【文章內(nèi)容簡(jiǎn)介】 供安全的管理服務(wù)。資源對(duì)象的合理訪問控制，建立基于雙向的身份認(rèn)證機(jī)制。為應(yīng)用層提供安全的保障措施應(yīng)充分考慮實(shí)現(xiàn)如下內(nèi)容：　　Syn代理技術(shù)防止Dos、DDos攻擊。 　　對(duì)常見病毒端口可以在數(shù)據(jù)鏈路層進(jìn)行主動(dòng)丟棄。 　　訪問模式匹配功能，可根據(jù)需要有效地防止木馬軟件以及，BT等軟件?！　DS功能，安全級(jí)別，抗攻擊功能。防范各種拒絕服務(wù)攻擊、端口掃描、IP欺騙等攻擊手段?！　√峁?duì)可能的危險(xiǎn)信息或容易擠占網(wǎng)絡(luò)帶寬的數(shù)據(jù)的過濾，如URL攻擊檢測(cè)、URL關(guān)鍵字、對(duì)HTTP協(xié)議中攜帶的Java Applet、JavaScript、ActiveX腳本、Servlet、CGI、PHP、圖像、音頻視頻、Flash等信息的過濾，提供對(duì)PROXY方式下的內(nèi)容過濾和HTTP、FTP、SMTP、POP3協(xié)議的深度內(nèi)容過濾?！　P與MAC地址綁定的功能；對(duì)VPN通信的安全控制；帶寬流量管理，可以有效的對(duì)用戶進(jìn)行帶寬流量控制；對(duì)單IP進(jìn)行連接數(shù)限制，用戶自定義最大并發(fā)連接數(shù)；多出口的路由均衡。安全的管理功能：本地管理和遠(yuǎn)程管理兩種方式。智能日志審計(jì)與狀態(tài)監(jiān)視。安全性擴(kuò)展功能：與入侵檢測(cè)器的無縫銜接，同時(shí)提供開放的IDS接口?！　〗y(tǒng)一用戶認(rèn)證功能：進(jìn)行用戶級(jí)鑒別和過濾控制；支持多種認(rèn)證方式，包括防火墻自身實(shí)現(xiàn)的用戶認(rèn)證和擴(kuò)展的RADIUS、LDAP認(rèn)證?！　《?級(jí)過濾措施：可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及TCP、UDP 端口進(jìn)行過濾。平臺(tái)解決方案　　實(shí)現(xiàn)網(wǎng)絡(luò)化、自動(dòng)化信息交流及辦公，維護(hù)整個(gè)網(wǎng)絡(luò)的正常運(yùn)行和信息安全，及時(shí)高效地處理病毒是平臺(tái)解決方案的一個(gè)重要環(huán)節(jié)。病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式給整個(gè)系統(tǒng)的安全造成隱患，合理的構(gòu)建網(wǎng)絡(luò)防毒系統(tǒng)，設(shè)置相對(duì)應(yīng)的防病毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使整體網(wǎng)絡(luò)應(yīng)用平臺(tái)免受病毒的入侵和危害。 網(wǎng)絡(luò)防病毒安全的保障措施應(yīng)充分考慮實(shí)現(xiàn)反病毒安全解決方案，使內(nèi)部范圍的防病毒管理易于維護(hù)和管理。可以在每個(gè)進(jìn)入點(diǎn)抵御病毒和惡意小程序的入侵，保護(hù)網(wǎng)絡(luò)中的PC機(jī)、服務(wù)器和Internet網(wǎng)關(guān)。采用功能強(qiáng)大的管理工具，自動(dòng)進(jìn)行文件更新，使管理和服務(wù)作業(yè)合理化，并可用來控制中心管理內(nèi)部范圍內(nèi)的反病毒安全機(jī)制。形成的目標(biāo)：從桌面到整個(gè)企業(yè)系統(tǒng)，優(yōu)化系統(tǒng)性能、解決及預(yù)防問題、處理管理事務(wù)和執(zhí)行正常的管理工作、保護(hù)內(nèi)部免受攻擊和危害、降低成本并提高用戶工作效率。安全體系設(shè)計(jì)原則隨著現(xiàn)代計(jì)算機(jī)應(yīng)用的高速發(fā)展，特別是諸如圖形、語音、視頻等多媒體信息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計(jì)等領(lǐng)域的廣泛應(yīng)用，為網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)提出了更高的要求。為了更好地滿足用戶的需求，保證系統(tǒng)能正常穩(wěn)定運(yùn)行，在較長的時(shí)間內(nèi)不落后，在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中，我們認(rèn)為應(yīng)當(dāng)把握以下幾個(gè)原則：穩(wěn)定性只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠，而選擇一個(gè)具有運(yùn)營此類網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國際先進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。先進(jìn)性網(wǎng)絡(luò)硬件、軟件平臺(tái)的先進(jìn)性，要注意選擇性能價(jià)格比好的先進(jìn)技術(shù)和硬件和軟件組網(wǎng)，保證系統(tǒng)的基礎(chǔ)環(huán)境十年不落后。標(biāo)準(zhǔn)性和開放性選擇統(tǒng)一性的網(wǎng)絡(luò)結(jié)構(gòu)與軟件硬件平臺(tái)，有利于系統(tǒng)的建立與開發(fā)。制定信息管理的規(guī)范，在學(xué)校領(lǐng)導(dǎo)下，組織有關(guān)人員對(duì)管理信息系統(tǒng)進(jìn)行系統(tǒng)分析，制定數(shù)據(jù)流圖和數(shù)據(jù)結(jié)構(gòu)，為信息系統(tǒng)的開發(fā)奠定基礎(chǔ)。為了實(shí)現(xiàn)與各種網(wǎng)絡(luò)互訪的要求，要選擇開放的網(wǎng)絡(luò)體系結(jié)構(gòu)，既要選擇當(dāng)前的主流產(chǎn)品，又要具有開放性，以利于今后的擴(kuò)充?？蓴U(kuò)展性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴(kuò)展：無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。容易控制管理因?yàn)樯暇W(wǎng)用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源，是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問題。經(jīng)濟(jì)性充分利用原有的軟件、硬件資源，減少投資浪費(fèi)，做到高性能價(jià)格比。安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，保證數(shù)據(jù)的安全及網(wǎng)絡(luò)使用的安全。支持VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性。符合IP發(fā)展趨勢(shì)的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供服務(wù)的網(wǎng)絡(luò)中，對(duì)IP的支持服務(wù)是最普遍的，而IP技術(shù)本身又處在發(fā)展變化中，如IpV6，IP QoS，IP Over SONET等等新興的技術(shù)不斷出現(xiàn)，網(wǎng)絡(luò)必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。在后面的網(wǎng)絡(luò)技術(shù)選型和系統(tǒng)方案中，以上設(shè)計(jì)原則和思想都將會(huì)被貫徹始終。網(wǎng)絡(luò)的性能結(jié)構(gòu)上面首要的保證整個(gè)網(wǎng)絡(luò)層次的安全體系，充分考慮實(shí)現(xiàn)如下內(nèi)容：　　滿足橋模式、VLAN、ADSL撥號(hào)等形式接入，可以滿足多種網(wǎng)絡(luò)環(huán)境的需要?！　⊥ㄟ^多重地址轉(zhuǎn)換（MAT）功能，可以保護(hù)內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，又可以分散外部服務(wù)到不同的IP地址。通過端口轉(zhuǎn)換，為服務(wù)指定特定的端口，增強(qiáng)了系統(tǒng)的安全性?！　】梢宰鳛镈HCP服務(wù)器又可以充當(dāng)DHCP客戶機(jī)，以實(shí)現(xiàn)對(duì)動(dòng)態(tài)IP的支持功能?！　≈С植呗月酚?，即根據(jù)通訊源地址和目標(biāo)地址來做出路由選擇，可以將內(nèi)網(wǎng)流量分?jǐn)偟蕉鄠€(gè)網(wǎng)絡(luò)出口，增加用戶帶寬?！　《嗯_(tái)服務(wù)器之間的負(fù)載均衡；同時(shí)做到心跳線和VRRP兩種方式的雙機(jī)熱備份。全交叉冗余鏈路，兩臺(tái)防火墻同時(shí)工作進(jìn)行流量均衡，同時(shí)進(jìn)行端口備份，從而提高整個(gè)系統(tǒng)的穩(wěn)定性和容錯(cuò)性。　　支持Tcp/Ip協(xié)議簇的各種協(xié)議。 VLAN、SNMP網(wǎng)管協(xié)議、DHCP協(xié)議，GRE、IPSEC、PPTP… …?！　√峁┩该髂Ｊ健⒙酚珊蚇AT方式下對(duì)多種多媒體協(xié)議的支持，、MSN/SIP、MMS等。第四章 企事業(yè)信息系統(tǒng)安全防御及方法 企事業(yè)信息系統(tǒng)遭遇攻擊的趨勢(shì)在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，使借助Internet運(yùn)行業(yè)務(wù)的機(jī)構(gòu)面臨著前所未有的風(fēng)險(xiǎn)，本文將對(duì)網(wǎng)絡(luò)攻擊的新動(dòng)向進(jìn)行分析，使讀者能夠認(rèn)識(shí)、評(píng)估，并減小這些風(fēng)險(xiǎn)。 　　趨勢(shì)一：自動(dòng)化程度和攻擊速度提高　　格式，還是格式攻擊工具的自動(dòng)化水平不斷提高。自動(dòng)攻擊一般涉及四個(gè)階段，在每個(gè)階段都出現(xiàn)了新變化。掃描可能的受害者。自1997年起，廣泛的掃描變見慣。目前，掃描工具利用更先進(jìn)的掃描模式來改善掃描效果和提高掃描速度。損害脆弱的系統(tǒng)。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動(dòng)的一部分，從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動(dòng)新一輪攻擊。目前，攻擊工具可以自己發(fā)動(dòng)新一輪攻擊。像紅色代碼和尼姆達(dá)這類工具能夠自我傳播，在不到18個(gè)小時(shí)內(nèi)就達(dá)到全球飽和點(diǎn)。攻擊工具的協(xié)調(diào)管理。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)?！　≮厔?shì)二：攻擊工具越來越復(fù)雜　　攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。攻擊工具具有三個(gè)特點(diǎn)：反偵破，攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費(fèi)的時(shí)間增多。動(dòng)態(tài)行為，早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級(jí)或更換工具的一部分迅速變化，發(fā)動(dòng)迅速變化的攻擊，且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協(xié)議)等協(xié)議，從入侵者那里向受攻擊的計(jì)算機(jī)發(fā)送數(shù)據(jù)或命令，使得人們將攻擊特性與正常、合法的網(wǎng)絡(luò)傳輸流區(qū)別開變得越來越困難?！　≮厔?shì)三：發(fā)現(xiàn)安全漏洞越來越快　　新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)?！　≮厔?shì)四：越來越高的防火墻滲透率　　防火墻是人們用來防范入侵者的主要保護(hù)措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如，IPP(Internet打印協(xié)議)和WebDAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻。　　趨勢(shì)五：越來越不對(duì)稱的威脅　　Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高，威脅的將繼續(xù)增加。　　趨勢(shì)六：對(duì)基礎(chǔ)設(shè)施將形成越來越大的威脅　　基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹碓酱蟮膿?dān)心?；A(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對(duì)Internet域名系統(tǒng)(DNS)的攻擊和對(duì)路由器攻擊或利用路由器的攻擊。　　拒絕服務(wù)攻擊利用多個(gè)系統(tǒng)攻擊一個(gè)或多個(gè)受害系統(tǒng)，使受攻擊系統(tǒng)拒絕向其合法用戶提供服務(wù)。攻擊工具的自動(dòng)化程度使得一個(gè)攻擊者可以安裝他們的工具并控制幾萬個(gè)受損害的系統(tǒng)發(fā)動(dòng)攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學(xué)地址塊越來越成為計(jì)劃安裝攻擊工具的入侵者的目標(biāo)。由于Internet是由有限而可消耗的資源組成，并且Internet的安全性是高度相互依賴的，因此拒絕服務(wù)攻擊十分有效。蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續(xù)繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會(huì)使大量的系統(tǒng)在幾個(gè)小時(shí)內(nèi)受到攻擊。一些蠕蟲病毒包括內(nèi)置的拒絕服務(wù)攻擊載荷或Web站點(diǎn)損毀載荷，另一些蠕蟲病毒則具有動(dòng)態(tài)配置功能。但是，這些蠕蟲病毒的最大影響力是，由于它們傳播時(shí)生成海量的掃描傳輸流，它們的傳播實(shí)際上在Internet上生成了拒絕攻擊，造成大量間接的破壞(這樣的例子包括：DSL路由器癱瘓。并非掃描本身造成的而是掃描引發(fā)的基礎(chǔ)網(wǎng)絡(luò)管理(ARP)傳輸流激增造成的電纜調(diào)制解制器ISP網(wǎng)絡(luò)全面超載)?！　NS是一種將名字翻譯為數(shù)字IP地址的分布式分級(jí)全球目錄。這種目錄結(jié)構(gòu)最上面的兩層對(duì)于Internet運(yùn)行至關(guān)重要。在頂層中有13個(gè)“根”名服務(wù)器。下一層為頂級(jí)域名(TLD)服務(wù)器，這些服務(wù)器負(fù)責(zé)管理“.”、“.net”等域名以及國家代碼頂級(jí)域名。DNS面臨的威脅包括：緩存區(qū)中毒，如果使DNS緩存?zhèn)卧煨畔⒌脑?，攻擊者可以改變發(fā)向合法站點(diǎn)的傳輸流方向，使它傳送到攻擊者控制的站點(diǎn)上。破壞數(shù)據(jù)，攻擊者攻擊脆弱的Dns服務(wù)器，獲得修改提供給用戶的數(shù)據(jù)的能力。拒絕服務(wù)，對(duì)某些TLD域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會(huì)造成Internet速度普遍下降或停止運(yùn)行。域劫持，通過利用客戶升級(jí)自己的域注冊(cè)信息所使用的不安全機(jī)制，攻擊者可以接管域注冊(cè)過程來控制合法的域。路由器是一種指揮Internet上傳輸流方向的專用計(jì)算機(jī)。路由器面臨的威脅有：將路由器作為攻擊平臺(tái)，入侵者利用不安全的路由器作為生成對(duì)其他站點(diǎn)的掃描或偵察的平臺(tái)。拒絕服務(wù)，盡管路由器在設(shè)計(jì)上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數(shù)量的傳輸流，入侵者利用這種特性攻擊連接到網(wǎng)絡(luò)上的路由器，而不是直接攻擊網(wǎng)絡(luò)上的系統(tǒng)。利用路由器之間的信賴關(guān)系，路由器若要完成任務(wù)，就必須知道向哪里發(fā)送接收到的傳輸流，路由器通過共享它們之間的路由信息來做到這點(diǎn)，而這要求路由器信賴其收到的來自其他路由器的信息，因此攻擊者可以比較容易地修改、刪除全球Internet路由表或?qū)⒙酚奢斎氲饺騃nternet路由表中，將發(fā)送到一個(gè)網(wǎng)絡(luò)的傳輸流改向傳送到另一個(gè)網(wǎng)絡(luò)，從而造成對(duì)兩個(gè)網(wǎng)絡(luò)的拒絕服務(wù)攻擊。盡管路由器保護(hù)技術(shù)早已可供廣泛使用，但是許多用戶沒有利用路由器提供的加密和認(rèn)證特性來保護(hù)自己的安全。 常見的攻擊類型和防御方法服務(wù)拒絕攻擊 　　服務(wù)拒絕攻擊企圖通過使你的服務(wù)計(jì)算機(jī)崩潰或把它壓跨來阻止你提供服務(wù)，服務(wù)拒絕攻擊是最容易實(shí)施的攻擊行為，主要包括： 死亡之ping （ping of death） 　　概覽：由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IPIC庫存6015棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。 　　防御：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺寸的包，并且大多數(shù)防火墻能夠自動(dòng)過濾這些攻擊，包括：從windows98之后的windows,NT（service pack 3之后），