【正文】 √ Firewall應(yīng)該為FTP、TELNET提供代理服務(wù)，以提供增強和集中的認(rèn)證管理機制。 √ Firewall可支持對撥號接入的集中管理和過濾。 √ Firewall依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。 我們將病毒的途徑分為： (1 ) 通過FTP，電子郵件傳播。 病毒防護(hù)的主要技術(shù)如下： (1) 阻止病毒的傳播。 使用防病毒軟件檢查和清除病毒。四. 入侵檢測技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。 (2) PatternMatching Signature Analysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。 (2) 高級，可以判斷應(yīng)用層的入侵事件。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 (5) 防入侵欺騙的能力較差。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。 (5) 模式更新速度。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。 (2) 網(wǎng)絡(luò)拓?fù)洹ＭǔＬ峁姶蟮墓ぞ邩?gòu)造特定的攻擊方法。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。 (2) 操作系統(tǒng)認(rèn)證。 (5) 撥號訪問服務(wù)器與客戶間的認(rèn)證。 (2) 基于PKI的電子郵件及交易(通過Web進(jìn)行的交易)的不可抵賴記錄。 使用摘要算法的認(rèn)證 Radius(撥號認(rèn)證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進(jìn)行認(rèn)證，由于摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。后面描述了基于PKI認(rèn)證的基本原理。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。 通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在1998年將確定為IETF標(biāo)準(zhǔn)，是VPN實現(xiàn)的Internet標(biāo)準(zhǔn)。 Ipsec包含兩個部分： (1) IP security Protocol proper，定義Ipsec報文格式。 Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目的地址。 在為遠(yuǎn)程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。域名服務(wù) Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測的查詢ID可欺騙域名服務(wù)器給出錯誤的主機名IP對應(yīng)關(guān)系。 (3) 對付DenialofService攻擊，應(yīng)設(shè)計備份域名服務(wù)器。 但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。 (4) 經(jīng)常審查Web服務(wù)器配置情況及運行日志。 (7) 小心設(shè)置Web服務(wù)器的訪問控制表。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。是狼就要練好牙，是羊就要練好腿。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻(xiàn)給所有努力的人. 學(xué)習(xí)好幫手。不奮斗就是每天都很容易，可一年一年越來越難。(2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 (3) 該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。由于電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。如新的CGI應(yīng)用。 (2) 在Web服務(wù)器上安裝實時安全監(jiān)控軟件。由于其重要性，成為Hacker攻擊的首選目標(biāo)之一。主要的措施有： (1) 內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。 但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。八. 應(yīng)用系統(tǒng)的安全技術(shù) 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。 ISAKMP/，因此，使VPN能夠容易地擴大到企業(yè)級。 Ipsec提供了兩種加密通訊手段： Ipsec Tunnel：整個IP封裝在Ipsec報文。該標(biāo)準(zhǔn)為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。 類 型技 術(shù)用 途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認(rèn)證密鑰RSA驗證加密密鑰表1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。偽造數(shù)字簽名從計算能力上是不可行的。通訊主體真實性確認(rèn)網(wǎng)絡(luò)上的計算機不被假冒。企業(yè)網(wǎng)絡(luò)接入到internet，暴露出兩個主要危險：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。 基于PKI的認(rèn)證 使用公開密鑰體系進(jìn)行認(rèn)證和加密。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。 (7) 電子郵件通訊雙方的認(rèn)證。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。六. 認(rèn)證和數(shù)宇簽名技術(shù) 認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。 (5) 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。網(wǎng)絡(luò)安全掃描的