路，甚至更高如E3線路。另外，該產(chǎn)品許可用戶在遠(yuǎn)程實(shí)現(xiàn)加密通信，而且這種VPN功效不影響性能。NetScreen提供給ISP們一個(gè)價(jià)廉物美安全處理方案。NetScreen－10為中小企業(yè)提供她們負(fù)擔(dān)得起全方面安全處理方案。許可她們?cè)谧约浩髽I(yè)網(wǎng)內(nèi)部構(gòu)筑安全體系。性能NetScreen產(chǎn)品動(dòng)態(tài)加密保護(hù)和按優(yōu)先級(jí)實(shí)時(shí)監(jiān)控未來數(shù)據(jù)，它專有獨(dú)特系統(tǒng)設(shè)計(jì)確保了它高性能，ASIC芯片能夠獨(dú)自處理并過濾包。優(yōu)異多總線結(jié)構(gòu)比基于PC平臺(tái)上防火墻產(chǎn)品快。一樣基于系統(tǒng)級(jí)安全功效設(shè)計(jì)消除了傳輸瓶頸。用戶認(rèn)證和策略NetScreen支持高性能存取為每一個(gè)目前用戶，不管是遠(yuǎn)程還是在防火墻內(nèi)，支持創(chuàng)紀(jì)錄并行連接用戶數(shù)。NetScreen-1000創(chuàng)紀(jì)錄地實(shí)現(xiàn)了TCP/IP并發(fā)連接（超出256000）；策略數(shù)（多于5000）和并發(fā)VPN連接數(shù)（超出10000）。NetScreen-100支持每秒4370個(gè)連接，（基于32個(gè)用戶），領(lǐng)先于它最靠近競爭對(duì)手。依據(jù)獨(dú)立測(cè)試機(jī)構(gòu)，KeyLab測(cè)試匯報(bào)，NetScreen－100支持3個(gè)并發(fā)用戶連接，NetScreen-10支持16000個(gè)并發(fā)連接。全部產(chǎn)品全部支持超出5000個(gè)存取策略，并提供簡單易用過濾界面。防火墻NetScreen全功效防火墻包含了包過濾、代理服務(wù)器和動(dòng)態(tài)線路級(jí)過濾器。該產(chǎn)品提供了高級(jí)包檢驗(yàn)和事件日志功效。該產(chǎn)品和Ipsec協(xié)議兼容。VPNNetScreen會(huì)集了VPN功效，確保了數(shù)據(jù)在傳輸過程中加密和解密，但在數(shù)據(jù)被加、解密之前，首先要滿足預(yù)定策略。不管NetScreen－100還是NetScreen－10全部支持業(yè)界加密標(biāo)準(zhǔn)。包含網(wǎng)絡(luò)密鑰交換（IKE,或以前ISAKMP)經(jīng)過IP，DES，TripleDES。而且還支持?jǐn)?shù)據(jù)署名（MD5）算法。NetScreen將支持X.509認(rèn)證公鑰算法（PKI），能夠自動(dòng)地管理VPN。NetScreen-1000建立了新VPN性能測(cè)試基準(zhǔn)，和其它同類產(chǎn)品比較，NetScreen-1000有著更高吞吐量，更廣泛安全性和更低價(jià)位。流量管理流量管理提供給網(wǎng)絡(luò)管理員全部必需信息去監(jiān)控和管理網(wǎng)絡(luò)流量。網(wǎng)絡(luò)控制功效象帶寬分配。流量優(yōu)先級(jí)和負(fù)載均衡，使該產(chǎn)品成為web服務(wù)器和ISP理想產(chǎn)品。網(wǎng)絡(luò)管理該產(chǎn)品易于安裝，而且NetScreen產(chǎn)品能夠遠(yuǎn)程經(jīng)過網(wǎng)絡(luò)上任何一臺(tái)含有瀏覽器機(jī)器來管理。透明模式 NetScreen能夠被用來作透明傳輸。你能夠在這種方法下不分配任何IP給NetScreen網(wǎng)絡(luò)界面。它只需要一個(gè)管理界面。不用更改您現(xiàn)有任何網(wǎng)絡(luò)配置就能夠利用策略來管理網(wǎng)絡(luò)流量。除了它能夠在兩臺(tái)NetScreen之間運(yùn)行VPN，即使有些產(chǎn)品能夠在透明模式下工作，但它們也不能在透明模式下實(shí)現(xiàn)VPN。特點(diǎn)．獨(dú)特ASIC設(shè)計(jì)及已申請(qǐng)專利保護(hù)系統(tǒng)體系結(jié)構(gòu)．最優(yōu)性能價(jià)格比．無用戶數(shù)目限制．獨(dú)特負(fù)載均衡能力及流量優(yōu)先級(jí)控制能力．創(chuàng)統(tǒng)計(jì)性能，含有線速運(yùn)行能力．配置簡單，管理方便．支持透明傳輸模式．設(shè)計(jì)緊湊，部分附加功效轉(zhuǎn)移到主機(jī)上完成．如日志功效．支持一主一備管理模式4.4訪問控制NetScreen使用了狀態(tài)檢驗(yàn)方法來實(shí)現(xiàn)動(dòng)態(tài)包過濾。相比其它兩種方法簡單包過濾和復(fù)雜應(yīng)用網(wǎng)關(guān)來講，它含有愈加快速和更安全優(yōu)點(diǎn)。簡單包過濾只檢驗(yàn)IP地址和端口號(hào)。它通常由路由器來實(shí)現(xiàn)。但它只能做到拒絕端口訪問或許可端口訪問。它不能了解連接狀態(tài)。一旦真正用戶完成了TCP連接后，就留下了可使黑客劫持端口號(hào)漏洞。應(yīng)用網(wǎng)關(guān)經(jīng)過檢驗(yàn)應(yīng)用層全部包，提供了愈加好安全性。不過用戶需要廠商提供全部應(yīng)用代理。而且它只能用軟件實(shí)現(xiàn)，所以性能是很低。狀態(tài)檢驗(yàn)鏈路層代理，其次，可實(shí)現(xiàn)硬件層。防火墻保持全部TCP會(huì)話檢驗(yàn)。一旦一個(gè)會(huì)話結(jié)束，防火墻就結(jié)束這個(gè)連接。在不犧牲安全性條件下，提供更高性能。NetScreen也可提供網(wǎng)絡(luò)層URL過濾，并在很快未來實(shí)現(xiàn)病毒掃描功效。NetScreen產(chǎn)品也提供信息和用戶認(rèn)證。NetScreen是經(jīng)過建立VPN通道，由MD5實(shí)現(xiàn)ESP信息認(rèn)證，并依從IPSec標(biāo)準(zhǔn)用戶認(rèn)證可由兩種方法實(shí)現(xiàn)。用戶可在防火墻上定義多達(dá)個(gè)用戶或設(shè)置一個(gè)Radius服務(wù)器來存放用戶認(rèn)證信息。4.5管理NetScreen產(chǎn)品可連接信任端口（Trusted）或不信任端口（Untrusted）然后經(jīng)過web界面來管理。并提供了跨Internet來實(shí)現(xiàn)遠(yuǎn)程管理能力。不信任端口（Untrusted）能夠因安全原所以設(shè)置為取消。假如取消它，不信任端口是不可ping。(不信任端口（untrusted）在1.60