【正文】 全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術手段相結合的方法。l 網(wǎng)絡安全管理：在網(wǎng)絡層設置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的ACL設置正確，其配置不允許被隨便修改。網(wǎng)絡層的安全管理可以通過防火墻、安全檢測、網(wǎng)絡病毒防治以及網(wǎng)管等一些網(wǎng)絡層的管理工具來實現(xiàn)。第二章 網(wǎng)絡安全技術概述基于以上的分析，企業(yè)網(wǎng)絡系統(tǒng)涉及到各方面的網(wǎng)絡安全問題，我們認為整個企業(yè)的安全體系必須集成多種安全技術實現(xiàn)。如虛擬網(wǎng)技術、防火墻技術，入侵監(jiān)控技術、安全漏洞掃描技術、病毒防護技術、加密技術、認證和數(shù)字簽名技術等。下面就以上技術加以詳細闡述：一. 虛擬網(wǎng)技術 虛擬網(wǎng)技術主要基于近年發(fā)展的局域網(wǎng)交換技術(ATM和以太網(wǎng)交換）。交換技術將傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網(wǎng)絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此、防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設備越來越復雜，從而成為被攻擊的對象?；诰W(wǎng)絡廣播原理的入侵監(jiān)控技術在高速交換網(wǎng)絡內(nèi)需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。 以太網(wǎng)從本質(zhì)上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。 但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。網(wǎng)絡層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。IP協(xié)議族各廠家實現(xiàn)的不完善，因此，在網(wǎng)絡層發(fā)現(xiàn)的安全漏洞相對更多，如IP sweep, teardrop, syncflood, IP spoofing攻擊等。二. 防火墻枝術 防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網(wǎng)絡入口點檢查網(wǎng)絡通訊，根據(jù)客戶設定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡安全的前提下，提供內(nèi)外網(wǎng)絡通訊。使用Firewall的益處保護脆弱的服務 通過過濾不安全的服務，F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如，F(xiàn)irewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問 Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，F(xiàn)irewall允許外部訪問特定的Mail Server和Web Server。集中的安全管理 Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。如在Firewall可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過—次認證即可訪問內(nèi)部網(wǎng)。增強的保密性 使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger和DNS。記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù) Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行 Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時，網(wǎng)絡安全取決于每臺主機的用戶。 設置Firewall的要素網(wǎng)絡策略 影響Firewall系統(tǒng)設計、安裝和使用的網(wǎng)絡策略可分為兩級，高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務，低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網(wǎng)絡訪問（如撥入策略、SLIP/PPP連接等）。 服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W(wǎng)絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務；允許內(nèi)部用戶訪問指定的Internet主機和服務。Firewall設計策略 Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。通常采用第二種類型的設計策略。 Firewall的基本分類包過濾 IP包過濾： √ 源IP地址； √ 目的IP地址； √ TCP/UDP源端口； √ TCP/UDP目的端口。 包過濾路由器存在許多弱點： √ 包過濾規(guī)則難于設置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險的封包才可能檢測出來。 √ 實際運行中，經(jīng)常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。但是，規(guī)則例外使包過濾規(guī)則過于復雜而難以管理。例如，定義規(guī)則禁止所有到達(Inbound)的端口23連接(telnet)，如果某些系統(tǒng)需要直接Telnet連接，此時必須為內(nèi)部網(wǎng)的每個系統(tǒng)分別定義一條規(guī)則。 √ 某些包過濾路由器不支持TCP/UDP源端口過濾，可能使過濾規(guī)則集更加復雜，并在過濾模式中打開了安全漏洞。如SMTP連接源端口是隨機產(chǎn)生的(1023)，此時如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有1023端口的雙向連接。此時用戶通過重新映射端口，可以繞過過濾路由器。 √ 對許多RPC(Remoute Procedure Call服務進行包過濾非常困難。由于RPC的Listen口是在主機啟動后隨機地分配的，要禁止RPC服務，通常需要禁止所有的UDP(絕大多數(shù)RPC使用UDP)，如此可能需要允許的DNS連接就會被禁止。應用網(wǎng)關 為了解決包過濾路由器的弱點，F(xiàn)irewall要求使用軟件應用來過濾和傳送服務連接（如Telnet和Ftp)。這樣的應用稱為代理服務，運行代理服務的主機被稱為應用網(wǎng)關。應用網(wǎng)關和包過濾器混合使用能提供比單獨使用應用網(wǎng)關和包過濾器更高的安全性和更大的靈活性。
應用網(wǎng)關的優(yōu)點是： √ 比包過濾路由器更高的安全件。 √ 提供對協(xié)議的過濾，如可以禁止FTP連接的Put命令。 √