【文章內(nèi)容簡(jiǎn)介】 結(jié)構(gòu)如下圖所示。 傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡(jiǎn)介1．阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此不會(huì)存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時(shí)，因?yàn)椴僮飨到y(tǒng)需要不斷地去維護(hù)、升級(jí)，無操作系統(tǒng)就不存在此類問題，這也排除了因?yàn)橄到y(tǒng)升級(jí)、打補(bǔ)丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內(nèi)核啟動(dòng)后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理，利用了所有可能的硬件性能，同時(shí)減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場(chǎng)上現(xiàn)有的最快的防火墻之一。2．ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級(jí)別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識(shí)別功能是目前很多基于包過濾的硬件防火墻都不具備的，可以在網(wǎng)絡(luò)的任何地方，如兩個(gè)或多個(gè)網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個(gè)主機(jī)上配置ISA Server 來對(duì)網(wǎng)絡(luò)或主機(jī)進(jìn)行防護(hù)。ISA Server的主要特性：?。?）多層防火墻安全防火墻可以通過各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級(jí)的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個(gè)網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報(bào)。(2）狀態(tài)檢測(cè)狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISA Server 檢查在 IP 消息頭中指明的通信來源和目標(biāo)，以及在標(biāo)識(shí)所采用的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動(dòng)態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請(qǐng)求，并且打開端口的持續(xù)時(shí)間恰好滿足該請(qǐng)求的需要，從而減少與打開端口相關(guān)的攻擊。ISA Server 可以動(dòng)態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。管理員可以配置訪問策略規(guī)則，以便只在允許的情況下自動(dòng)打開端口，然后當(dāng)通信結(jié)束時(shí)關(guān)閉端口。這一過程稱為動(dòng)態(tài)數(shù)據(jù)包篩選，它使兩個(gè)方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。(3）集成的入侵檢測(cè)ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供幫助管理員識(shí)別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。并且ISA能夠自動(dòng)對(duì)其作出響應(yīng)。這項(xiàng)技術(shù)給 ISA Server 提供了能識(shí)別此類攻擊的集成入侵檢測(cè)機(jī)制。當(dāng)識(shí)別出這種攻擊時(shí)，警報(bào)還能同時(shí)指出 ISA Server 應(yīng)采取什么行動(dòng)，這些行動(dòng)可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停?Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運(yùn)行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對(duì) Web 緩存進(jìn)行了徹底的重新設(shè)計(jì)，使它可以將緩存放入 RAM 中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的 Web 客戶機(jī)總體響應(yīng)時(shí)間。這對(duì)于企業(yè)內(nèi)部來說尤其重要，因?yàn)閱T工需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您可以通過多臺(tái) ISA Server 計(jì)算機(jī)組成的陣列來提供無縫縮放和更高的效率。(6)活動(dòng)緩存通過一個(gè)叫做活動(dòng)緩存的功能，可配置 ISA Server 使其自動(dòng)更新緩存中的對(duì)象。使用這種功能，ISA Server 可通過主動(dòng)刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動(dòng)緩存，經(jīng)常被訪問的對(duì)象在它們到期之前，在低網(wǎng)絡(luò)流量時(shí)段自動(dòng)更新。(7)統(tǒng)一管理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 管理控制臺(tái)(MMC，Microsoft Management Console)。所有這些功能，特別是 MMC，會(huì)使得管理更容易，因?yàn)椴僮魅藛T熟悉它，并可從一個(gè)控制臺(tái)同時(shí)管理防火墻和 Web 緩存。(8)企業(yè)策略和訪問控制ISA Server 還支持創(chuàng)建企業(yè)級(jí)和本地陣列策略，用于集中實(shí)施或本地實(shí)施。ISA Server 可作為獨(dú)立服務(wù)器安裝或作為陣列成員安裝。為便于管理，各個(gè)陣列成員都使用相同的配置。對(duì)陣列配置進(jìn)行修改時(shí)，陣列中的所有 ISA Server 計(jì)算機(jī)也都將得到修改，包括所有訪問和緩存策略。216。 VPN（Virtual Private Network）VPN即虛擬專用網(wǎng)絡(luò)，是通過 Internet 公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)絡(luò) (VPN) 是專用網(wǎng)絡(luò)的擴(kuò)展。同 Internet 一樣，該網(wǎng)絡(luò)包含共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)之間的鏈接。使用 VPN，可以通過共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)以模擬點(diǎn)對(duì)點(diǎn)專用鏈接的方式在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)建和配置虛擬專用網(wǎng)絡(luò)的操作。使用 VPN 連接，在家辦公或旅行的用戶可以通過公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠(yuǎn)程訪問連接。從用戶的角度來說，VPN 是計(jì)算機(jī)（VPN 客戶端）和組織服務(wù)器（VPN 服務(wù)器）之間的點(diǎn)對(duì)點(diǎn)連接。VPN 與共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)的具體結(jié)構(gòu)無關(guān)，因?yàn)閿?shù)據(jù)就象是通過專用的鏈接發(fā)送的。VPN技術(shù)的效果類似于傳統(tǒng)的DDN專線聯(lián)網(wǎng)方式，網(wǎng)絡(luò)拓?fù)淙缦聢D所示。1） VPN的類型（1）Access VPN移動(dòng)用戶在任何地方、時(shí)間采用撥號(hào)、ISDN、DSL、移動(dòng)IP和電纜技術(shù)通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。（2）Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IP SEC、GRE等。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。（3）Extranet VPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。Extranet 用戶對(duì)于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。 2） VPN使用的協(xié)議（1）鏈路層L2TP、PPTP協(xié)議PPTP PPTP是PPP的擴(kuò)展，它增加了一個(gè)新的安全等級(jí)，并且可以通過Internet 進(jìn)行多協(xié)議通信，它支持通過公共網(wǎng)絡(luò)（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 可以建立隧道或?qū)?IP、IPX 或 NetBEUI 協(xié)議封裝在 PPP 數(shù)據(jù)包內(nèi)，因此允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP在基于 TCP/IP 協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建 VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸。VPN服務(wù)器執(zhí)行所有的安全檢查和驗(yàn)證，并啟用數(shù)據(jù)加密，使得在不安全的網(wǎng)絡(luò)上發(fā)送信息變得更加安全。尤其是使用EAP后，通過啟用 PPTP 的 VPN傳輸數(shù)據(jù)就象在企業(yè)的一個(gè)局域網(wǎng)內(nèi)那樣安全。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡(luò)。L2TP 是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP 也會(huì)壓縮PPP 的幀，從而壓縮 IP、IPX 或 NetBEUI 協(xié)議，同樣允許用戶遠(yuǎn)程運(yùn)行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全 (IPSec) 機(jī)制來進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。（2）網(wǎng)絡(luò)層IPsec協(xié)議基于 PKI 技術(shù)的 IPSec 協(xié)議現(xiàn)在已經(jīng)成為架構(gòu) VPN 的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過加密和認(rèn)證的通信。雖然它的實(shí)現(xiàn)會(huì)復(fù)雜一些，但其安全性比其他協(xié)議都完善得多。由于 IPSec 是 IP 層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種規(guī)范，具有非常好的通用性，而且 IPSec 本身就支持面向未來的協(xié)議 ——IPv6 。3）傳輸層SSL、TLS、SOCKS協(xié)議SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。216。 主機(jī)安全1） 系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡(luò)操作系統(tǒng)本身所存在的技術(shù)缺陷。系統(tǒng)漏洞往往會(huì)被病毒利用侵入并攻擊用戶計(jì)算機(jī)。漏洞會(huì)影響到的范圍很大，包括系統(tǒng)本身及其支 撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設(shè) 備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問題。Windows系統(tǒng)漏洞問題是與時(shí)間緊密相關(guān)的。一個(gè)windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會(huì)不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補(bǔ)丁軟件修補(bǔ)，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時(shí)，也會(huì)引入一些新的漏洞和錯(cuò)誤。Windows操作系統(tǒng)供應(yīng)商將定期對(duì)已知的系統(tǒng)漏洞發(fā)布補(bǔ)丁程序，用戶只要定期下載并安裝補(bǔ)丁程序，可以保證計(jì)算機(jī)不會(huì)輕易被病毒、黑客入侵。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會(huì)部署硬件或軟件防火墻，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，本身具有較強(qiáng)的抗攻擊能力。但是防火墻也存在一定的局限性：l 防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題，對(duì)于防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也無法處理；l 防火墻無法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊（拒絕服務(wù)攻擊）。l 防火墻對(duì)于合法開發(fā)端口的攻擊無法阻止。例如利用開放的FTP、遠(yuǎn)程桌面端口漏洞提升權(quán)限問題。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻本身不具備查殺病毒、木馬的功能。l 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機(jī)被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。防火墻不能防止內(nèi)部的泄密行為以及自身安全漏洞的問題。2） 漏洞掃描漏洞掃描式網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。其目標(biāo)是服務(wù)器、工作站、交換機(jī)、數(shù)據(jù)庫應(yīng)用、WEB應(yīng)用等各種應(yīng)用設(shè)施，然后根據(jù)掃描結(jié)果向網(wǎng)絡(luò)管理員提供可靠的安全性評(píng)估分析報(bào)告，以便管理員能及時(shí)進(jìn)行漏洞修補(bǔ)和加強(qiáng)安全防護(hù)，從而提高網(wǎng)絡(luò)安全整體水平。漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng) 提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬 攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費(fèi)低、效果好、見效快、獨(dú)立于網(wǎng)絡(luò)運(yùn)行、安裝運(yùn)行簡(jiǎn)單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動(dòng)，有利于保持全網(wǎng)安全的穩(wěn)定和統(tǒng)一標(biāo)準(zhǔn)。目前市場(chǎng)上有很多漏洞掃描工具，按照不同的技術(shù)（基于網(wǎng)絡(luò)、基于主機(jī)、基于代理、Client/Server）、不同的特征、不同的報(bào)告方式和不同的監(jiān)聽模式，可以分為很多種。在選擇漏洞掃描工具時(shí)要充分考慮各種技術(shù)和漏洞庫信息，漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時(shí)的更新，不但不能發(fā)揮漏洞掃描的作用，還會(huì)給系統(tǒng)管理員以錯(cuò)誤的引導(dǎo)，從而對(duì)系統(tǒng)的安全隱患不能采取有效措施并及時(shí)的消除。目前常用的漏洞掃描工具有：（1）微軟安全掃描工具M(jìn)BSAMBSA（Microsoft Baseline Security Analyzer ）是微軟公司提供的免費(fèi)安全掃描工具，系統(tǒng)管理員可以通過它來對(duì)一些常用的微軟安全漏洞進(jìn)行評(píng)估，包括缺少的安全更新。MBSA 將掃描基于 Windows 的計(jì)算機(jī)，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯(cuò)誤，并及時(shí)通過推薦的安全更新進(jìn)行修補(bǔ)。MBSA目前可以運(yùn)行在Windows 2000、Windows XP和Windows Server 2003環(huán)境中。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯(cuò)誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management