【文章內(nèi)容簡介】 供安全的管理服務(wù)。資源對象的合理訪問控制，建立基于雙向的身份認(rèn)證機制。為應(yīng)用層提供安全的保障措施應(yīng)充分考慮實現(xiàn)如下內(nèi)容：　　Syn代理技術(shù)防止Dos、DDos攻擊。 　　對常見病毒端口可以在數(shù)據(jù)鏈路層進行主動丟棄。 　　訪問模式匹配功能，可根據(jù)需要有效地防止木馬軟件以及，BT等軟件。　　IDS功能，安全級別，抗攻擊功能。防范各種拒絕服務(wù)攻擊、端口掃描、IP欺騙等攻擊手段?！　√峁赡艿奈ｋU信息或容易擠占網(wǎng)絡(luò)帶寬的數(shù)據(jù)的過濾，如URL攻擊檢測、URL關(guān)鍵字、對HTTP協(xié)議中攜帶的Java Applet、JavaScript、ActiveX腳本、Servlet、CGI、PHP、圖像、音頻視頻、Flash等信息的過濾，提供對PROXY方式下的內(nèi)容過濾和HTTP、FTP、SMTP、POP3協(xié)議的深度內(nèi)容過濾?！　P與MAC地址綁定的功能；對VPN通信的安全控制；帶寬流量管理，可以有效的對用戶進行帶寬流量控制；對單IP進行連接數(shù)限制，用戶自定義最大并發(fā)連接數(shù)；多出口的路由均衡。安全的管理功能：本地管理和遠程管理兩種方式。智能日志審計與狀態(tài)監(jiān)視。安全性擴展功能：與入侵檢測器的無縫銜接，同時提供開放的IDS接口。　　統(tǒng)一用戶認(rèn)證功能：進行用戶級鑒別和過濾控制；支持多種認(rèn)證方式，包括防火墻自身實現(xiàn)的用戶認(rèn)證和擴展的RADIUS、LDAP認(rèn)證。　　多 級過濾措施：可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及TCP、UDP 端口進行過濾。平臺解決方案　　實現(xiàn)網(wǎng)絡(luò)化、自動化信息交流及辦公，維護整個網(wǎng)絡(luò)的正常運行和信息安全，及時高效地處理病毒是平臺解決方案的一個重要環(huán)節(jié)。病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式給整個系統(tǒng)的安全造成隱患，合理的構(gòu)建網(wǎng)絡(luò)防毒系統(tǒng)，設(shè)置相對應(yīng)的防病毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使整體網(wǎng)絡(luò)應(yīng)用平臺免受病毒的入侵和危害。 網(wǎng)絡(luò)防病毒安全的保障措施應(yīng)充分考慮實現(xiàn)反病毒安全解決方案，使內(nèi)部范圍的防病毒管理易于維護和管理?？梢栽诿總€進入點抵御病毒和惡意小程序的入侵，保護網(wǎng)絡(luò)中的PC機、服務(wù)器和Internet網(wǎng)關(guān)。采用功能強大的管理工具，自動進行文件更新，使管理和服務(wù)作業(yè)合理化，并可用來控制中心管理內(nèi)部范圍內(nèi)的反病毒安全機制。形成的目標(biāo)：從桌面到整個企業(yè)系統(tǒng)，優(yōu)化系統(tǒng)性能、解決及預(yù)防問題、處理管理事務(wù)和執(zhí)行正常的管理工作、保護內(nèi)部免受攻擊和危害、降低成本并提高用戶工作效率。安全體系設(shè)計原則隨著現(xiàn)代計算機應(yīng)用的高速發(fā)展，特別是諸如圖形、語音、視頻等多媒體信息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計等領(lǐng)域的廣泛應(yīng)用，為網(wǎng)絡(luò)平臺的設(shè)計提出了更高的要求。為了更好地滿足用戶的需求，保證系統(tǒng)能正常穩(wěn)定運行，在較長的時間內(nèi)不落后，在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計中，我們認(rèn)為應(yīng)當(dāng)把握以下幾個原則：穩(wěn)定性只有運行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計，產(chǎn)品的可靠，而選擇一個具有運營此類網(wǎng)絡(luò)規(guī)模經(jīng)驗的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達當(dāng)前的國際先進水平。要采用最先進的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展。為此應(yīng)選用高帶寬的先進技術(shù)。先進性網(wǎng)絡(luò)硬件、軟件平臺的先進性，要注意選擇性能價格比好的先進技術(shù)和硬件和軟件組網(wǎng)，保證系統(tǒng)的基礎(chǔ)環(huán)境十年不落后。標(biāo)準(zhǔn)性和開放性選擇統(tǒng)一性的網(wǎng)絡(luò)結(jié)構(gòu)與軟件硬件平臺，有利于系統(tǒng)的建立與開發(fā)。制定信息管理的規(guī)范，在學(xué)校領(lǐng)導(dǎo)下，組織有關(guān)人員對管理信息系統(tǒng)進行系統(tǒng)分析，制定數(shù)據(jù)流圖和數(shù)據(jù)結(jié)構(gòu)，為信息系統(tǒng)的開發(fā)奠定基礎(chǔ)。為了實現(xiàn)與各種網(wǎng)絡(luò)互訪的要求，要選擇開放的網(wǎng)絡(luò)體系結(jié)構(gòu)，既要選擇當(dāng)前的主流產(chǎn)品，又要具有開放性，以利于今后的擴充?？蓴U展性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴展性，并能隨著技術(shù)的發(fā)展不斷升級。易擴展不僅僅指設(shè)備端口的擴展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計合理的情況下，新的網(wǎng)絡(luò)節(jié)點才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴展：無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴展能力。容易控制管理因為上網(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源，是建好一個網(wǎng)絡(luò)所面臨的首要問題。經(jīng)濟性充分利用原有的軟件、硬件資源，減少投資浪費，做到高性能價格比。安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，保證數(shù)據(jù)的安全及網(wǎng)絡(luò)使用的安全。支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。符合IP發(fā)展趨勢的網(wǎng)絡(luò)在當(dāng)前任何一個提供服務(wù)的網(wǎng)絡(luò)中，對IP的支持服務(wù)是最普遍的，而IP技術(shù)本身又處在發(fā)展變化中，如IpV6，IP QoS，IP Over SONET等等新興的技術(shù)不斷出現(xiàn)，網(wǎng)絡(luò)必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。在后面的網(wǎng)絡(luò)技術(shù)選型和系統(tǒng)方案中，以上設(shè)計原則和思想都將會被貫徹始終。網(wǎng)絡(luò)的性能結(jié)構(gòu)上面首要的保證整個網(wǎng)絡(luò)層次的安全體系，充分考慮實現(xiàn)如下內(nèi)容：　　滿足橋模式、VLAN、ADSL撥號等形式接入，可以滿足多種網(wǎng)絡(luò)環(huán)境的需要?！　⊥ㄟ^多重地址轉(zhuǎn)換（MAT）功能，可以保護內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，又可以分散外部服務(wù)到不同的IP地址。通過端口轉(zhuǎn)換，為服務(wù)指定特定的端口，增強了系統(tǒng)的安全性?！　】梢宰鳛镈HCP服務(wù)器又可以充當(dāng)DHCP客戶機，以實現(xiàn)對動態(tài)IP的支持功能。　　支持策略路由，即根據(jù)通訊源地址和目標(biāo)地址來做出路由選擇，可以將內(nèi)網(wǎng)流量分?jǐn)偟蕉鄠€網(wǎng)絡(luò)出口，增加用戶帶寬?！　《嗯_服務(wù)器之間的負(fù)載均衡；同時做到心跳線和VRRP兩種方式的雙機熱備份。全交叉冗余鏈路，兩臺防火墻同時工作進行流量均衡，同時進行端口備份，從而提高整個系統(tǒng)的穩(wěn)定性和容錯性?！　≈С諸cp/Ip協(xié)議簇的各種協(xié)議。 VLAN、SNMP網(wǎng)管協(xié)議、DHCP協(xié)議，GRE、IPSEC、PPTP… …?！　√峁┩该髂Ｊ健⒙酚珊蚇AT方式下對多種多媒體協(xié)議的支持，、MSN/SIP、MMS等。第四章 企事業(yè)信息系統(tǒng)安全防御及方法 企事業(yè)信息系統(tǒng)遭遇攻擊的趨勢在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的機構(gòu)面臨著前所未有的風(fēng)險，本文將對網(wǎng)絡(luò)攻擊的新動向進行分析，使讀者能夠認(rèn)識、評估，并減小這些風(fēng)險。 　　趨勢一：自動化程度和攻擊速度提高　　格式，還是格式攻擊工具的自動化水平不斷提高。自動攻擊一般涉及四個階段，在每個階段都出現(xiàn)了新變化。掃描可能的受害者。自1997年起，廣泛的掃描變見慣。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。損害脆弱的系統(tǒng)。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動新一輪攻擊。目前，攻擊工具可以自己發(fā)動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內(nèi)就達到全球飽和點。攻擊工具的協(xié)調(diào)管理。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)?！　≮厔荻汗艄ぞ咴絹碓綇?fù)雜　　攻擊工具開發(fā)者正在利用更先進的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測。攻擊工具具有三個特點：反偵破，攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多。動態(tài)行為，早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動攻擊工具可以根據(jù)隨機選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發(fā)動迅速變化的攻擊，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺上執(zhí)行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協(xié)議)等協(xié)議，從入侵者那里向受攻擊的計算機發(fā)送數(shù)據(jù)或命令，使得人們將攻擊特性與正常、合法的網(wǎng)絡(luò)傳輸流區(qū)別開變得越來越困難?！　≮厔萑喊l(fā)現(xiàn)安全漏洞越來越快　　新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。　　趨勢四：越來越高的防火墻滲透率　　防火墻是人們用來防范入侵者的主要保護措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如，IPP(Internet打印協(xié)議)和WebDAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻?！　≮厔菸澹涸絹碓讲粚ΨQ的威脅　　Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的將繼續(xù)增加?！　≮厔萘簩A(chǔ)設(shè)施將形成越來越大的威脅　　基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們越來越大的擔(dān)心。基礎(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對Internet域名系統(tǒng)(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊?！　【芙^服務(wù)攻擊利用多個系統(tǒng)攻擊一個或多個受害系統(tǒng)，使受攻擊系統(tǒng)拒絕向其合法用戶提供服務(wù)。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具并控制幾萬個受損害的系統(tǒng)發(fā)動攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學(xué)地址塊越來越成為計劃安裝攻擊工具的入侵者的目標(biāo)。由于Internet是由有限而可消耗的資源組成，并且Internet的安全性是高度相互依賴的，因此拒絕服務(wù)攻擊十分有效。蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續(xù)繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會使大量的系統(tǒng)在幾個小時內(nèi)受到攻擊。一些蠕蟲病毒包括內(nèi)置的拒絕服務(wù)攻擊載荷或Web站點損毀載荷，另一些蠕蟲病毒則具有動態(tài)配置功能。但是，這些蠕蟲病毒的最大影響力是，由于它們傳播時生成海量的掃描傳輸流，它們的傳播實際上在Internet上生成了拒絕攻擊，造成大量間接的破壞(這樣的例子包括：DSL路由器癱瘓。并非掃描本身造成的而是掃描引發(fā)的基礎(chǔ)網(wǎng)絡(luò)管理(ARP)傳輸流激增造成的電纜調(diào)制解制器ISP網(wǎng)絡(luò)全面超載)?！　NS是一種將名字翻譯為數(shù)字IP地址的分布式分級全球目錄。這種目錄結(jié)構(gòu)最上面的兩層對于Internet運行至關(guān)重要。在頂層中有13個“根”名服務(wù)器。下一層為頂級域名(TLD)服務(wù)器，這些服務(wù)器負(fù)責(zé)管理“.”、“.net”等域名以及國家代碼頂級域名。DNS面臨的威脅包括：緩存區(qū)中毒，如果使DNS緩存?zhèn)卧煨畔⒌脑?，攻擊者可以改變發(fā)向合法站點的傳輸流方向，使它傳送到攻擊者控制的站點上。破壞數(shù)據(jù)，攻擊者攻擊脆弱的Dns服務(wù)器，獲得修改提供給用戶的數(shù)據(jù)的能力。拒絕服務(wù)，對某些TLD域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會造成Internet速度普遍下降或停止運行。域劫持，通過利用客戶升級自己的域注冊信息所使用的不安全機制，攻擊者可以接管域注冊過程來控制合法的域。路由器是一種指揮Internet上傳輸流方向的專用計算機。路由器面臨的威脅有：將路由器作為攻擊平臺，入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平臺。拒絕服務(wù)，盡管路由器在設(shè)計上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數(shù)量的傳輸流，入侵者利用這種特性攻擊連接到網(wǎng)絡(luò)上的路由器，而不是直接攻擊網(wǎng)絡(luò)上的系統(tǒng)。利用路由器之間的信賴關(guān)系，路由器若要完成任務(wù)，就必須知道向哪里發(fā)送接收到的傳輸流，路由器通過共享它們之間的路由信息來做到這點，而這要求路由器信賴其收到的來自其他路由器的信息，因此攻擊者可以比較容易地修改、刪除全球Internet路由表或?qū)⒙酚奢斎氲饺騃nternet路由表中，將發(fā)送到一個網(wǎng)絡(luò)的傳輸流改向傳送到另一個網(wǎng)絡(luò)，從而造成對兩個網(wǎng)絡(luò)的拒絕服務(wù)攻擊。盡管路由器保護技術(shù)早已可供廣泛使用，但是許多用戶沒有利用路由器提供的加密和認(rèn)證特性來保護自己的安全。 常見的攻擊類型和防御方法服務(wù)拒絕攻擊 　　服務(wù)拒絕攻擊企圖通過使你的服務(wù)計算機崩潰或把它壓跨來阻止你提供服務(wù)，服務(wù)拒絕攻擊是最容易實施的攻擊行為，主要包括： 死亡之ping （ping of death） 　　概覽：由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IPIC庫存6015棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標(biāo)題頭進行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機。 　　防御：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從windows98之后的windows,NT（service pack 3之后），