【文章內(nèi)容簡介】 安全的服務而降低風險。 防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身份認證 )配置在 防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離 【 4】 ，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 為了讓大家更好地使用防火墻，我們從反面列舉 4 個有代表性的失敗案例。 例 1：未制定完整的企業(yè)安全策略 網(wǎng)絡環(huán)境：某中型企業(yè)購買了適 合自己網(wǎng)絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導特意表揚了負責防火墻安裝實施的信息部。 該企業(yè)網(wǎng)絡環(huán)境如 圖 所示： 圖 該企業(yè)內(nèi)部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和 ISP 連接。內(nèi)部網(wǎng)劃分為 5 個 VLAN， VLAN VLAN 2 和 VLAN 3 分配給不同的部門使用，不同的 VLAN 之間根據(jù)部門級別設置訪問權(quán)限； VLAN 4 分配給交換機出口地址和路由器使用； VLAN 5 分配給公共服務器 使用。在沒有加入防火墻之前，各個 VLAN 中的 PC 機能夠通過交換機和路由器不受限制地訪問 Inter。加入防火墻后，給防火墻分配一個 VLAN 4 中的空閑 IP 地址，并把網(wǎng)關(guān)指向路由器；將 VLAN 5 接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡分為 3個區(qū)域 : 內(nèi)部網(wǎng)、公共服務器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。 問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用 聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部 局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。 問題分析：我們知道，防火墻作為一種保護網(wǎng)絡安全的設備，必須部署在受保護網(wǎng)絡的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多 PC 機通過電話線和 Inter 相連，導致網(wǎng)絡邊界不惟一，入侵者可以通過攻擊這些 PC 機然后進一步攻擊內(nèi)部網(wǎng)絡，從而成功地避開了防火墻。 解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制 定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng) 。 同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開 使用的 TCP/UDP 端口，使得企業(yè)員工可以在工余時間使用 聊天軟件。 例 2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和 IDS（入侵檢測系統(tǒng)）產(chǎn)品。當系統(tǒng)管理員利用 IDS 發(fā) 現(xiàn)入侵行為后，必須每次都要手工調(diào) 整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡帶來不良影響。 問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如 IDS 的聯(lián)動功能，導致不能最大程度地發(fā)揮安全系統(tǒng)的作用 。 解決辦法：購買防火墻前應查看企業(yè)網(wǎng)是否安裝了漏洞掃描或 IDS 等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是 IDS 產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當 IDS 發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。 例 3：未經(jīng)常維護升級防火墻 問題描述：某政府機構(gòu)購置防火墻后已安全運行一年多，由于該機構(gòu)網(wǎng)絡結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機構(gòu)處于政府專網(wǎng)內(nèi)，與 Inter 物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構(gòu)的防火墻軟件版本一直還 是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡陷于癱瘓之中。 問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應當時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。 解決辦法：及時維護防火墻，當本機構(gòu)發(fā)生人員變動、網(wǎng)絡調(diào)整和應用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。 從以上三個案例我們可以得出一些結(jié)論 ：防火墻只是保證安全的一種技術(shù)手段，要想真正實現(xiàn)安全，安全策略是核心問題。 保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡安全 。而 保護網(wǎng)絡安全是動態(tài)的過程，防火墻需要積極地維護和升級。 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù) 與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放 的網(wǎng)絡。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息， DES 是對稱加密算法中最具代表性的算法。 在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信 息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息 【 5】 。典型的公鑰加密算法 ~nRSA 是目前使用比較廣泛的加密算法。 入侵檢測技術(shù) 入侵檢測系統(tǒng) (IntrusionDetectionSystem， IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。 IDS 被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵 【 6】 。 入侵檢測的作用包括威懾、檢測、響應、損失情況評 估、攻擊預測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。 入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面： 1) 分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作； 2) 檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞； 3) 識別反映已知進攻的活動模式并向相關(guān)人上報警； 4) 對異常行為模式的統(tǒng)計分析； 5) 能夠?qū)崟r地對檢測到的入侵行為進行反應； 6) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7) 可以發(fā)現(xiàn)新的攻擊模式； 防病毒技術(shù) 隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復雜和高級，對計算機