【正文】 全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。l 網(wǎng)絡(luò)安全管理：在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測(cè)系統(tǒng)后，必須保證路由器和防火墻的ACL設(shè)置正確，其配置不允許被隨便修改。網(wǎng)絡(luò)層的安全管理可以通過防火墻、安全檢測(cè)、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。第二章 網(wǎng)絡(luò)安全技術(shù)概述基于以上的分析，企業(yè)網(wǎng)絡(luò)系統(tǒng)涉及到各方面的網(wǎng)絡(luò)安全問題，我們認(rèn)為整個(gè)企業(yè)的安全體系必須集成多種安全技術(shù)實(shí)現(xiàn)。如虛擬網(wǎng)技術(shù)、防火墻技術(shù)，入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、病毒防護(hù)技術(shù)、加密技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)等。下面就以上技術(shù)加以詳細(xì)闡述：一. 虛擬網(wǎng)技術(shù) 虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。但是，虛擬網(wǎng)技術(shù)也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對(duì)象。基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。基于MAC的VLAN不能防止MAC欺騙攻擊。 以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和插入（改變）問題。 但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各廠家實(shí)現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對(duì)更多，如IP sweep, teardrop, syncflood, IP spoofing攻擊等。二. 防火墻枝術(shù) 防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。使用Firewall的益處保護(hù)脆弱的服務(wù) 通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包?？刂茖?duì)系統(tǒng)的訪問 Firewall可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如，F(xiàn)irewall允許外部訪問特定的Mail Server和Web Server。集中的安全管理 Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。如在Firewall可以定義不同的認(rèn)證方法，而不需在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過—次認(rèn)證即可訪問內(nèi)部網(wǎng)。增強(qiáng)的保密性 使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測(cè)。策略執(zhí)行 Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。 設(shè)置Firewall的要素網(wǎng)絡(luò)策略 影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級(jí)策略中定義的服務(wù)。服務(wù)訪問策略 服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。 服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。典型的服務(wù)訪問策略是：允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。Firewall設(shè)計(jì)策略 Firewall設(shè)計(jì)策略基于特定的firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。通常采用第二種類型的設(shè)計(jì)策略。 Firewall的基本分類包過濾 IP包過濾： √ 源IP地址； √ 目的IP地址； √ TCP/UDP源端口； √ TCP/UDP目的端口。 包過濾路由器存在許多弱點(diǎn)： √ 包過濾規(guī)則難于設(shè)置并缺乏已有的測(cè)試工具驗(yàn)證規(guī)則的正確性(手工測(cè)試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險(xiǎn)的封包才可能檢測(cè)出來。 √ 實(shí)際運(yùn)行中，經(jīng)常會(huì)發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。但是，規(guī)則例外使包過濾規(guī)則過于復(fù)雜而難以管理。例如，定義規(guī)則禁止所有到達(dá)(Inbound)的端口23連接(telnet)，如果某些系統(tǒng)需要直接Telnet連接，此時(shí)必須為內(nèi)部網(wǎng)的每個(gè)系統(tǒng)分別定義一條規(guī)則。 √ 某些包過濾路由器不支持TCP/UDP源端口過濾，可能使過濾規(guī)則集更加復(fù)雜，并在過濾模式中打開了安全漏洞。如SMTP連接源端口是隨機(jī)產(chǎn)生的(1023)，此時(shí)如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有1023端口的雙向連接。此時(shí)用戶通過重新映射端口，可以繞過過濾路由器。 √ 對(duì)許多RPC(Remoute Procedure Call服務(wù)進(jìn)行包過濾非常困難。由于RPC的Listen口是在主機(jī)啟動(dòng)后隨機(jī)地分配的，要禁止RPC服務(wù)，通常需要禁止所有的UDP(絕大多數(shù)RPC使用UDP)，如此可能需要允許的DNS連接就會(huì)被禁止。應(yīng)用網(wǎng)關(guān) 為了解決包過濾路由器的弱點(diǎn)，F(xiàn)irewall要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如Telnet和Ftp)。這樣的應(yīng)用稱為代理服務(wù)，運(yùn)行代理服務(wù)的主機(jī)被稱為應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨(dú)使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。
應(yīng)用網(wǎng)關(guān)的優(yōu)點(diǎn)是： √ 比包過濾路由器更高的安全件。 √ 提供對(duì)協(xié)議的過濾，如可以禁止FTP連接的Put命令。 √