【正文】 基礎(chǔ)，如防火墻與IDS和防病毒全面互動形成動態(tài)防御體系。很多廠家在初步定義產(chǎn)品時，都想做成“胖”防火墻，既有包過濾、又有代理，同時包含了入侵檢測和防病毒，但是做著做著，就慢慢瘦下來了。 但是，這種“胖”防火墻目前更多地存在于理論上，實際進行產(chǎn)品化并已成功應(yīng)用的并不多。 防火墻最開始也是一個單獨的設(shè)備與概念，它和VPN、IDS、防病毒等都是同時并立的，但隨著客戶需求的不斷變化，在大而全的思想引導(dǎo)下，防火墻慢慢集成了VPN，集成了IDS，甚至集成了防病毒網(wǎng)關(guān)。一種觀點認為，要采取分工協(xié)作，防火墻應(yīng)該做得精瘦，只做防火墻的專職工作，可采取多家安全廠商聯(lián)盟的方式來解決；另一種觀點認為，把防火墻做得盡量的胖，把所有安全功能盡可能多地附加在防火墻上，成為一個集成化的網(wǎng)絡(luò)安全平臺。（2）防火墻難于管理和配置，易造成安全漏洞。 　　提供簡要報表(按照用戶ID或IP 地址)：防火墻實現(xiàn)的一種輸出方式，按要求提供報表分類打印。 記錄和報表功能 　　防火墻處理完整日志的方法：防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法?！　≈С謳捁芾恚悍阑饓δ軌蚋鶕?jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬?！　√峁┗跁r間的訪問控制：是否提供基于時間的訪問控制?！　∽R別/記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網(wǎng)絡(luò)進行攻擊，防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。 216。 　　能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。 216。 　　支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。為確認連接的唯一性與時效性，代理進程應(yīng)當(dāng)維護代理連接表或相關(guān)數(shù)據(jù)庫(最小字段集合)，為提供認證和授權(quán)，代理進程應(yīng)當(dāng)維護一個擴展字段集合。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾，其他的還有MAC地址過濾。 　　列出支持的認證標(biāo)準(zhǔn)和CA互操作性：廠商可以選擇自己的認證方案，但應(yīng)符合相應(yīng)的國際標(biāo)準(zhǔn)，該項指所支持的標(biāo)準(zhǔn)認證協(xié)議，以及實現(xiàn)的認證協(xié)議是否與其他CA產(chǎn)品兼容互通?！　√峁┗谟布募用埽?是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強度。　　可以在VPN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TCP/IP協(xié)議。 　　服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、Win NT、專用安全操作系統(tǒng)等)。 產(chǎn)品類型　　從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。十、是否可擴展、可升級 用戶的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。目前有很多防火墻號稱可以抵御拒絕服務(wù)攻擊，但嚴(yán)格地說，它應(yīng)該是可以降低拒絕服務(wù)攻擊的危害而不是抵御這種攻擊。七、是否管理簡便 網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷出現(xiàn)，這就要求安全管理員經(jīng)常調(diào)整網(wǎng)絡(luò)安全注意。五、是否功能靈活 對通信行為的有效控制，要求防火墻設(shè)備有一系列不同級別，滿足不同用戶的各類安全控制需求的控制注意。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價過高。 4． 廠商開發(fā)研制的歷史。例如，你可以通過與其它產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國家權(quán)威機構(gòu)的認證、推薦和入網(wǎng)證明（書），來間接了解其穩(wěn)定性。設(shè)計的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。這些服務(wù)是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。216。 篩選路由器　　篩選路由器的另一個術(shù)語就是包過濾路由器并且至少有一個接口是連向公網(wǎng)的，如Internet。DMZ用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)。最后，當(dāng)你加強你的系統(tǒng)時，還要考慮到除了TCP/IP協(xié)議外不要把任何協(xié)議綁定到你的外部網(wǎng)卡上。為了加強操作系統(tǒng)的穩(wěn)固性，防火墻安裝程序要禁止或刪除所有不需要的服務(wù)。在一個應(yīng)用級的網(wǎng)關(guān)里，你想使用的每一個應(yīng)用程協(xié)議都需要一個進程。多數(shù)情況下，一個堡壘主機使用兩塊網(wǎng)卡，每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。 堡壘主機　　堡壘主機是一種被強化的可以防御進攻的計算機，被暴露于因特網(wǎng)之上，作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，以達到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。RFC1918概述了地址并且IANA建議使用內(nèi)部地址機制，以下地址作為保留地址：　　 　　 　　 　　如果你選擇上述例表中的網(wǎng)絡(luò)地址，不需要向任何互聯(lián)網(wǎng)授權(quán)機構(gòu)注冊即可使用。 網(wǎng)絡(luò)地址翻譯（NAT）　　網(wǎng)絡(luò)地址解釋是對Internet隱藏內(nèi)部地址，防止內(nèi)部地址公開。 216。216。216。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個“安全”的IP地址，這個地址是由防火墻使用的。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（CGI）到在兩臺主機間處理流量的防火墻網(wǎng)關(guān)。防火墻提高認證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。u 限制網(wǎng)絡(luò)暴露　　防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。u 記錄Internet活動　　防火墻還能夠強制日志記錄，并且提供警報功能。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點為阻塞點。舉個例子，也許你的安全策略只需對MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。一個防火墻策略要符合四個目標(biāo)，而每個目標(biāo)通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨立的網(wǎng)絡(luò)，例如Intranet等種類相對集中的網(wǎng)絡(luò)。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。開放的PKI 使得管理員能夠選擇最大限度滿足要求的PKI 解決方案。報表和事件分析采用LEA API，而安全與事件整合采用ELA API。入侵檢測采用SAMP（Suspicious Activity Monitorng Protocol）SAMP API 定義了入侵檢測應(yīng)用同VPN 和網(wǎng)絡(luò)防火墻通信的接口。用戶可以根據(jù)多種標(biāo)準(zhǔn)來驗證內(nèi)容的安全。研究信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的仿真、誘騙和隱蔽技術(shù)；研究具有抗攻擊和破壞能力的網(wǎng)絡(luò)與系統(tǒng)的體系結(jié)構(gòu)和技術(shù)，如隔離技術(shù)等。并且能提供自我診斷與自我恢復(fù)相結(jié)合的功能。具有以下的功能：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。其中PKI的安全核心部件包括不同規(guī)模的CA系統(tǒng)、RA系統(tǒng)和KM系統(tǒng)。主要的技術(shù)包括隧道技術(shù)、隧道交換技術(shù)與公鑰基礎(chǔ)設(shè)施（ PKI）的緊密集成技術(shù)以及質(zhì)量保證技術(shù)等。主要的功能為開發(fā)網(wǎng)絡(luò)病毒疫情實時監(jiān)控系統(tǒng)、主動網(wǎng)絡(luò)病毒探查工具。 病毒防范病毒防范子系統(tǒng)主要包括計算機病毒預(yù)警技術(shù)、已知與未知病毒識別技術(shù)、病毒動態(tài)濾殺技術(shù)等。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）?？梢宰鳛椴渴餘AT（Network Address Translation，網(wǎng)絡(luò)地址變換）的地點，利用NAT 技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP 地址對應(yīng)起來，用來緩解地址空間短缺的問題。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，可有效地監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間地活動，保證了內(nèi)部網(wǎng)絡(luò)地安全。 網(wǎng)絡(luò)防火墻防火墻是保護網(wǎng)絡(luò)安全最主要的手段之一，它是設(shè)置在被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，以防止不可預(yù)測的、潛在破壞的非法入侵。安全服務(wù)器即是：通過對傳輸中的數(shù)據(jù)流進行加密，保證數(shù)據(jù)即使被竊聽也不能被解密；通過電子證書和密鑰算法進行身份確認，防止了身份欺詐；通過對數(shù)據(jù)流的校驗，保證數(shù)據(jù)在傳輸過程中不被篡改，使得非法進入網(wǎng)上秘密程序無機可乘。目前國內(nèi)服務(wù)器產(chǎn)品大都為國外設(shè)備，在信息安全構(gòu)建過程中必然存在著潛在的危險，因而發(fā)展民族服務(wù)器產(chǎn)業(yè)，構(gòu)建民族信息長城是國家亟待解決的重大問題。通過分析系統(tǒng)審計日志中大量的跟蹤用戶活動的細節(jié)記錄來發(fā)現(xiàn)入侵，分別在網(wǎng)絡(luò)級和系統(tǒng)級共同探測黑客的攻擊并及時做出反擊，防止黑客進行更深一步的破壞。圖2：網(wǎng)絡(luò)與信息安全防范體系工作流程網(wǎng)絡(luò)與信息安全防范體系的工作流程為：攻擊前的防范部分負責(zé)對日常的防御工作及對實時的消息進行防御：防火墻作為第一道關(guān)口，負責(zé)控制進入網(wǎng)絡(luò)的訪問控制，即進行了日常的防御工作，也對事實的消息進行了防御；系統(tǒng)漏洞檢測系統(tǒng)、安全評估軟件一個從內(nèi)一個從外，非常詳細地掃描安全漏洞并將系統(tǒng)漏洞一一列表，給出最佳解決方法。 恢復(fù)W 恢復(fù)是防范體系的又一個環(huán)節(jié)，無論防范多嚴(yán)密，都很難確保萬無一失，使用完善的備份機制確保內(nèi)容的可恢復(fù)，借助自動恢復(fù)系統(tǒng)、快速恢復(fù)系統(tǒng)來控制和修復(fù)破壞，將損失降至最低。采用與防火墻互聯(lián)互動、互動互防的技術(shù)手段，形成一個整體策略，而不是單一的部分。 預(yù)警是實施安全防范體系的依據(jù)，對整個網(wǎng)絡(luò)安全防護性能給出科學(xué)、準(zhǔn)確的分析評估，有針對性的給出防范體系的建設(shè)方案才是可行的。3．1信息與網(wǎng)絡(luò)系統(tǒng)的安全管理模型 網(wǎng)絡(luò)與信息安全防范體系設(shè)計 網(wǎng)絡(luò)與信息安全防范體系模型網(wǎng)絡(luò)與信息安全防范體系是一個動態(tài)的、基于時間變化的概念，為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能，保證信息的完整性、可用性、可控性和不可否認性，本安全體系提供這樣一種思路：結(jié)合不同的安全保護因素，例如防病毒軟件、防火墻和安全漏洞檢測工具，來創(chuàng)建一個比單一防護有效得的多的綜合的保護屏障。因為迄今還沒有一種技術(shù)可完全消除網(wǎng)絡(luò)安全漏洞。2．8使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失在一個安全設(shè)計充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。2．7缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性完整準(zhǔn)確的安全評估是黑客入侵防范體系的基礎(chǔ)。TCP/IP協(xié)議中的數(shù)據(jù)是以明文形式發(fā)送的，這為安全留下了隱患?；ヂ?lián)網(wǎng)的發(fā)展也一樣，互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)的發(fā)展速度和規(guī)模遠遠大于安全系統(tǒng)的發(fā)展速度和規(guī)模。在我國，許多大的應(yīng)用系統(tǒng)也是建立在國外大型操作系統(tǒng)的基礎(chǔ)之上。但隨著網(wǎng)絡(luò)的深入發(fā)展，它已無法完全反應(yīng)動態(tài)變化的互聯(lián)網(wǎng)安全問題。但總的說來，計算機網(wǎng)絡(luò)的安全性 ,是由數(shù)據(jù)的安全性、通信的安全性和管理人員的安全意識三部分組成。這幾種安全技術(shù)圍繞安全策略有序地組織在一起，相互協(xié)同，相互作用，構(gòu)成一個動態(tài)自適應(yīng)的防范體系。 　　是否支持分布式掃描 　　產(chǎn)品具有靈活、攜帶方便、穿透防火墻的特性。 　　產(chǎn)品本身的安全性 　　掃描產(chǎn)品運行的操作系統(tǒng)平臺是否安全以及產(chǎn)品本身的抗攻擊性能如何都是用戶應(yīng)該需要考慮的因素。技術(shù)白皮書目 錄第一部分 公司簡介 5第二部分 網(wǎng)絡(luò)安全的背景 5第一章 網(wǎng)絡(luò)安全的定義 5第二章 產(chǎn)生網(wǎng)絡(luò)安全問題的幾個方面 62．1 信息安全特性概述 62. 2 信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。比如RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達1502之多（截止到2004年7月9日）。給企業(yè)提供更好的覆蓋、更容易的協(xié)同和加強的安全。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于PDR和P2DR模型中的防護和檢測環(huán)節(jié)?！币虼?，所謂網(wǎng)絡(luò)安全就是指基于網(wǎng)絡(luò)的互聯(lián)互通和運作而涉及的物理線路和連接的安全，網(wǎng)絡(luò)系統(tǒng)的安全，操作系統(tǒng)的安全，應(yīng)用服務(wù)的安全和人員管理的安全等幾個方面。傳統(tǒng)的信息系統(tǒng)安全模型是針對單機系統(tǒng)環(huán)境而制定的，對網(wǎng)絡(luò)環(huán)境安全并不能很好描述，并且對動態(tài)的安全威脅、系統(tǒng)的脆弱性沒有應(yīng)對措施，傳統(tǒng)的安全模型是靜態(tài)安全模型。而其他功能，特別是數(shù)據(jù)吞吐能力及數(shù)據(jù)交換速率提高之大，令人瞠目。其次，網(wǎng)絡(luò)應(yīng)用的設(shè)計往往在應(yīng)用方面考慮的比較多，這就是應(yīng)用永遠高于安全，因為一個系統(tǒng)的設(shè)計最終的目的是為了應(yīng)用、其次才是安全。我們的網(wǎng)絡(luò)哨兵其實也是這個安全漏洞的產(chǎn)物，我們的抓包程序能獲取到HUB或交換機中的數(shù)據(jù)包、然后進行分析處理，這本身就是TCP/IP協(xié)議的漏洞之一。2．5未能對來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制2．6忽略了來自內(nèi)部網(wǎng)用戶的安全威脅來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。評估分析技術(shù)是一種非常行之有效的安全技術(shù)。第三章 網(wǎng)絡(luò)與信息安全防范體系模型以及對安全的應(yīng)對措施如何才能使我們的網(wǎng)絡(luò)百分之百的安全呢？對這個問題的最簡單的回答是：不可能。安全解決方案不是簡單產(chǎn)品的堆砌，而是從風(fēng)險分析、需求分析、安全策略到安全意識教育與技術(shù)培訓(xùn)的系統(tǒng)工程。 安全管理一個成功的安全防范體系開始于一個全面的安全政策，它是所有安全技術(shù)和措施的基礎(chǔ)，也是整個體系的核心。 攻擊檢測攻擊檢測是保證及時發(fā)現(xiàn)攻擊行為，為及時響應(yīng)提供可能的關(guān)鍵環(huán)節(jié)，使用基于網(wǎng)絡(luò)和基于主機的IDS，并對檢測系統(tǒng)實施隱蔽技術(shù)，以防止黑客發(fā)現(xiàn)防護手段進而破壞監(jiān)測系統(tǒng)，以及時發(fā)現(xiàn)攻擊行為，為響應(yīng)贏得時間。使用實時響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應(yīng)的準(zhǔn)確、有效和及時，預(yù)防同類事件的再發(fā)生并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障。安全管理貫穿全流程。預(yù)警系統(tǒng)、入侵檢測系統(tǒng)檢測通過防火墻的數(shù)據(jù)流進行進一步檢查，綜合分析各種信息，動態(tài)分析出那些時黑客對系