【文章內容簡介】 全管理員可以很好的發(fā)現(xiàn)此類型的攻擊，并作出必要的安全防范。(2)強化網(wǎng)絡安全策略：互聯(lián)網(wǎng)上信息都是通過各類網(wǎng)絡傳播，網(wǎng)絡上有很多別有用心的人，企圖在非授權的情況下，獲得別人的有用信息，為了保證信息的安全性，我們以防火墻為中心配置一定的方案，執(zhí)行站點的安全策略，使符合策略規(guī)則的請求順利通過，我們可以將所有安全軟件都配置在防火墻上。與以往的將網(wǎng)絡安全問題分散到網(wǎng)絡中的各個主機上相比，集中式安全管理更加有效率、更加經(jīng)濟。這樣不僅可以大量的節(jié)省網(wǎng)絡中的計算機資源，而且可以極大的減輕網(wǎng)絡管理員的工作強度。(3)對網(wǎng)絡存取和訪問進行監(jiān)控審計：因為防火墻位于不同網(wǎng)絡的邊界，因此所有的進出網(wǎng)絡的信息訪問都必須經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問，并形成日志記錄為網(wǎng)絡管理員提供網(wǎng)絡使用率的有效的統(tǒng)計數(shù)字。當發(fā)生不符合防火墻安全設置的可疑動作時，防火墻能就會進行的報警，記錄這一動作并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，因為防火墻可以記錄站點和外部網(wǎng)絡的所有事件，所以防火墻也可以收集一個網(wǎng)絡的使用和誤用情況。同時還可以利用防火墻設立一個單獨的“阻塞點”，通過這個“阻塞點”，可以很清楚的觀測防火墻是否能夠抵擋來自網(wǎng)絡上的攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的[181。(4)隱藏用戶站點和網(wǎng)絡拓撲結構：通過利用防火墻對內部網(wǎng)中重點網(wǎng)段的隔離，可以有效的防止網(wǎng)絡上的攻擊者，利用網(wǎng)絡拓撲信息對網(wǎng)絡進行的攻擊。從而保證了局部重點或敏感網(wǎng)絡的安全。其次，內部網(wǎng)絡的某些隱私也是非常重要的問題，內部網(wǎng)絡的用戶不可能都精通網(wǎng)絡安全，這就造成也許是內部網(wǎng)絡中一個不引人注意的細節(jié)，就可能包含了有關整個內部網(wǎng)絡安全的信息，從而引起外部攻擊者的興趣，甚至會直接暴露了內部網(wǎng)絡的某些安全漏洞。使用防火墻NAT能力不僅可以很好的將內部網(wǎng)絡的拓撲結構隱藏起來，還可以極大的緩解內部網(wǎng)絡大量用戶上網(wǎng)和公共IP地址數(shù)量不足的矛盾。同時，防火墻還可以隱蔽那些透漏內部細節(jié)的Finger以及DNS服務。所以防火墻在組建大型內聯(lián)網(wǎng)時顯示出了極大的優(yōu)越性。2．2．1．3防火墻的原理及體系結構(1)防火墻的原理防火墻的工作原理是按照事先規(guī)定的配置和規(guī)則過濾承載通信數(shù)據(jù)的通信包，監(jiān)控所有通過防火墻的通信包，符合防火墻事先規(guī)定的配置和規(guī)則數(shù)據(jù)包允許通過，不符合事先規(guī)定的配置和規(guī)則數(shù)據(jù)包直接被過濾掉，防火墻在過濾數(shù)據(jù)包的同時還記錄有關的聯(lián)接來源、服務器提供的通信量和訪問企圖，可以方便的為網(wǎng)絡管理員提供檢測和跟蹤。(2)防火墻的體系結構防火墻的體系結構一般情況下分為三種，分別是雙重宿主主機體系結構、屏蔽主機體系結構和屏蔽子網(wǎng)體系結構。防火墻用于限制被保護醫(yī)院辦公網(wǎng)絡與外部網(wǎng)絡(internet)之間相互進行信息交換、數(shù)據(jù)傳遞操作，它所處的位置在內部網(wǎng)絡與外部網(wǎng)絡之間，防火墻把辦公網(wǎng)絡一端的用戶看成是可信任的，而把外部網(wǎng)絡（internet）一端的用戶則都被視為潛在的攻擊者來對待。邊緣防火墻只能對醫(yī)院辦公網(wǎng)絡的周邊提供保護。邊緣防火墻會對所有的通過的數(shù)據(jù)包進行過濾和審查，受其局限性，不能對醫(yī)院辦公網(wǎng)絡內部之間的訪問進行審查。針對邊界防火墻的存在的欠缺，我們準備在醫(yī)院辦公網(wǎng)絡中采用“分布式防火墻”，分布式防火墻不僅可以對網(wǎng)絡邊界進行防護，還可以對各個子網(wǎng)和網(wǎng)絡內部各個節(jié)點進行安全防護。分布式防火墻是一個完整的系統(tǒng)，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護計算機在正常使用網(wǎng)絡時不會受到惡意的攻擊。其體系結構包含如下部分：網(wǎng)絡防火墻：和傳統(tǒng)的邊界式防火墻相比，它不僅對內網(wǎng)進行保護，而且對內部網(wǎng)各子網(wǎng)之間的進行防護。由于加強了內部子網(wǎng)之間的安全防護，這樣可以保證整個網(wǎng)絡的安全體系就顯得更加全面，更加可靠?？梢哉f是傳統(tǒng)邊界式防火墻一種延伸和發(fā)展。主機防火墻：它把安全策略延伸到每一臺主機，現(xiàn)在主機防火墻通常采用的是純軟件產(chǎn)品，用于對網(wǎng)絡中的每一臺主機進行防護。傳統(tǒng)的邊界式防火墻是不具有這種功能的。它作用于每一臺主機上，就可以很好的保證辦公網(wǎng)絡內部各個網(wǎng)絡節(jié)點以及服務器的安全。從而實現(xiàn)了對內網(wǎng)網(wǎng)絡安全的保護。中心管理：通常情況下中心管理都是運行在服務器上的一個軟件，可以幫助網(wǎng)絡管理員制定總體安全策略、管理、分發(fā)及日志的匯總。這樣就會極大的提高防火墻管理效率，實現(xiàn)了智能管理，也極大的減輕了網(wǎng)絡管理員的工作強度。(3)防火墻的種類防火墻根據(jù)應用的場合和投資的規(guī)模，一般情況下可以分為以下幾類：包過濾型防火墻、應用網(wǎng)關型防火墻、混合型防火墻等幾種。1)包過濾型防火墻包過濾式處理網(wǎng)絡上基于packetbypacket流量的設備，包過濾型防火墻工作于TCP／IP協(xié)議的IP層，通常配置在路由器上，對數(shù)據(jù)包進行分析、選擇。包過濾型防火墻是根據(jù)事先定義好的過濾規(guī)則審查每個數(shù)據(jù)包的源地址、目的地址、服務端口和協(xié)議類型等，通過審查確定數(shù)據(jù)包是否與過濾規(guī)則匹配，符合規(guī)律規(guī)則的數(shù)據(jù)包進行轉發(fā)，不符合規(guī)則的數(shù)據(jù)包進行丟棄。包過濾防火墻的優(yōu)點是邏輯簡單、投入成本低、易安裝、網(wǎng)絡性和透明性好。包過濾型防火墻的缺點也很明顯：由于包過濾判別的條件位于數(shù)據(jù)包的頭部，再加上現(xiàn)在大量使用的IPV4安全性不佳，所以包過濾型防火墻缺乏用戶級授權，容易被假冒或竊取。另外，包過濾型防火墻不能防止IP和DNS地址的電子欺騙。在防火墻給予某些攻擊者訪問權限后，攻擊者就可以訪問內部網(wǎng)絡的任何主機。2)應用網(wǎng)關型防火墻應用網(wǎng)關型防火墻是內部網(wǎng)與外部網(wǎng)的隔離點，工作在應用層上，應用網(wǎng)關型防火墻在應用層上實現(xiàn)協(xié)議數(shù)據(jù)過濾和轉發(fā)功能，起著隔絕和監(jiān)視應用層通信流的作用，通常安裝在專用的工作站上。應用網(wǎng)關型防火墻配置成功后，從外部網(wǎng)絡看起來只能看到防火墻。在這種方式下，直接訪問內部網(wǎng)絡是不被允許的。面對不同網(wǎng)絡的不同請求，不管他們的最終目的是內部網(wǎng)絡的哪臺主機，都必須通過防火墻的代理服務器。應用網(wǎng)關型防火墻的優(yōu)點是：防火墻可配置成只有主機地址對外部網(wǎng)絡可見，所有外部網(wǎng)絡與內部網(wǎng)絡連接都必須通過防火墻；對不同的服務使用代理，有效的禁止了直接訪問內部網(wǎng)絡服務，很好的避免了內部主機的不安全性。并且能提供應用級別的詳細日志記錄。3)混合型防火墻混合型防火墻是把過濾和代理服務等功能結合起來的新型防火墻，混合型防火墻所用主機被稱為堡壘主機，堡壘主機作為一種被強化的可以攻擊和防御的計算機，通常情況下是被暴露在因特網(wǎng)上，作為進入內部網(wǎng)絡的一個檢查點，以達到把所有的網(wǎng)絡安全問題都在堡壘主機上解決。這樣會極大的節(jié)省網(wǎng)絡資源和網(wǎng)絡管理員的工作負擔。而且不需要考慮其他主機的安全。堡壘主機由于暴露在網(wǎng)絡上，所以其最容易受到攻擊，所以堡壘主機必須有很完善的自我保護機制。一般情況下，堡壘主機會有兩塊網(wǎng)卡，一塊用來連接內網(wǎng)，用于管理、保護和控制內網(wǎng)。另外一塊負責連接公網(wǎng)。當前的單一產(chǎn)品的防火墻產(chǎn)品已不能滿足現(xiàn)在辦公網(wǎng)絡的需求。必須將各種安全技術結合起來，形成混合型多級防火墻，從而提高防火墻的安全性和靈活性。2．2．2 VLAN技術局域網(wǎng)的發(fā)展是VLAN產(chǎn)生的基礎，所以在介紹VLAN之前，我們先來了解一下局域網(wǎng)的有關知識。局域網(wǎng)(L蝌)通常是一個單獨的廣播域，主要由Hub、網(wǎng)橋或交換機等網(wǎng)絡設備連接同一網(wǎng)段內的所有節(jié)點形成。處于同一個局域網(wǎng)之內的網(wǎng)絡節(jié)點之間可以直接通信，而處于不同局域網(wǎng)段的設備之間的通信則必須經(jīng)過路由器才能通信。隨著網(wǎng)絡的不斷擴展，接入設備逐漸增多，網(wǎng)絡結構也同趨復雜．必須使用更多的路由器爿能將不同的用戶劃分到各自的廣播域中，在不同的局域網(wǎng)之問提供網(wǎng)絡互聯(lián)。但這樣做卻存在兩個缺陷：首先，隨著網(wǎng)絡中路由器數(shù)量的增多，網(wǎng)絡時延迓漸加長，從而導致網(wǎng)絡數(shù)據(jù)傳輸速度的下降。這辛要是因為數(shù)據(jù)在從一個局域網(wǎng)傳遞到另一個局域網(wǎng)時．必須經(jīng)過路由器的路由操作：路由器根據(jù)數(shù)據(jù)包中的相應信息確定數(shù)據(jù)包的目標地址，然后再選擇合適的路徑轉發(fā)出去“”。其次，用戶是按照它們的物理連接被自然地劃分到1i同的用戶組(廣播域)中。這種分割方式并不足根據(jù)工作組巾所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個r插域中爭用相同的帶寬。2 2 2『L^N的定義廈特點虛擬局域網(wǎng)VLAN是一組邏輯上的設備和用戶．這些設備和月j廣并不受物理網(wǎng)段的限制?？梢愿鶕?jù)功能、部門及應用等因素將它們組織起柬，相互之『【I】的通信就好像它們在同一個網(wǎng)段中一樸，由此得名虛擬局域喇。vL州是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之M的通信足通過第3層的路山器柬完成的。與傳統(tǒng)的局域網(wǎng)技術相比較，VLAN技術更加靈活，它具有以下優(yōu)點：網(wǎng)絡設備的移動、添加和修改的管理丌銷減少、可以控制廣播活動、可提高網(wǎng)絡的安全性““。殺豫觚， 肝一，：l廣l；廣．叫L_： L_‘ 廣_北91 n^{T程m I．{化№■2 2 2 2 VLAN的分類定義V J，州成員的療法有很多，由此也就分成T；L}IUⅧ類型的v【抓。(1)基于端口的VLAN基于端口的VI．A、的劃分足最簡單、有效的Vl AN劃分方法，它按照塒域嘲交換機端口米定義VI．AN成員。VLAN從邏輯E把局域網(wǎng)交換機的端【I劃分丌柬，從而把終端系統(tǒng)劃分為不同的部分，各部分相對獨立，在功能上模擬了傳統(tǒng)的局域網(wǎng)。妊j：端【I的VLANX分為在單交換機端口和多交換機端口定義vI A、隨種情況：1)單交換機端口定義vI．AN如圖22所示，變換機的l、8端【I組成VLANl，5端口組成了VLA52。這種VLAN只支持個交換機。幽22單交換機端口定義VLANFigure22 Single Switch Port Delimil VLAN2)多交換機端幾定義VLAN如罔2 3所示，交換機1的3端口和交換機2的3端口組成VI ANl，交換機1的8端口和交換機2的j、8端口組成VLAN2。交換機交換機2曰2 3多蹙抉機端口定義Figure23Many Switch PortDefinition基于端口的VLAN的劃分簡單、有效，但其缺點是當用戶從一個端口移動到另一個端口時，網(wǎng)絡管理員必須對VLAN成員進行重新配置。(2)基于mc地址的vL州基于MAC地址的VLAN是用終端系統(tǒng)的ⅥAc地址定義的VI，AN。MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)仁的MAC地址都是惟的。這種方法允許r作站移動到網(wǎng)絡的其他物理網(wǎng)段，而自動保持原來的VI．州成員資格。在網(wǎng)絡規(guī)模較小時，該方案可以說是_‘個好的方法，但隨著網(wǎng)絡規(guī)模的擴大，刪絡設備、用戶的增加，則會在很大程度上加大管理的難度舊1。2 2 2 3基于路由的VLAN路由協(xié)議工作在7層協(xié)議的第3層一網(wǎng)絡層，比如基于TP和IPX的路由協(xié)議，這類設備包括路山器和路山交換機。該方式允許個VI．^、跨越多個交換機，或一個端r]位于多個VLAN中。并且用戶可以在網(wǎng)絡內部自由移動，但其V1．AN成員身份仍然保留不變，這種方法的優(yōu)點是用戶的物理位簧改變了，不需要重新配置所屬的VLAN。2 2 2 4基于策略的VLAN基下策略的v【。從的劃分是一種比較有效而直接的方式，豐要取決于在VLAN的劃分中所采用的策略。從上介紹的幾種劃分方法束看，日前，新交院蕾要采用的足基于端J I的VLANl 5北京T業(yè)大學T程碩fj學位論文劃分。2．2．3入侵檢測技術2．2．3．1入侵檢測系統(tǒng)基本概念入侵檢測是指檢測和識別針對計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的非法攻擊或違反安全策略事件的過程。它從計算機系統(tǒng)或者網(wǎng)絡環(huán)境中采集數(shù)據(jù)、分析數(shù)據(jù)、發(fā)現(xiàn)可疑攻擊行為或異常事件，并采取一定的相應措施攔截攻擊的行為，盡可能降低損失。大多數(shù)入侵檢測系統(tǒng)(IDS)都是安裝在操作系統(tǒng)之上的軟件程序，但是由于性能需要，網(wǎng)絡嗅探IDS越來越多地被部署作為硬件設施[261。2．2．3．2入侵檢測系統(tǒng)的功能入侵檢測系統(tǒng)從另外一個方面來提供安全保障，防火墻是阻止惡意訪問，但由于漏洞和設置方面的原因，總存在能夠穿透防火墻的可能性，因此通過在網(wǎng)站后端探測系統(tǒng)和網(wǎng)絡運行狀況來報警也成為安全防護的有效手段，這就是入侵檢測系統(tǒng)的作用。入侵檢測的功能有：(1)監(jiān)視分析用戶活動(2)系統(tǒng)構造變化和弱點的審計(3)識別反映已知進攻的活動模式并向相關人士報警(4)異常行為模式的統(tǒng)計分析2．2．3．3入侵檢測系統(tǒng)的分類入侵檢測從計算機系統(tǒng)或者網(wǎng)絡環(huán)境中采集數(shù)據(jù)，分析數(shù)據(jù)，發(fā)現(xiàn)可疑攻擊行為或者異常事件，并采取一定的響應措施攔截攻擊行為，降低可能的損失。根據(jù)其采用的分析方法可分為異常檢測和誤用檢測；根據(jù)系統(tǒng)所檢測的對象可分為基于主機和基于網(wǎng)絡的檢測1271。基于主機的入侵檢測通常從主機的審計記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔之以主機上的其他信息，在此基礎上完成檢測攻擊行為的任務?；谥鳈C的入侵檢測能夠較為準確地監(jiān)測到發(fā)生在主機系統(tǒng)高層的復雜攻擊行為。如圖2—4所示第2章常用網(wǎng)絡安傘技術圖2—4基于主機的入侵檢測系統(tǒng)Figure24 Hostbased Intrusion Detection System通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和Windows NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當有文件發(fā)生變化時，IDS將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標報告，以采取措施?；诰W(wǎng)絡的入侵檢測通過監(jiān)聽網(wǎng)絡中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源，并通過協(xié)議分析、特征匹配、統(tǒng)計分析等手段發(fā)現(xiàn)當前發(fā)生的攻擊行為。它能夠實時監(jiān)控網(wǎng)絡中的數(shù)據(jù)流量，并發(fā)現(xiàn)潛在的攻擊行為和做出迅速的響應?；诰W(wǎng)絡的入侵檢測一般沒有移植性的問題，且運行不影響主機或服務器的自身運行。如圖2—5所示北京T業(yè)人學T程碩}j學位論文圖2—5基于網(wǎng)絡的入侵監(jiān)測