【正文】 檢測系統(tǒng)后，必須保證路由器和防火墻的ACL設(shè)置正確，其配置不允許被隨便修改。l 管理制度的薄弱。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問；178。 能夠防范包括：252。如通過電子郵件、FTP引入病毒、危險的Java或ActiveX應(yīng)用等。業(yè)務(wù)系統(tǒng)的安全需求　　　　　　　與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。 (3) 來自內(nèi)部網(wǎng)用戶的安全威脅。. . . .. .網(wǎng)絡(luò)安全整體解決方案第一部分 網(wǎng)絡(luò)安全概述第一章 網(wǎng)絡(luò)安全體系的基本認(rèn)識 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。 (4) 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。 利用Http應(yīng)用，通過Java Applet、ActiveX以及Java Script形式；252。 同時對于遠(yuǎn)程訪問用戶增強安全管理；178。采用適當(dāng)?shù)陌踩w系設(shè)計和管理計劃，能夠有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響并降低管理費用。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。良好的網(wǎng)絡(luò)管理有助于增強系統(tǒng)的安全性：l 及時發(fā)現(xiàn)系統(tǒng)安全的漏洞。網(wǎng)絡(luò)層的安全管理可以通過防火墻、安全檢測、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來實現(xiàn)。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。集中的安全管理 Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。服務(wù)訪問策略 服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。 包過濾路由器存在許多弱點： √ 包過濾規(guī)則難于設(shè)置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。 √ 對許多RPC(Remoute Procedure Call服務(wù)進(jìn)行包過濾非常困難。 √ 健壯的認(rèn)證和日志。Stateful防火墻 該類防火墻綜合了包過濾防火墻及應(yīng)用網(wǎng)關(guān)的特性。 √ 機(jī)構(gòu)面臨的風(fēng)險并非是靜態(tài)的，機(jī)構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險。 √ 為Information server定義折中的安全策略允許提供公共服務(wù)。 √ Firewall應(yīng)該為FTP、TELNET提供代理服務(wù)，以提供增強和集中的認(rèn)證管理機(jī)制。 √ Firewall依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。 病毒防護(hù)的主要技術(shù)如下： (1) 阻止病毒的傳播。四. 入侵檢測技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。 (2) PatternMatching Signature Analysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。 (2) 網(wǎng)絡(luò)拓?fù)?。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進(jìn)建議。 (5) 撥號訪問服務(wù)器與客戶間的認(rèn)證。 使用摘要算法的認(rèn)證 Radius(撥號認(rèn)證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進(jìn)行認(rèn)證，由于摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在1998年將確定為IETF標(biāo)準(zhǔn)，是VPN實現(xiàn)的Internet標(biāo)準(zhǔn)。 Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目的地址。域名服務(wù) Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。 (3) 對付DenialofService攻擊，應(yīng)設(shè)計備份域名服務(wù)器。 (4) 經(jīng)常審查Web服務(wù)器配置情況及運行日志。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。是狼就要練好牙，是羊就要練好腿。不奮斗就是每天都很容易，可一年一年越來越難。 (3) 該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。如新的CGI應(yīng)用。由于其重要性，成為Hacker攻擊的首選目標(biāo)之一。 但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。 ISAKMP/，因此，使VPN能夠容易地擴(kuò)大到企業(yè)級。該標(biāo)準(zhǔn)為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。偽造數(shù)字簽名從計算能力上是不可行的。企業(yè)網(wǎng)絡(luò)接入到internet，暴露出兩個主要危險：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 基于PKI的認(rèn)證 使用公開密鑰體系進(jìn)行認(rèn)證和加密。 (7) 電子郵件通訊雙方的認(rèn)證。六. 認(rèn)證和數(shù)宇簽名技術(shù) 認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 (