【正文】 √ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。 √ Firewall可支持對撥號接入的集中管理和過濾。 √ Firewall依賴的操作系統(tǒng)應及時地升級以彌補安全漏洞。 我們將病毒的途徑分為： (1 ) 通過FTP，電子郵件傳播。 病毒防護的主要技術(shù)如下： (1) 阻止病毒的傳播。 使用防病毒軟件檢查和清除病毒。四. 入侵檢測技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡保護，降低了網(wǎng)絡安全風險。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術(shù)，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。 (2) PatternMatching Signature Analysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。 (2) 高級，可以判斷應用層的入侵事件。 基于網(wǎng)絡的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 (5) 防入侵欺騙的能力較差。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。 (5) 模式更新速度。商品化的安全掃描工具為網(wǎng)絡安全漏洞的發(fā)現(xiàn)提供了強大的支持。 基于網(wǎng)絡的安全掃描主要掃描設定網(wǎng)絡內(nèi)的服務器、路由器、網(wǎng)橋、變換機、訪問服務器、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統(tǒng)的防御能力。 (2) 網(wǎng)絡拓撲。通常提供強大的工具構(gòu)造特定的攻擊方法。提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應的改進建議。 (2) 操作系統(tǒng)認證。 (5) 撥號訪問服務器與客戶間的認證。 (2) 基于PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。 使用摘要算法的認證 Radius(撥號認證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡上傳輸。后面描述了基于PKI認證的基本原理。我們將利用公共網(wǎng)絡實現(xiàn)的私用網(wǎng)絡稱為虛擬私用網(wǎng)(VPN)。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。 通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠商所支持，預計在1998年將確定為IETF標準，是VPN實現(xiàn)的Internet標準。 Ipsec包含兩個部分： (1) IP security Protocol proper，定義Ipsec報文格式。 Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。 在為遠程撥號服務的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡通訊。域名服務 Internet域名服務為Internet/Intranet應用提供了極大的靈活性。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預測的查詢ID可欺騙域名服務器給出錯誤的主機名IP對應關系。 (3) 對付DenialofService攻擊，應設計備份域名服務器。 但Web服務器越來越復雜，其被發(fā)現(xiàn)的安全漏洞越來越多。 (4) 經(jīng)常審查Web服務器配置情況及運行日志。 (7) 小心設置Web服務器的訪問控制表。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。是狼就要練好牙，是羊就要練好腿。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人. 學習好幫手。不奮斗就是每天都很容易，可一年一年越來越難。(2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 (3) 該郵件服務器作為專門的應用服務器，不運行任何其它業(yè)務(切斷與內(nèi)部網(wǎng)的通訊)。由于電子郵件系統(tǒng)的復雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。如新的CGI應用。 (2) 在Web服務器上安裝實時安全監(jiān)控軟件。由于其重要性，成為Hacker攻擊的首選目標之一。主要的措施有： (1) 內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務器，隱藏內(nèi)部網(wǎng)絡信息。 但是，域名服務通常為hacker提供了入侵網(wǎng)絡的有用信息，如服務器的IP、操作系統(tǒng)信息、推導出可能的網(wǎng)絡結(jié)構(gòu)等。八. 應用系統(tǒng)的安全技術(shù) 由于應用系統(tǒng)的復雜性，有關應用平臺的安全問題是整個安全體系中最復雜的部分。 ISAKMP/，因此，使VPN能夠容易地擴大到企業(yè)級。 Ipsec提供了兩種加密通訊手段： Ipsec Tunnel：整個IP封裝在Ipsec報文。該標準為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。 類 型技 術(shù)用 途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認證密鑰RSA驗證加密密鑰表1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關系。偽造數(shù)字簽名從計算能力上是不可行的。通訊主體真實性確認網(wǎng)絡上的計算機不被假冒。企業(yè)網(wǎng)絡接入到internet，暴露出兩個主要危險：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。 基于PKI的認證 使用公開密鑰體系進行認證和加密。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。 (7) 電子郵件通訊雙方的認證。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設備之間的認證。六. 認證和數(shù)宇簽名技術(shù) 認證技術(shù)主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。 (5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。網(wǎng)絡安全掃描的