【正文】 3) 自身安全的完備性。 (3) 監(jiān)視粒度更細致。 (4) Storage保存分析結(jié)果及相關(guān)數(shù)據(jù)。 (2) 入侵者可能就在防火墻內(nèi)。在桌面PC安裝病毒監(jiān)控軟件。 (2) 抗攻擊能力：對典型攻擊的防御能力 (3) 性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力 (4) 自我完備能力：自身的安全性，F(xiàn)ailclose (5) 可管理能力：是否支持SNMP網(wǎng)管 (6) VPN支持 (7) 認證和加密特性(8) 服務(wù)的類型和原理(9)網(wǎng)絡(luò)地址轉(zhuǎn)換能力三. 病毒防護技術(shù) 病毒歷來是信息系統(tǒng)安全的主要問題之一。 √ Firewall應(yīng)該支持集中的SMTP處理，減少內(nèi)部網(wǎng)和遠程系統(tǒng)的直接連接。 Firewall系統(tǒng)的基本特征 √ Firewall必須支持．“禁止任何服務(wù)除非被明確允許”的設(shè)計策略。 √ PPP/SLIP連接必須通過Firewall認證。 建設(shè)Firewall的原則 分析安全和服務(wù)需求 以下問題有助于分析安全和服務(wù)需求： √ 計劃使用哪些Internet服務(wù)(如，ftp，gopher)，從何處使用Internet服務(wù)(本地網(wǎng)，撥號，遠程辦公室)。 √ 簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。應(yīng)用網(wǎng)關(guān) 為了解決包過濾路由器的弱點，F(xiàn)irewall要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如Telnet和Ftp)。 √ 實際運行中，經(jīng)常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過?？尚械牟呗员仨氃谧柚辜褐木W(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。外部用戶也只需要經(jīng)過—次認證即可訪問內(nèi)部網(wǎng)。二. 防火墻枝術(shù) 防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。如虛擬網(wǎng)技術(shù)、防火墻技術(shù)，入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、病毒防護技術(shù)、加密技術(shù)、認證和數(shù)字簽名技術(shù)等。l 加強對使用人員的安全知識教育。（四）網(wǎng)絡(luò)安全的管理因素 網(wǎng)絡(luò)安全可以采用多種技術(shù)來增強和執(zhí)行。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。（三） 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系 通常，系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。 利用SMTP應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于信息網(wǎng)絡(luò)的侵害；178。 需要保證信息網(wǎng)絡(luò)之間安全互聯(lián)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離；178。l 數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性。 (6) 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進行有效控制。（一）安全威脅 由于企業(yè)網(wǎng)絡(luò)內(nèi)運行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。 (2) 防火墻的安全性。 企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護這些設(shè)備的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)分為兩個部分：提供網(wǎng)絡(luò)用戶對Internet的訪問：提供Internet對網(wǎng)內(nèi)服務(wù)的訪問。 能夠提供對于主流網(wǎng)絡(luò)應(yīng)用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠?qū)崿F(xiàn)安全應(yīng)用；178。 對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控；其次，對于信息網(wǎng)絡(luò)內(nèi)部同樣存在安全需求，包括：178。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。認證：良好的認證體系可防止攻擊者假冒合法用戶。l 系統(tǒng)安全體系的缺陷。安全管理主要包括兩個方面：l 內(nèi)部安全管理：主要是建立內(nèi)部安全管理制度，如機房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實有效的措施保證制度的執(zhí)行。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。 但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊?？刂茖ο到y(tǒng)的訪問 Firewall可以提供對系統(tǒng)的訪問控制。策略執(zhí)行 Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。通常有兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。 √ 某些包過濾路由器不支持TCP/UDP源端口過濾，可能使過濾規(guī)則集更加復(fù)雜，并在過濾模式中打開了安全漏洞。
應(yīng)用網(wǎng)關(guān)的優(yōu)點是： √ 比包過濾路由器更高的安全件。 √ 可能會降低網(wǎng)絡(luò)性能。 √ 提供網(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價。 √ 外部撥入用戶必須通過Firewall的認證?！　　?Firewall必須支持增強的認證機制。 √ Firewall應(yīng)支持對交通、可疑活動的日志記錄。 (2) 通過軟盤、光盤、磁帶傳播。 (3) 病毒數(shù)據(jù)庫的升級。 實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時間。 (3) 對入侵時間立即進行反應(yīng)。 (6) 交換網(wǎng)絡(luò)環(huán)境難于配置。五. 安全掃描技術(shù) 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。因為網(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。操作系統(tǒng)對用戶的認證。 認證過程通常涉及到加密和密鑰交換。這種認證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認證、防火墻驗證等領(lǐng)域。 企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密通訊過程不被竊聽。DiffieHellman密鑰由CA進行驗證。 (2) ISAKMP/Oakley，負責(zé)加密通訊協(xié)商。 由于Ipsec即將成為Internet標(biāo)準，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實現(xiàn)互通。 因此，在利用域名服務(wù)時，應(yīng)該注意到以上的安全問題。為了防止Web服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心： (1) Web服務(wù)器置于防火墻保護之下。 電子郵件系統(tǒng)安全 電子郵件系統(tǒng)也是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)。對操作系統(tǒng)的安全，除了不斷地增加安全補丁外，還需要： (1) 檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇/更