【文章內(nèi)容簡介】 、主機、應用、服務和資源的準確、積極的識別。實現(xiàn)它的標準技術(shù)包括驗證協(xié)議，如 RADIUS 和TACACS＋、Kerberos 和一次性密碼工具。數(shù)字證書智能卡和目錄服務等新技術(shù)正開始在身份識別解決方案中占越來越重要的作用。 ：它提供了控制到關(guān)鍵網(wǎng)絡應用、數(shù)據(jù)和服務的接入的方法，以便只有合法用戶和信息可通過網(wǎng)絡。帶接入控制列表和/或狀態(tài)防火墻、以及專用防火墻設(shè)施的路由器和交換機提供了這種控制。病毒搜索器和內(nèi)容過濾器等補充性工具也有助于控制網(wǎng)絡外圍。 ：當必須保護信息免遭竊聽時，按需提供經(jīng)驗證的保密通信第 6 頁 共 20 頁的能力是十分重要的。有時，使用隧道技術(shù)，如 GRE 或 L2TP 來進行數(shù)據(jù)分離，可提供有效的數(shù)據(jù)私密性。然而，更高私密性要求常需要使用 IPSec 等數(shù)字加密技術(shù)和協(xié)議。在實施 VPN 時，這種添加的保護尤為重要。 ：為確保網(wǎng)絡安全，重要的是定期測試和監(jiān)控安全準備狀態(tài)。網(wǎng)絡易損點搜索器可主動發(fā)現(xiàn)弱點領(lǐng)域，IDS 可在發(fā)生安全事件時對其監(jiān)控和響應。利用安全監(jiān)控解決方案，機構(gòu)可了解網(wǎng)絡數(shù)據(jù)流和網(wǎng)絡的安全狀態(tài)。 。隨著網(wǎng)絡規(guī)模和復雜度的增加，對集中策略管理工具的需求也隨之提高。帶可分析截獲、配置和監(jiān)控安全策略狀態(tài)的基于瀏覽器的用戶界面的工具，提高了網(wǎng)絡安全解決方案的可用性和有效性。除安全要求外，網(wǎng)絡安全設(shè)計還必須具備網(wǎng)絡彈性、性能和可擴展性。 防火墻設(shè)置 部署防火墻在需要隔離的網(wǎng)絡區(qū)域之間部署防火墻。典型地，在 Inter 與校園網(wǎng)之間部署一臺防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將 WWW 、 MAIL 、 FTP 、 DNS 等服務器連接在防火墻的 DMZ 區(qū)，與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與 Inter 連接。那么，通過 Inter 進來的公眾用戶只能訪問到對外公開的一些服務（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡安全性：根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則；將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的 IP 包，這樣第 7 頁 共 20 頁可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法 IP 地址離開內(nèi)部網(wǎng)絡的 IP 包，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊；在防火墻上建立內(nèi)網(wǎng)計算機的 IP 地址和 MAC 地址的對應表，防止 IP 地址被盜用；定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 防火墻配置 1. 將防火墻的 Console 端口用一條防火墻自帶的串行電纜連接到電腦的一個空余串口上。2. 打開 PIX 防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。3. 運行電腦 Windows 系統(tǒng)中的超級終端（HyperTerminal）程序（通常在“附件”程序組中） 。對超級終端的配置與交換機或路由器的配置一樣。4. 當 PIX 防火墻進入系統(tǒng)后即顯示“pixfirewall”的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式?？梢赃M行進一步的配置了。 5. 輸入命令：enable,進入特權(quán)用戶模式，此時系統(tǒng)提示為：pixfirewall。6. 輸入命令： configure terminal,進入全局配置模式，對系統(tǒng)進行初始化設(shè)置。 (1)防火墻上的基本配置代碼如下：pixfirewall conf tpixfirewall(config) hostname pixpix(config) int e0pix(configif) nameif insidepix(configif) ip add pix(configif) no shutpix(configif) exitpix(config) int e1pix(configif) nameif outsidepix(configif) ip add 第 8 頁 共 20 頁pix(configif) no shutpix(configif) exitpix(config) static (inside,outside) mask pix(config) accesslist 100 permit icmp any anypix(config) accessgroup 100 in interface outside(2)動態(tài) NAT 配置，使內(nèi)部地址通過全局地址訪問 Interpix(config) int F0/0pix (configif) ip nat insidepix (configif)ip address pix (configif) no shutpix (configif) exitpix (config) int F1/0pix (configif)ip address pix (configif)ip nat outsidepix (configif) no shutpix (configif) exitpix (config) ip nat pool natpool mask pix (config) ip nat inside source list 1 pool natpoolpix (config)accesslist 1 permit 第 9 頁 共 20 頁 建立入侵檢測系統(tǒng) 防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進一步完善。 傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個方面：防火墻作為訪問控制設(shè)備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等；有些主動或被動的攻擊行為是來自防火墻內(nèi)部的，防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡中的攻擊行為；作為網(wǎng)絡訪問控制設(shè)備，受限于功能設(shè)計，防火墻難以識別復雜的網(wǎng)絡攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開展。 入侵檢測系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產(chǎn)品，它通過檢測、分析網(wǎng)絡中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權(quán)網(wǎng)絡流量并實時報警。 IDS 彌補了防火墻的某些設(shè)計和功能缺陷，側(cè)重網(wǎng)絡監(jiān)控，注重安全審計，適合對網(wǎng)絡安全狀態(tài)的了解，但隨著網(wǎng)絡攻擊技術(shù)的發(fā)展，IDS 也面臨著新的挑戰(zhàn)：IDS 旁路在網(wǎng)絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS 無法有效