【文章內(nèi)容簡(jiǎn)介】 、主機(jī)、應(yīng)用、服務(wù)和資源的準(zhǔn)確、積極的識(shí)別。實(shí)現(xiàn)它的標(biāo)準(zhǔn)技術(shù)包括驗(yàn)證協(xié)議，如 RADIUS 和TACACS＋、Kerberos 和一次性密碼工具。數(shù)字證書(shū)智能卡和目錄服務(wù)等新技術(shù)正開(kāi)始在身份識(shí)別解決方案中占越來(lái)越重要的作用。 ：它提供了控制到關(guān)鍵網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)和服務(wù)的接入的方法，以便只有合法用戶和信息可通過(guò)網(wǎng)絡(luò)。帶接入控制列表和/或狀態(tài)防火墻、以及專用防火墻設(shè)施的路由器和交換機(jī)提供了這種控制。病毒搜索器和內(nèi)容過(guò)濾器等補(bǔ)充性工具也有助于控制網(wǎng)絡(luò)外圍。 ：當(dāng)必須保護(hù)信息免遭竊聽(tīng)時(shí)，按需提供經(jīng)驗(yàn)證的保密通信第 6 頁(yè) 共 20 頁(yè)的能力是十分重要的。有時(shí)，使用隧道技術(shù)，如 GRE 或 L2TP 來(lái)進(jìn)行數(shù)據(jù)分離，可提供有效的數(shù)據(jù)私密性。然而，更高私密性要求常需要使用 IPSec 等數(shù)字加密技術(shù)和協(xié)議。在實(shí)施 VPN 時(shí)，這種添加的保護(hù)尤為重要。 ：為確保網(wǎng)絡(luò)安全，重要的是定期測(cè)試和監(jiān)控安全準(zhǔn)備狀態(tài)。網(wǎng)絡(luò)易損點(diǎn)搜索器可主動(dòng)發(fā)現(xiàn)弱點(diǎn)領(lǐng)域，IDS 可在發(fā)生安全事件時(shí)對(duì)其監(jiān)控和響應(yīng)。利用安全監(jiān)控解決方案，機(jī)構(gòu)可了解網(wǎng)絡(luò)數(shù)據(jù)流和網(wǎng)絡(luò)的安全狀態(tài)。 。隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜度的增加，對(duì)集中策略管理工具的需求也隨之提高。帶可分析截獲、配置和監(jiān)控安全策略狀態(tài)的基于瀏覽器的用戶界面的工具，提高了網(wǎng)絡(luò)安全解決方案的可用性和有效性。除安全要求外，網(wǎng)絡(luò)安全設(shè)計(jì)還必須具備網(wǎng)絡(luò)彈性、性能和可擴(kuò)展性。 防火墻設(shè)置 部署防火墻在需要隔離的網(wǎng)絡(luò)區(qū)域之間部署防火墻。典型地，在 Inter 與校園網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將 WWW 、 MAIL 、 FTP 、 DNS 等服務(wù)器連接在防火墻的 DMZ 區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與 Inter 連接。那么，通過(guò) Inter 進(jìn)來(lái)的公眾用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在防火墻設(shè)置上按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性：根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則；將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣第 7 頁(yè) 共 20 頁(yè)可以防范源地址假冒和源路由類型的攻擊；過(guò)濾掉以非法 IP 地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的 IP 包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊；在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址的對(duì)應(yīng)表，防止 IP 地址被盜用；定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 防火墻配置 1. 將防火墻的 Console 端口用一條防火墻自帶的串行電纜連接到電腦的一個(gè)空余串口上。2. 打開(kāi) PIX 防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。3. 運(yùn)行電腦 Windows 系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在“附件”程序組中） 。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣。4. 當(dāng) PIX 防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall”的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。 5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall。6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。 (1)防火墻上的基本配置代碼如下：pixfirewall conf tpixfirewall(config) hostname pixpix(config) int e0pix(configif) nameif insidepix(configif) ip add pix(configif) no shutpix(configif) exitpix(config) int e1pix(configif) nameif outsidepix(configif) ip add 第 8 頁(yè) 共 20 頁(yè)pix(configif) no shutpix(configif) exitpix(config) static (inside,outside) mask pix(config) accesslist 100 permit icmp any anypix(config) accessgroup 100 in interface outside(2)動(dòng)態(tài) NAT 配置，使內(nèi)部地址通過(guò)全局地址訪問(wèn) Interpix(config) int F0/0pix (configif) ip nat insidepix (configif)ip address pix (configif) no shutpix (configif) exitpix (config) int F1/0pix (configif)ip address pix (configif)ip nat outsidepix (configif) no shutpix (configif) exitpix (config) ip nat pool natpool mask pix (config) ip nat inside source list 1 pool natpoolpix (config)accesslist 1 permit 第 9 頁(yè) 共 20 頁(yè) 建立入侵檢測(cè)系統(tǒng) 防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。 傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì) WEB 服務(wù)的 Code Red 蠕蟲(chóng)等；有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為；作為網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，受限于功能設(shè)計(jì)，防火墻難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開(kāi)展。 入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來(lái)的一類安全產(chǎn)品，它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。 IDS 彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)，適合對(duì)網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS 也面臨著新的挑戰(zhàn)：IDS 旁路在網(wǎng)絡(luò)上，當(dāng)它檢測(cè)出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS 無(wú)法有效