【正文】 NS。例如，Firewall允許外部訪問特定的Mail Server和Web Server。使用Firewall的益處保護脆弱的服務 通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN?；贛AC的VLAN不能防止MAC欺騙攻擊。因此、防止了大部分基于網絡監(jiān)聽的入侵手段。下面就以上技術加以詳細闡述：一. 虛擬網技術 虛擬網技術主要基于近年發(fā)展的局域網交換技術(ATM和以太網交換）。l 網絡安全管理：在網絡層設置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的ACL設置正確，其配置不允許被隨便修改。l 建立完善的系統(tǒng)管理制度。l 管理制度的薄弱。但是，很多安全威脅來源于管理上的松懈及對安全威脅的認識。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。攻擊監(jiān)控：通過對特定網段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。選擇適當的技術和產品，制訂靈活的網絡安全策略，在保證網絡安全的情況下，提供靈活的網絡服務通道。如果某個系統(tǒng)不向外界提供任何服務（斷開），外界是不可能構成安全威脅的。 能夠滿足信息網絡內的授權用戶對相關專用網絡資源訪問；178。 對網絡安全事件的審計；178。 能夠防范包括：252。 對于專有應用的安全服務；178。如通過電子郵件、FTP引入病毒、危險的Java或ActiveX應用等。l 入侵檢測，對于試圖破壞業(yè)務系統(tǒng)的惡意行為能夠及時發(fā)現、記錄和跟蹤，提供非法攻擊的犯罪證據。業(yè)務系統(tǒng)的安全需求　　　　　　　與普通網絡應用不同的是，業(yè)務系統(tǒng)是企業(yè)應用的核心。 (7) 應用服務的安全，許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。 (3) 來自內部網用戶的安全威脅。所以，企業(yè)網絡可能存在的安全威脅來自以下方面： (1) 操作系統(tǒng)的安全性。. . . .. .網絡安全整體解決方案第一部分 網絡安全概述第一章 網絡安全體系的基本認識 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網絡遠程訪問而構成的安全威脅成為日益受到嚴重關注的問題。目前流行的許多操作系統(tǒng)均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。 (4) 缺乏有效的手段監(jiān)視、評估網絡系統(tǒng)的安全性。（二）網絡安全的需求企業(yè)網絡的基本安全需求 滿足基本的安全要求，是該網絡成功運行的必要條件，在此基礎上提供強有力的安全保障，是建設企業(yè)網絡系統(tǒng)安全的重要原則。對于業(yè)務系統(tǒng)應該具有最高的網絡安全措施。l 來自網絡內部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。因此，需要在網絡內對上述情況提供集成的網絡病毒檢測、消除等操作。 必要的信息交互的可信任性；178。 利用Http應用，通過Java Applet、ActiveX以及Java Script形式；252。 對于網絡安全狀態(tài)的量化評估；178。 同時對于遠程訪問用戶增強安全管理；178。但是，企業(yè)接入國際互連網絡，提供網上商店和電子商務等服務，等于將一個內部封閉的網絡建成了一個開放的網絡環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產生。采用適當的安全體系設計和管理計劃，能夠有效降低網絡安全對網絡性能的影響并降低管理費用。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。隱藏內部信息，使攻擊者不能了解系統(tǒng)內的基本情況。安全威脅主要利用以下途徑：l 系統(tǒng)實現存在的漏洞。良好的網絡管理有助于增強系統(tǒng)的安全性：l 及時發(fā)現系統(tǒng)安全的漏洞。如前所述，能否制定一個統(tǒng)一的安全策略，在全網范圍內實現統(tǒng)一的安全管理，對于信息網來說就至關重要了。網絡層的安全管理可以通過防火墻、安全檢測、網絡病毒防治以及網管等一些網絡層的管理工具來實現。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。 以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。網絡層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。集中的安全管理 Firewall對企業(yè)內部網實現集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內部網絡系統(tǒng)，而無須在內部網每臺機器上分別設立安全策略。記錄和統(tǒng)計網絡利用數據以及非法使用數據 Firewall可以記錄和統(tǒng)計通過Firewall的網絡通訊，提供關于網絡使用的統(tǒng)計數據，并且，Firewall可以提供統(tǒng)計數據，來判斷可能的攻擊和探測。服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問（如撥入策略、SLIP/PPP連接等）。Firewall設計策略 Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規(guī)則。 包過濾路由器存在許多弱點： √ 包過濾規(guī)則難于設置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。例如，定義規(guī)則禁止所有到達(Inbound)的端口23連接(telnet)，如果某些系統(tǒng)需要直接Telnet連接，此時必須為內部網的每個系統(tǒng)分別定義一條規(guī)則。 √ 對許多RPC(Remoute Procedure Call服務進行包過濾非常困難。應用網關和包過濾器混合使用能提供比單獨使用應用網關和包過濾器更高的安全性和更大的靈活性。 √ 健壯的認證和日志。 √ 有時需要對客戶軟件進行修改。Stateful防火墻 該類防火墻綜合了包過濾防火墻及應用網關的特性。 √ 提供以上服務和訪問的風險。 √ 機構面臨的風險并非是靜態(tài)的，機構職能轉變、網絡設置改變都有可能改變風險?！　苋?撥出策略　　√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。 √ 為Information server定義折中的安全策略允許提供公共服務。 √ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。