【正文】 檢測(cè)系統(tǒng)后，必須保證路由器和防火墻的ACL設(shè)置正確，其配置不允許被隨便修改。l 管理制度的薄弱。多層防御，攻擊者在突破第一道防線(xiàn)后，延緩或阻斷其到達(dá)攻擊目標(biāo)。選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。 能夠滿(mǎn)足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶(hù)對(duì)相關(guān)專(zhuān)用網(wǎng)絡(luò)資源訪(fǎng)問(wèn)；178。 能夠防范包括：252。如通過(guò)電子郵件、FTP引入病毒、危險(xiǎn)的Java或ActiveX應(yīng)用等。業(yè)務(wù)系統(tǒng)的安全需求　　　　　　　與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。 (3) 來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅。. . . .. .網(wǎng)絡(luò)安全整體解決方案第一部分 網(wǎng)絡(luò)安全概述第一章 網(wǎng)絡(luò)安全體系的基本認(rèn)識(shí) 自信息系統(tǒng)開(kāi)始運(yùn)行以來(lái)就存在信息系統(tǒng)安全問(wèn)題，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn)而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。 (4) 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。因此，需要在網(wǎng)絡(luò)內(nèi)對(duì)上述情況提供集成的網(wǎng)絡(luò)病毒檢測(cè)、消除等操作。 利用Http應(yīng)用，通過(guò)Java Applet、ActiveX以及Java Script形式；252。 同時(shí)對(duì)于遠(yuǎn)程訪(fǎng)問(wèn)用戶(hù)增強(qiáng)安全管理；178。采用適當(dāng)?shù)陌踩w系設(shè)計(jì)和管理計(jì)劃，能夠有效降低網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)性能的影響并降低管理費(fèi)用。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。良好的網(wǎng)絡(luò)管理有助于增強(qiáng)系統(tǒng)的安全性：l 及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞。網(wǎng)絡(luò)層的安全管理可以通過(guò)防火墻、安全檢測(cè)、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來(lái)實(shí)現(xiàn)。通過(guò)虛擬網(wǎng)設(shè)置的訪(fǎng)問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪(fǎng)問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。集中的安全管理 Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。服務(wù)訪(fǎng)問(wèn)策略 服務(wù)訪(fǎng)問(wèn)策略集中在Internet訪(fǎng)問(wèn)服務(wù)以及外部網(wǎng)絡(luò)訪(fǎng)問(wèn)（如撥入策略、SLIP/PPP連接等）。 包過(guò)濾路由器存在許多弱點(diǎn)： √ 包過(guò)濾規(guī)則難于設(shè)置并缺乏已有的測(cè)試工具驗(yàn)證規(guī)則的正確性(手工測(cè)試除外)。 √ 對(duì)許多RPC(Remoute Procedure Call服務(wù)進(jìn)行包過(guò)濾非常困難。 √ 健壯的認(rèn)證和日志。Stateful防火墻 該類(lèi)防火墻綜合了包過(guò)濾防火墻及應(yīng)用網(wǎng)關(guān)的特性。 √ 機(jī)構(gòu)面臨的風(fēng)險(xiǎn)并非是靜態(tài)的，機(jī)構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險(xiǎn)。 √ 為Information server定義折中的安全策略允許提供公共服務(wù)。 √ Firewall應(yīng)該為FTP、TELNET提供代理服務(wù)，以提供增強(qiáng)和集中的認(rèn)證管理機(jī)制。 √ Firewall依賴(lài)的操作系統(tǒng)應(yīng)及時(shí)地升級(jí)以彌補(bǔ)安全漏洞。 病毒防護(hù)的主要技術(shù)如下： (1) 阻止病毒的傳播。四. 入侵檢測(cè)技術(shù) 利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。 (2) PatternMatching Signature Analysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)： (1) 能夠監(jiān)視經(jīng)過(guò)本網(wǎng)段的任何活動(dòng)。 選擇入侵監(jiān)視系統(tǒng)的要點(diǎn)是： (1) 協(xié)議分析及檢測(cè)能力。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強(qiáng)大的支持。 (2) 網(wǎng)絡(luò)拓?fù)洹Ｌ峁┰擁?xiàng)產(chǎn)品的廠(chǎng)商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級(jí)，并給出相應(yīng)的改進(jìn)建議。 (5) 撥號(hào)訪(fǎng)問(wèn)服務(wù)器與客戶(hù)間的認(rèn)證。 使用摘要算法的認(rèn)證 Radius(撥號(hào)認(rèn)證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進(jìn)行認(rèn)證，由于摘要算法是一個(gè)不可逆的過(guò)程，因此，在認(rèn)證過(guò)程中，由摘要信息不能計(jì)算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。我們將利用公共網(wǎng)絡(luò)實(shí)現(xiàn)的私用網(wǎng)絡(luò)稱(chēng)為虛擬私用網(wǎng)(VPN)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠(chǎng)商所支持，預(yù)計(jì)在1998年將確定為IETF標(biāo)準(zhǔn)，是VPN實(shí)現(xiàn)的Internet標(biāo)準(zhǔn)。 Ipsec transport：對(duì)IP包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來(lái)的源地址和目的地址。域名服務(wù) Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。 (3) 對(duì)付DenialofService攻擊，應(yīng)設(shè)計(jì)備份域名服務(wù)器。 (4) 經(jīng)常審查Web服務(wù)器配置情況及運(yùn)行日志。所有出入的電子郵件均通過(guò)該中轉(zhuǎn)站中轉(zhuǎn)。是狼就要練好牙，是羊就要練好腿。不奮斗就是每天都很容易，可一年一年越來(lái)越難。 (3) 該郵件服務(wù)器作為專(zhuān)門(mén)的應(yīng)用服務(wù)器，不運(yùn)行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。如新的CGI應(yīng)用。由于其重要性，成為Hacker攻擊的首選目標(biāo)之一。 但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。 ISAKMP/，因此，使VPN能夠容易地?cái)U(kuò)大到企業(yè)級(jí)。該標(biāo)準(zhǔn)為每個(gè)IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。偽造數(shù)字簽名從計(jì)算能力上是不可行的。企業(yè)網(wǎng)絡(luò)接入到internet，暴露出兩個(gè)主要危險(xiǎn)：來(lái)自internet的未經(jīng)授權(quán)的對(duì)企業(yè)內(nèi)部網(wǎng)的存取。 基于PKI的認(rèn)證 使用公開(kāi)密鑰體系進(jìn)行認(rèn)證和加密。 (7) 電子郵件通訊雙方的認(rèn)證。六. 認(rèn)證和數(shù)宇簽名技術(shù) 認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴(lài)要求的實(shí)現(xiàn)。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 (