【導讀】為了防范網(wǎng)絡(luò)安全事故的發(fā)生,互聯(lián)網(wǎng)的每個計算機用戶、特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防護措施，甚至可以說在利益均衡的情況下不惜一切代價。我國網(wǎng)絡(luò)安全的現(xiàn)狀和網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，以及漏洞的分類的分析。漏洞掃描系統(tǒng)的必要性，只有發(fā)現(xiàn)漏洞才能更好的維持企業(yè)網(wǎng)絡(luò)安全秩序。是實際應用的解決方案，介紹了無線網(wǎng)絡(luò)安全實戰(zhàn)，用實際的解決方案來說明主題。

　　

【正文】 用加密認證電子信息的方法，是以電子形式存儲 的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。由于數(shù)字簽名是利用密碼技術(shù)進行的，所以其安全性取決于所采用的密碼體制的安全制度。 殺毒軟件技術(shù) 殺毒軟件肯定是最常見的，也是用得最普遍的安全技術(shù)方案，因為這種技術(shù)實現(xiàn)起來最簡單。但大家都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足安全的需要。這種方式對于個人用戶或小企業(yè)或許還能滿足需要，但如果個人或企業(yè)有電子商務方面的需求，就不能完全滿足了?？上驳氖?，隨著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時也能預防木馬及其他一些黑客程序的入侵。還有的殺毒軟件開 發(fā)商同時提供了軟件防火墻，具有了一定防火墻的功能，在一定程度上能起到硬件防火墻的功效，如卡巴斯基、金山防火墻、 NORTON 防火墻， 360 防火墻等。 入侵檢測技術(shù) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，入侵檢測是對對防火墻技術(shù)的一種邏輯補償技術(shù)，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時 保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測。智能化入侵檢測和全面的安全防御方案。 入侵檢測系統(tǒng)（ IDS Instusion Detection System）是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止，封閉等；入侵事件的歸檔，從而提供法律依據(jù)；網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復等功能。 河北工程大學畢業(yè)設(shè)計論文 17 安全掃描技術(shù) 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。 安全掃描工具源于 Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。 安全掃描工具通 常也分為基于服務器和基于網(wǎng)絡(luò)的掃描器。 基于服務器的掃描器主要掃描服務器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務，軟件，系統(tǒng)漏洞等，并給出相應的解決辦法建議。通常與相應的服務器操作系統(tǒng)緊密相關(guān)。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務器、路由器、網(wǎng)橋、變換機、訪問服務器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍 (IP 地址或路由器跳數(shù) )。網(wǎng)絡(luò)安全掃描的主要性能應該考慮以下方面： 一、 速度。在網(wǎng)絡(luò)內(nèi)進行安全掃描非常耗時。 二、 網(wǎng)絡(luò)拓撲。通過 GUI 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。 三、 能夠發(fā)現(xiàn)的漏洞數(shù)量。 四、 是否支持可定制的攻擊方法。通常提供強大的工具構(gòu)造特定的攻擊方法。因為網(wǎng)絡(luò)內(nèi)服務器及其它設(shè)備對相同協(xié)議的實現(xiàn)存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。 五、 報告，掃描器應該能夠給出清楚的安全漏洞報告。 六、 更新周期。提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應的改進建議。 安全掃描器不能實時監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。 訪問控制技術(shù) 每個系統(tǒng)都要確保訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機制叫做訪問控制。訪問控制是通過一個參考監(jiān)視器，在每一次用戶對系統(tǒng)目標進行訪問時，都由它來進行調(diào)節(jié)，包括限制合法用戶的行為。每當用戶對系統(tǒng)進行訪問時，參考監(jiān)視器就會查看授權(quán)數(shù)據(jù)庫，以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。 河北工程大學畢業(yè)設(shè)計論文 18 所有操作系統(tǒng)都支持訪問控制。訪問控制是保護服務器的基本機制，必須在服務器上限制哪些用戶可以訪問服務或守護進程。 虛擬專用網(wǎng)技術(shù) VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)之一。所謂虛擬專 用網(wǎng)（ VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道“在公共網(wǎng)絡(luò)中傳播。在公共通信網(wǎng)絡(luò)上構(gòu)建 VPN 有兩種主流的機制：路由過濾技術(shù)和隧道技術(shù)。目前 VPN 主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（ Tunneling）、加 /解密技術(shù)（ Encryptionamp。Decryption）、密鑰管理技術(shù)（ Key Management）和使用者與設(shè)備身份認證技術(shù)（ Authentication）。 VPN 技術(shù)解決方案 —— 華為 3Com 動態(tài) VPN 解決方案 概述 在現(xiàn)有的 IP VPN 組網(wǎng)方案中，一般采用 GRE 隧道、 L2TP、 IPSec 等方式。但是這些方案都存在一個弊端，就是必須是按照事先的配置進行組網(wǎng)，并且要完成一個全聯(lián)通的網(wǎng)絡(luò)時（如圖 ），結(jié)構(gòu)和配置就變得復雜。由于要建立一對一的連接，所以當有 N 個網(wǎng)絡(luò)設(shè)備進行互聯(lián)時，網(wǎng)絡(luò)的就必須建立 N (N－ 1) / 2 個連接，這樣不僅造成了組網(wǎng)和配置的復雜，而且配置時必須知道對端設(shè)備的基本信息，試想如果其中有一個節(jié)點的設(shè)備修改了配置，那么其他所有節(jié)點都必須針對這臺設(shè)備修改本地配置，這給維護增加了很大的成本。 圖 31 傳統(tǒng) VPN 方式下的全聯(lián)通 Quidway SecPath VPN 安全網(wǎng)關(guān)（以下簡稱網(wǎng)關(guān)）可以提供動態(tài) VPN 的解決河北工程大學畢業(yè)設(shè)計論文 19 方案，能有效地解決以上傳統(tǒng) VPN 的缺陷。動態(tài) VPN 采用了 Client 和 Server 的方式，任意一個 Client 設(shè)備只需要知道 Server 的信息就能夠和其他 Client 設(shè)備進行互通，并且這種互通是自動的，不需要任何人為的干預。企業(yè)的總部放置一臺網(wǎng)關(guān)作為 Server，其他設(shè)備完全就可以隨時通過 VPN 互聯(lián)，并且每個屬于該 VPN 內(nèi)的 Client 設(shè)備都能夠互相訪問（如圖 ）。通過這種方 案進行 VPN的組網(wǎng)不盡降低了維護成本，而且使得網(wǎng)絡(luò)應用更加靈活，加上動態(tài) VPN 提供的認證和加密特性完全保證了用戶的網(wǎng)絡(luò)安全。 圖 32 VPN 解決方案圖 VPN 的基本原理和關(guān)鍵技術(shù) 動態(tài) VPN 的基本原理 動態(tài) VPN 采用了 Client / Server 的方式，一臺網(wǎng)關(guān)作為 Server，其他的網(wǎng)關(guān)作為 Client。每個 Client 都需要到 Server 進行注冊，注冊成功之后 Client 就可以互相 通訊了。 Server 在一個 VPN當中的主要任務就是獲得 Client的注冊信息，當有一個 Client 需要訪問另一個 Client 時通知該 Client 所要到達目的地的真正地址。 動態(tài) VPN 采用了隧道技術(shù)，即在每對互相通訊的網(wǎng)關(guān)上都自動打通一條隧道，所有的數(shù)據(jù)都在隧道中傳輸，當該隧道沒有數(shù)據(jù)流量的時候又會自動切斷該隧道以節(jié)約資源或成本。目前動態(tài) VPN支持兩種隧道方式，即 GRE 隧道和 UDP隧道。 GRE隧道方式屬于標準協(xié)議的隧道；而 UDP隧道方式是華為 3Com 公司的專利方式，這種方式能夠很好的解決穿透 NAT/防火墻的問 題，這是 GRE 方式所不及的。 動態(tài) VPN 的關(guān)鍵技術(shù) 河北工程大學畢業(yè)設(shè)計論文 20 NAT/防火墻技術(shù) 動態(tài) VPN 采用 UDP 方式建立隧道，使用這種技術(shù)建立隧道的最大好處就是能夠穿透 NAT/防火墻。傳統(tǒng)的 GRE方式建立隧道，由于 GRE Tunnel 是基于三層 IP建立隧道，所以不支持 PAT 端口方式的一對多的地址轉(zhuǎn)換，就需要大量的公網(wǎng) IP地址。動態(tài) VPN 采用 UDP 方式建立隧道就完全避免了這種問題的發(fā)生，當網(wǎng)關(guān)使用 UDP 連接建立隧道，可以支持地址和端口的應用，當隧道通過 NAT/防火墻的時候就會轉(zhuǎn)換為對應的公網(wǎng) IP地址和相應 的端口號，從而完成數(shù)據(jù)的穿越 NAT 網(wǎng)關(guān)。 IP 地址構(gòu)建 VPN 技術(shù) 傳統(tǒng)的 GRE方式建立隧道就必須知道對端設(shè)備的 IP 地址，一旦有一臺設(shè)備 IP 地址更換，那其他相關(guān)設(shè)備就全部都需要更改配置；同時由于傳統(tǒng)的 GRE隧道建立必須知道對方的 IP 地址，這樣就使得動態(tài) IP 地址的設(shè)備就無法正常建鏈。 現(xiàn)在的寬帶不斷的推廣應用，如果中小企業(yè)使用 xDSL 或者以太網(wǎng)接入方式的話要比以前專線方式接入節(jié)省大量的線路租用費用，但是一般的 xDSL 接入或者以太網(wǎng)接入使用的是動態(tài)的 IP地址，這樣就出現(xiàn)了一個問題，如何使用動態(tài)的 IP地址來 建立企業(yè)自己的 VPN 網(wǎng)絡(luò)？顯然傳統(tǒng)的 VPN 構(gòu)建方式已經(jīng)滿足不了現(xiàn)在的應用了，為此華為 3Com 公司的 Quidway SecPath VPN 安全網(wǎng)關(guān)，推出適合動態(tài) IP 地址構(gòu)建企業(yè) VPN 的動態(tài) VPN 技術(shù)和解決方案。 動態(tài) VPN在同一個 VPN內(nèi)部構(gòu)建隧道不需要知道其他 Client網(wǎng)關(guān)的任何信息，只需要配置自己的信息并指定相應的 Server 就完成了。所以使用動態(tài) VPN時用戶只需配置一次，不管其他 Client 設(shè)備怎么更改也都能夠進行互相通訊，同時用戶也不用關(guān)心自己當前使用的 IP 地址是多少，更加適應現(xiàn)在動態(tài) IP 地址的使用 方式。 為了能夠讓用戶使用更加方便、為了讓更多的用戶能夠享受華為 3Com 動態(tài) VPN的優(yōu)點、同時也為了用戶降低組網(wǎng)成本，華為 3Com 公司還推出基于 PC 的客戶端軟件 Quidway SecPoint，這樣用戶能夠在外出時只需通過 PC進行 ADSL 或者普通撥號方式就能夠和公司的其他用戶進行連接。 下圖 33描述一個公司的 VPN 網(wǎng)絡(luò)，既有固定 IP地址用戶（總部固定網(wǎng)絡(luò)），也有動態(tài) IP 地址用戶（分支機構(gòu) ADSL 撥號和 SOHO 用戶普通撥號）。如果這時有公司內(nèi)部人員出差需要訪問公司網(wǎng)絡(luò)資源，那么只需要該用戶撥號上網(wǎng)，到公司 Server 上注冊，然后就可以訪問任何用戶（包括固定 IP地址用戶和其他動態(tài) IP地址用戶設(shè)備）。在下圖中以紅色虛線表示。 河北工程大學畢業(yè)設(shè)計論文 21 圖 33 移動撥號用戶訪問整個 VPN 網(wǎng)絡(luò) 使用傳統(tǒng) GRE 方式構(gòu)建 VPN，如果有 N臺網(wǎng)關(guān)需要建立一個全聯(lián)通的網(wǎng)絡(luò)的話就需要在每臺網(wǎng)關(guān)上創(chuàng)建 N－ 1個 Tunnel 接口，使每個 Tunnel 接口對應一臺對端設(shè)備，并且需要配置 N－ 1 個對端地址，整個網(wǎng)絡(luò)一共需要配置 N (N－ 1)個 Tunnel接口，這個工作量對于一個中型網(wǎng)絡(luò)來說簡直就是不可想象的工作量。不光如此，每當 更改一臺設(shè)備的 IP地址時，其他 N－ 1 個設(shè)備都需要重新更改配置，這樣給維護帶來了很大的成本，并且也容易導致人為的錯誤。 當人為操作會給整個通訊網(wǎng)絡(luò)帶來一定的風險的時候本文作者們就需要一種自動方式來維護網(wǎng)絡(luò)的正常運行。動態(tài) VPN 在兩個網(wǎng)關(guān)之間建立隧道完全是自動建立的，每臺作為 Client 的網(wǎng)關(guān)只需配置自己相關(guān)的東西，如本地的 IP地址、 UDP方式下使用的端口號、所屬的 VPN 和 Server 等；不需要知道其他 Client 端的任何信息就可以互相通訊。在這種方式下會比傳統(tǒng)的 GRE 隧道方式減少大部分的工作量，如果是 N 臺網(wǎng)關(guān) 構(gòu)建 VPN 網(wǎng)絡(luò)的話，只需配置 N 臺設(shè)備自己的信息就可以了，要比傳統(tǒng)的方式減少 N (N－ 2)的工作量，并且很大程度上減少了人為錯誤的發(fā)生。 VPN的主要特點就是在公共網(wǎng)絡(luò)構(gòu)建一個屬于企業(yè)自己的專用網(wǎng)絡(luò)，使用了 VPN技術(shù)之后企業(yè)內(nèi)部的設(shè)備都在一個 VPN 網(wǎng)絡(luò)內(nèi)部，不管各個分支機構(gòu)所處何地都像是公司內(nèi)部網(wǎng)絡(luò)，可以直接進行訪問和數(shù)據(jù)傳輸。但是由于是在公網(wǎng)上傳輸數(shù)據(jù)，那么安全特性就顯得尤為重要了，沒有一定的安全機制，企業(yè)內(nèi)部的數(shù)據(jù)在公網(wǎng)上就會被其他人所截取，企業(yè)內(nèi)部的機器也將受到網(wǎng)絡(luò)上其他設(shè)備的攻擊，這樣給企業(yè)將帶來災難性后果。 動態(tài) VPN 使用了認證、加密等技術(shù)，最大程度地保證用戶數(shù)據(jù)的安全，用戶網(wǎng)絡(luò)的安全。首先，動態(tài) VPN 提供了注冊認證機制， Client 端設(shè)備要想加入到某個特定的動態(tài) VPN 內(nèi)，必須首先經(jīng)過 Server 的認證，只有通過 Server 認證的 Cl河北工程大學畢業(yè)設(shè)計論文 22 ient 設(shè)備才能夠接入企業(yè)的 VPN網(wǎng)絡(luò)，這樣保證了非授權(quán)用戶非法登錄，同時也阻止了人為的破壞。其次， Client 和 Client 之間建立隧道時也必須經(jīng)過認證，就是說必須兩個 Client 都經(jīng)過同一個 Server 的認證才允許建立隧道，這樣就可以防止公網(wǎng)上非法用戶的入侵。另外，在使用動態(tài) VPN 的接口上可以啟用 IPSec 進行加密，保證用戶在公網(wǎng)上傳輸?shù)臄?shù)據(jù)的安全可靠。有了上述這些措施之后，動態(tài) VPN 網(wǎng)絡(luò)內(nèi)部就是一個 相對安全的區(qū)域，企業(yè)可以放心的在 VPN 內(nèi)傳輸自己的數(shù)據(jù)了。 VPN 域 為了能夠使得用戶能夠最大限度的使用網(wǎng)絡(luò)設(shè)備資源，降低用戶的網(wǎng)絡(luò)構(gòu)建成本，動態(tài) VPN 允許用戶在一臺網(wǎng)關(guān)上支持多個 VPN 域。如圖 34 即一臺網(wǎng)關(guān)不僅可以屬于 VPN A，也可以屬于 VPN B，并且可以在 VPN A 中作為 Client 設(shè)備，同時還可以在 VPN B 中作為 Server 設(shè)備使用。這樣大大提高了組網(wǎng)的靈活性，也可以更加充分的使用網(wǎng)絡(luò)設(shè)備資源，減少了用戶的投資。