【文章內(nèi)容簡介】 結(jié)構(gòu)如下圖所示。 傳統(tǒng)防火墻一般工作于路由模式，防火墻可以讓處于不同網(wǎng)段的計算機通過路由轉(zhuǎn)發(fā)的方式互相通信并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如下圖所示:在企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如下圖所示:3） 防火墻產(chǎn)品簡介1．阿姆瑞特防火墻阿姆瑞特防火墻為無系統(tǒng)內(nèi)核，即：防火墻沒有操作系統(tǒng)，因此不會存在通用操作系統(tǒng)的漏洞，從而在底層保證防火墻的安全性；同時，因為操作系統(tǒng)需要不斷地去維護、升級，無操作系統(tǒng)就不存在此類問題，這也排除了因為系統(tǒng)升級、打補丁破壞防火墻功能、性能的問題。阿姆瑞特防火墻內(nèi)核啟動后，可直接管理防火墻的所有硬件（CPU、網(wǎng)卡、總線等），它可以在底層從硬件設(shè)備中接管進出防火墻數(shù)據(jù)并進行處理，利用了所有可能的硬件性能，同時減少了操作系統(tǒng)的開銷，因此可以最快的處理數(shù)據(jù)，使其成為市場上現(xiàn)有的最快的防火墻之一。2．ISA（Internet Security and Acceleration Server）ISA Server是微軟公司出品的企業(yè)級別的路由軟件防火墻，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的，可以在網(wǎng)絡(luò)的任何地方，如兩個或多個網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、單個主機上配置ISA Server 來對網(wǎng)絡(luò)或主機進行防護。ISA Server的主要特性：?。?）多層防火墻安全防火墻可以通過各種方法增強安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡(luò)層提供保護，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報。(2）狀態(tài)檢測狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISA Server 檢查在 IP 消息頭中指明的通信來源和目標(biāo)，以及在標(biāo)識所采用的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請求，并且打開端口的持續(xù)時間恰好滿足該請求的需要，從而減少與打開端口相關(guān)的攻擊。ISA Server 可以動態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。管理員可以配置訪問策略規(guī)則，以便只在允許的情況下自動打開端口，然后當(dāng)通信結(jié)束時關(guān)閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。(3）集成的入侵檢測ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供幫助管理員識別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。并且ISA能夠自動對其作出響應(yīng)。這項技術(shù)給 ISA Server 提供了能識別此類攻擊的集成入侵檢測機制。當(dāng)識別出這種攻擊時，警報還能同時指出 ISA Server 應(yīng)采取什么行動，這些行動可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停?Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。(4）高性能 Web 緩存ISA Server 對 Web 緩存進行了徹底的重新設(shè)計，使它可以將緩存放入 RAM 中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強的后端可伸縮性，并提供了更快的 Web 客戶機總體響應(yīng)時間。這對于企業(yè)內(nèi)部來說尤其重要，因為員工需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。(5）緩存陣列路由協(xié)議ISA Server 使用了緩存陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您可以通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。(6)活動緩存通過一個叫做活動緩存的功能，可配置 ISA Server 使其自動更新緩存中的對象。使用這種功能，ISA Server 可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡(luò)流量時段自動更新。(7)統(tǒng)一管理ISA Server 利用基于 Windows Server 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 管理控制臺(MMC，Microsoft Management Console)。所有這些功能，特別是 MMC，會使得管理更容易，因為操作人員熟悉它，并可從一個控制臺同時管理防火墻和 Web 緩存。(8)企業(yè)策略和訪問控制ISA Server 還支持創(chuàng)建企業(yè)級和本地陣列策略，用于集中實施或本地實施。ISA Server 可作為獨立服務(wù)器安裝或作為陣列成員安裝。為便于管理，各個陣列成員都使用相同的配置。對陣列配置進行修改時，陣列中的所有 ISA Server 計算機也都將得到修改，包括所有訪問和緩存策略。216。 VPN（Virtual Private Network）VPN即虛擬專用網(wǎng)絡(luò)，是通過 Internet 公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點之間安全地傳遞數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)絡(luò) (VPN) 是專用網(wǎng)絡(luò)的擴展。同 Internet 一樣，該網(wǎng)絡(luò)包含共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)之間的鏈接。使用 VPN，可以通過共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)以模擬點對點專用鏈接的方式在兩臺計算機之間發(fā)送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)連接是一種創(chuàng)建和配置虛擬專用網(wǎng)絡(luò)的操作。使用 VPN 連接，在家辦公或旅行的用戶可以通過公用 Internet 網(wǎng)絡(luò)（如 Internet）提供的結(jié)構(gòu)，獲得到組織服務(wù)器的遠程訪問連接。從用戶的角度來說，VPN 是計算機（VPN 客戶端）和組織服務(wù)器（VPN 服務(wù)器）之間的點對點連接。VPN 與共享網(wǎng)絡(luò)或公用網(wǎng)絡(luò)的具體結(jié)構(gòu)無關(guān)，因為數(shù)據(jù)就象是通過專用的鏈接發(fā)送的。VPN技術(shù)的效果類似于傳統(tǒng)的DDN專線聯(lián)網(wǎng)方式，網(wǎng)絡(luò)拓撲如下圖所示。1） VPN的類型（1）Access VPN移動用戶在任何地方、時間采用撥號、ISDN、DSL、移動IP和電纜技術(shù)通過公用網(wǎng)絡(luò)與企業(yè)的Intranet和Extranet建立私有的網(wǎng)絡(luò)連接。在Access VPN的應(yīng)用中，利用了二層網(wǎng)絡(luò)隧道技術(shù)在公用網(wǎng)絡(luò)上建立VPN隧道連接來傳輸私有網(wǎng)絡(luò)數(shù)據(jù)。（2）Intranet VPNIntranet VPN通過公用網(wǎng)絡(luò)進行企業(yè)各個分布點互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實質(zhì)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IP SEC、GRE等。結(jié)合服務(wù)商提供的QOS機制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。（3）Extranet VPN利用VPN將企業(yè)網(wǎng)伸至合作伙伴與客戶。Extranet 用戶對于Extranet VPN的訪問權(quán)限可以通過防火墻等手段來設(shè)置與管理。 2） VPN使用的協(xié)議（1）鏈路層L2TP、PPTP協(xié)議PPTP PPTP是PPP的擴展，它增加了一個新的安全等級，并且可以通過Internet 進行多協(xié)議通信，它支持通過公共網(wǎng)絡(luò)（如Internet）建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 可以建立隧道或?qū)?IP、IPX 或 NetBEUI 協(xié)議封裝在 PPP 數(shù)據(jù)包內(nèi)，因此允許用戶遠程運行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP在基于 TCP/IP 協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建 VPN連接，實現(xiàn)從遠程計算機到專用服務(wù)器的安全數(shù)據(jù)傳輸。VPN服務(wù)器執(zhí)行所有的安全檢查和驗證，并啟用數(shù)據(jù)加密，使得在不安全的網(wǎng)絡(luò)上發(fā)送信息變得更加安全。尤其是使用EAP后，通過啟用 PPTP 的 VPN傳輸數(shù)據(jù)就象在企業(yè)的一個局域網(wǎng)內(nèi)那樣安全。另外還可以使用 PPTP 建立專用 LAN 到 LAN 的網(wǎng)絡(luò)。L2TP 是一個工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP 也會壓縮PPP 的幀，從而壓縮 IP、IPX 或 NetBEUI 協(xié)議，同樣允許用戶遠程運行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。與PPTP不同的是，L2TP使用新的網(wǎng)際協(xié)議安全 (IPSec) 機制來進行身份驗證和數(shù)據(jù)加密。（2）網(wǎng)絡(luò)層IPsec協(xié)議基于 PKI 技術(shù)的 IPSec 協(xié)議現(xiàn)在已經(jīng)成為架構(gòu) VPN 的基礎(chǔ)，它可以為路由器之間、防火墻之間或者路由器和防火墻之間提供經(jīng)過加密和認證的通信。雖然它的實現(xiàn)會復(fù)雜一些，但其安全性比其他協(xié)議都完善得多。由于 IPSec 是 IP 層上的協(xié)議，因此很容易在全世界范圍內(nèi)形成一種規(guī)范，具有非常好的通用性，而且 IPSec 本身就支持面向未來的協(xié)議 ——IPv6 。3）傳輸層SSL、TLS、SOCKS協(xié)議SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。216。 主機安全1） 系統(tǒng)漏洞系統(tǒng)漏洞是指網(wǎng)絡(luò)操作系統(tǒng)本身所存在的技術(shù)缺陷。系統(tǒng)漏洞往往會被病毒利用侵入并攻擊用戶計算機。漏洞會影響到的范圍很大，包括系統(tǒng)本身及其支 撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。換而言之，在這些不同的軟硬件設(shè)備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬件設(shè) 備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。Windows系統(tǒng)漏洞問題是與時間緊密相關(guān)的。一個windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供應(yīng)商微軟公司發(fā)布的補丁軟件修補，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。Windows操作系統(tǒng)供應(yīng)商將定期對已知的系統(tǒng)漏洞發(fā)布補丁程序，用戶只要定期下載并安裝補丁程序，可以保證計算機不會輕易被病毒、黑客入侵。一般情況下，在網(wǎng)絡(luò)邊界處企業(yè)都會部署硬件或軟件防火墻，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，本身具有較強的抗攻擊能力。但是防火墻也存在一定的局限性：l 防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題，對于防火墻內(nèi)部各主機間的攻擊行為，防火墻也無法處理；l 防火墻無法解決TCP/IP等協(xié)議的漏洞，例如Dos攻擊（拒絕服務(wù)攻擊）。l 防火墻對于合法開發(fā)端口的攻擊無法阻止。例如利用開放的FTP、遠程桌面端口漏洞提升權(quán)限問題。l 防火墻不能防止受病毒感染文件或木馬文件的傳輸。防火墻本身不具備查殺病毒、木馬的功能。l 防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。有些數(shù)據(jù)郵寄或傳輸?shù)絻?nèi)部主機被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。防火墻不能防止內(nèi)部的泄密行為以及自身安全漏洞的問題。2） 漏洞掃描漏洞掃描式網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進行逐項檢查。其目標(biāo)是服務(wù)器、工作站、交換機、數(shù)據(jù)庫應(yīng)用、WEB應(yīng)用等各種應(yīng)用設(shè)施，然后根據(jù)掃描結(jié)果向網(wǎng)絡(luò)管理員提供可靠的安全性評估分析報告，以便管理員能及時進行漏洞修補和加強安全防護，從而提高網(wǎng)絡(luò)安全整體水平。漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得知目標(biāo)主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng) 提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬 攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費低、效果好、見效快、獨立于網(wǎng)絡(luò)運行、安裝運行簡單的網(wǎng)絡(luò)工具，可以減少網(wǎng)絡(luò)管理員大量的手工重復(fù)勞動，有利于保持全網(wǎng)安全的穩(wěn)定和統(tǒng)一標(biāo)準(zhǔn)。目前市場上有很多漏洞掃描工具，按照不同的技術(shù)（基于網(wǎng)絡(luò)、基于主機、基于代理、Client/Server）、不同的特征、不同的報告方式和不同的監(jiān)聽模式，可以分為很多種。在選擇漏洞掃描工具時要充分考慮各種技術(shù)和漏洞庫信息，漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主要判斷依據(jù)。如果漏洞庫信息不全面或得不到即時的更新，不但不能發(fā)揮漏洞掃描的作用，還會給系統(tǒng)管理員以錯誤的引導(dǎo)，從而對系統(tǒng)的安全隱患不能采取有效措施并及時的消除。目前常用的漏洞掃描工具有：（1）微軟安全掃描工具MBSAMBSA（Microsoft Baseline Security Analyzer ）是微軟公司提供的免費安全掃描工具，系統(tǒng)管理員可以通過它來對一些常用的微軟安全漏洞進行評估，包括缺少的安全更新。MBSA 將掃描基于 Windows 的計算機，并檢查操作系統(tǒng)和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發(fā)現(xiàn)安全方面的配置錯誤，并及時通過推薦的安全更新進行修補。MBSA目前可以運行在Windows 2000、Windows XP和Windows Server 2003環(huán)境中。 該軟件可以檢查到Windows 2000、Windows XP、Windows Server 200Internet Information Server (IIS)、 SQL Server、Internet Explorer和Office等軟件包中的結(jié)構(gòu)性錯誤，還可以檢查出Windows 2000、Windows XP、Windows Server 200IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAC)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management