【正文】 VPN 服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線 VPN 網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等 級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。 QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生 。 北京富力通能源軟件技術(shù)有限公司 第 35 頁 共 75 頁 3． 可擴(kuò)充性和靈活性 VPN 必須能夠支持通過 Intra 和 Extra 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn) ，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。 4． 可管理性 從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在 VPN 管理方面， VPN 要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的 VPN 管理系統(tǒng)是必不可少的。 VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上， VPN 管理主要包括安全管理、設(shè)備管理、配置 管理、訪問控制列表管理、 QoS 管理等內(nèi)容。 VPN 解決方案 1. Cisco 的 VPN 解決方案 Cisco 公司與路由器集成的 VPN 解決方案是一種較為常見的基于硬件的構(gòu)建策略。各種用戶，從電信運(yùn)營商、小型分支機(jī)構(gòu)到家庭和小型辦公環(huán)境，都可以找到適合自己需求的解決方案。其中 7100 系列 VPN 路由器是一款集成了高性能路由和 VPN 服務(wù)功能的產(chǎn)品，其硬件配置特別針對(duì) VPN 應(yīng)用及拓?fù)浣Y(jié)構(gòu)作了全面優(yōu)化，內(nèi)置有適應(yīng)不同連接要求的多種網(wǎng)絡(luò)端口，并具有 VPN 隧道交換、數(shù)據(jù)加密、安全服務(wù)、防火墻、帶寬管理等多種功能和服務(wù)。利用 7100 系列 VPN 路由器，用戶能夠?qū)?VPN 服務(wù)擴(kuò)展至遠(yuǎn)程訪問、遠(yuǎn)程辦公、 Extra連接及公共數(shù)據(jù)服務(wù)網(wǎng)絡(luò)。借助 7100 的 VPN 解決方案的周邊安全機(jī)制、侵入檢測及先進(jìn)的帶寬管理和服務(wù)身份確認(rèn)等功能，還有先進(jìn)的帶寬管理性能，可以保證用戶的實(shí)時(shí)交易數(shù)據(jù)等高優(yōu)先級(jí)數(shù)據(jù)流優(yōu)先通過，滿足了電子商務(wù)等活動(dòng)的需要。對(duì)于用戶要求的安全性能， 7100系列 VPN 路由器則提供了身份驗(yàn)證、完整性檢驗(yàn)及實(shí)時(shí)檢測等多種防護(hù)措施；對(duì)遠(yuǎn)程訪問用戶，也可以實(shí)行身份驗(yàn)證、授權(quán)訪問資源及賬號(hào)等 aaa（ authentication、 authorization 及accounting）控制。 2. 華為 的 VPN 解決方案 華為 的 VPN 解決方案包括 AccessVPN、 IntraVPN、 ExtraVPN 及結(jié)合防火墻的 VPN解決方案。各方案中， Quidway 系列路由器具有 VPN 網(wǎng)關(guān)功能，是組建 VPN 的重要設(shè)備。 北京富力通能源軟件技術(shù)有限公司 第 36 頁 共 75 頁 因?yàn)?Quidway 系 列路由器支持各種 VPN 技術(shù)，包括隧道技術(shù)、 IPsec、密鑰交換技術(shù)、防火墻技術(shù)、 QoS 與配置管理等，并可繼續(xù)發(fā)展，支持越來越多的先進(jìn)技術(shù)，所以為用戶提供了很好的選擇和性價(jià)比。 4．漏洞掃描 漏洞掃描系統(tǒng)是用來自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全漏洞的程序（安全漏洞通常指硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略方面存在的安全缺陷）。漏洞掃描按功能可分為：操作系統(tǒng)漏洞掃描、網(wǎng)絡(luò)漏洞掃描和數(shù)據(jù)庫漏洞掃描。針對(duì)檢測對(duì)象的不同，漏洞掃描器還可分為網(wǎng)絡(luò)掃描器、操作系統(tǒng)掃描器、 WWW 服務(wù)掃描器、數(shù)據(jù)庫掃描器以及無線網(wǎng)絡(luò)掃描器。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)的必要性 隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用，網(wǎng)絡(luò)安全已日漸成為人們關(guān)注的焦點(diǎn)問題之一。近幾年來，安全技術(shù)和安全產(chǎn)品已經(jīng)有了長足的進(jìn)步，部分技術(shù)與產(chǎn)品已日趨成熟。但是，單個(gè)安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡(luò)特定的安全需求。因此，如何有效利用現(xiàn)有的安全技術(shù)和安全產(chǎn)品來保障系統(tǒng)與網(wǎng)絡(luò)的安全已成為當(dāng)前信息安全領(lǐng)域的研究熱點(diǎn)之一。 首先，讓我們來看看現(xiàn)階段網(wǎng)絡(luò)上使用最多的安全設(shè)備防火墻和入侵檢測。為了確保網(wǎng)絡(luò)的安全使用，研究它們的局限性和脆弱性已經(jīng)十分 必要。 防火墻的局限性和脆弱性 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，但是它也存在局限性。 防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。 外緊內(nèi)松 是一般局域網(wǎng)絡(luò)的特點(diǎn)，一道嚴(yán)密防守的防火墻其內(nèi)部的網(wǎng)絡(luò)也有可能是一片混亂。如通過社會(huì)工程學(xué)發(fā)送帶 木 北京富力通能源軟件技術(shù)有限公司 第 37 頁 共 75 頁 馬的郵件、帶木馬的 URL 等方式，然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接，將瞬間破壞象鐵壁一樣的防火墻。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛莫能助。 防火墻不能防止最新的未設(shè)置策略或錯(cuò)誤配置引起的安全威脅。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的 cracker 把第一個(gè)攻擊對(duì)象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您。 防火墻不能防止受病毒感染的文件的傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病 毒軟件，也沒有一種軟件可以查殺所有的病毒。 防火墻不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的一個(gè)合法用戶主動(dòng)泄密，防火墻對(duì)此是無能為力的。 防火墻不能防止本身安全漏洞的威脅。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，因?yàn)槟壳斑€沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。防火墻也是一個(gè) OS，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和 bug。所以其本身也可能受到攻擊和出現(xiàn)軟 /硬件方面的故障。 針對(duì) IDS 的逃避技術(shù) 防火墻有以上的諸多局限性，同時(shí)它又處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重 影響網(wǎng)絡(luò)性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡(luò)中不間斷的攝像機(jī)，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。然而，由于 NIDS 本身的局限性， 網(wǎng)絡(luò)黑客利用 碎片攻擊 、會(huì)話拼接、拒絕服務(wù)攻擊等手段 躲 避或者越過網(wǎng)絡(luò)入侵檢測系統(tǒng) (Network Intrusion Detection System,NIDS)的新技術(shù)，勝利的天平正在向 他們 傾斜。 網(wǎng)絡(luò)隱患掃描系統(tǒng)浮出水面 對(duì)付破壞系統(tǒng)企圖的理想方法當(dāng)然是建立一個(gè)完全安全的沒有漏洞的系統(tǒng)，但從實(shí)際而言，這根本不可能。美國威斯康星大學(xué)的 Miller 給出一份有關(guān)現(xiàn)今流行操作系統(tǒng)和應(yīng)用程序 北京富力通能源軟件技術(shù)有限公司 第 38 頁 共 75 頁 的研究報(bào)告，指出軟件中不可能沒有漏洞和缺陷。 因此，一個(gè)實(shí)用的方法是，建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時(shí)按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此 也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)這些漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。雖然亡羊補(bǔ)牢十分可貴，但是對(duì)于 不怕一萬，只怕萬一 的關(guān)鍵業(yè)務(wù)來說，未雨綢繆才是理想境界。 那我們?nèi)绾芜x購專業(yè)的網(wǎng)絡(luò)隱患掃描系統(tǒng)呢？一般來講它必須具備以下幾個(gè)標(biāo)準(zhǔn)： 是否通過國家的各種認(rèn)證 目前國家對(duì)安全產(chǎn)品進(jìn)行認(rèn)證工作的權(quán)威部門包括公安部信息安全產(chǎn)品測評(píng)中心、國家信息安全產(chǎn)品測評(píng)中心、解放軍安全產(chǎn)品測評(píng)中心、國家保密局測評(píng)認(rèn)證中心 。 漏洞數(shù)量和升級(jí)速度 漏洞數(shù)量是考查漏洞掃描器的重要指標(biāo)，最新漏洞的數(shù)量、漏洞更新和升級(jí)的方法以及升級(jí)方法是否能夠被非專業(yè)人員掌握，使得漏洞庫升級(jí)的頻率顯得更為重要。比如 RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達(dá) 1502 之多（截止到 2022 年 7 月 9 日）。 產(chǎn)品本身的安全性 掃描產(chǎn)品運(yùn)行的操作系統(tǒng)平臺(tái)是否安全以及產(chǎn)品本身的抗攻擊性能如何都是用戶應(yīng)該需要考慮的因素。比如 RJiTop 網(wǎng)絡(luò)隱患掃描系統(tǒng)采用軟硬結(jié)合、專門優(yōu)化的 linux 系統(tǒng)，關(guān)閉了不必要的端口和服務(wù)，并且傳輸 的數(shù)據(jù)加密。 是否支持 CVE 國際標(biāo)準(zhǔn) 其目的是給所有已知的漏洞和安全泄露提供一個(gè)標(biāo)準(zhǔn)化的命名。給企業(yè)提供更好的覆蓋、更容易的協(xié)同和加強(qiáng)的安全。 是否支持分布式掃描 產(chǎn)品具有靈活、攜帶方便、穿透防火墻的特性。因?yàn)楝F(xiàn)在不再有沒有劃分 VLAN 的單一 網(wǎng)絡(luò)存在；掃描器發(fā)出的數(shù)據(jù)包有些會(huì)被路由器、防火墻過濾，降低掃描的準(zhǔn)確性。 在網(wǎng)絡(luò)內(nèi)進(jìn)行防火墻與 IDS 的設(shè)置，并不意味著我們的網(wǎng)絡(luò)就絕對(duì)安全，但是設(shè)置得當(dāng)?shù)姆阑饓?IDS，至少會(huì)使我們的網(wǎng)絡(luò)更為堅(jiān)固一些，并且能提供更多的攻擊信息供我們 北京富力通能源軟件技術(shù)有限公司 第 39 頁 共 75 頁 分 析。防火墻、防病毒、入侵檢測、漏洞掃描分別屬于 PDR 和 P2DR 模型中的防護(hù)和檢測環(huán)節(jié)。這幾種安全技術(shù)圍繞安全策略有序地組織在一起，相互協(xié)同，相互作用，構(gòu)成一個(gè)動(dòng)態(tài)自適應(yīng)的防范體系。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)的產(chǎn)品技術(shù)分析 網(wǎng)絡(luò)漏洞掃描系統(tǒng)（簡稱掃描器），是指通過網(wǎng)絡(luò)遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序，它對(duì)網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行安全漏洞檢測和分析，從而發(fā)現(xiàn)可能被入侵者非法利用的漏洞。漏洞掃描器多數(shù)采用基于特征的匹配技術(shù)，與基于誤用檢測技術(shù)的入侵檢測系統(tǒng)相類似。掃描器首先通過請(qǐng)求 /應(yīng)答，或通過執(zhí)行攻擊腳本，來搜 集目標(biāo)主機(jī)上的信息，然后在獲取的信息中尋找漏洞特征庫定義的安全漏洞，如果有，則認(rèn)為安全漏洞存在。可以看到，安全漏洞能否發(fā)現(xiàn)很大程度上取決于漏洞特征的定義。 網(wǎng)絡(luò)漏洞掃描器通過遠(yuǎn)程檢測目標(biāo)主機(jī) TCP/IP 不同端口的服務(wù)，記錄目標(biāo)給予的應(yīng)答，來搜集目標(biāo)主機(jī)上的各種信息，然后與系統(tǒng)的漏洞庫進(jìn)行匹配，如果滿足匹配條件，則認(rèn)為安全漏洞存在；或者通過模擬黑客的攻擊手法對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，如果模擬攻擊成功，則認(rèn)為安全漏洞存在。主機(jī)漏洞掃描器則通過在主機(jī)本地的代理程序?qū)ο到y(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫活 動(dòng)進(jìn)行監(jiān)視掃描，搜集他們的信息，然后與系統(tǒng)的漏洞庫進(jìn)行比較，如果滿足匹配條件，則認(rèn)為安全漏洞存在。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)發(fā)展迅速，產(chǎn)品種類繁多，且各具特點(diǎn)，在功能和性能上存在著一定的差異。漏洞掃描系統(tǒng)大多采用軟件產(chǎn)品來實(shí)現(xiàn)，也有廠家采用硬件產(chǎn)品來實(shí)現(xiàn)漏洞掃描，本 方案 介紹的主要是漏洞掃描硬件產(chǎn)品。 (1) 綠盟科技的極光遠(yuǎn)程安全評(píng)估系統(tǒng) 北京富力通能源軟件技術(shù)有限公司 第 40 頁 共 75 頁 綠盟科技的極光遠(yuǎn)程安全評(píng)估系 統(tǒng) 綠盟科技的極光遠(yuǎn)程安全評(píng)估系統(tǒng)基于嵌入式 Linux 系統(tǒng)的硬件安全掃描設(shè)備，可靠性、穩(wěn)定性更好，同時(shí)大大提高了工作效率和自身安全性自身具有良好的安全性和穩(wěn)定性，也是對(duì)提供更好的掃描服務(wù)的保障。能夠檢測超過 1000 條以上經(jīng)過安全專家審定的重要安全漏洞，涵蓋各種主流操作系統(tǒng) (Windows、 Unix 等 )、設(shè)備 (路由器、防火墻等 )和應(yīng)用服務(wù) (FTP、WWW、 Tel、 Smtp 等 )。截止到 2022 年 1 月，本系統(tǒng)能夠從多個(gè)角度識(shí)別和檢測超過 60個(gè)分類的 1240 條漏洞及安全隱患信息。多重服務(wù)檢測，能對(duì)端口運(yùn)行的服 務(wù)標(biāo)識(shí)進(jìn)行智能服務(wù)識(shí)別，而不是固定的依據(jù)默認(rèn)值去判斷，即使 WEB 服務(wù)運(yùn)行在非 80 端口也能準(zhǔn)確地識(shí)別出來，邏輯組合測試，掃描模塊會(huì)自動(dòng)根據(jù)邏輯依賴關(guān)系執(zhí)行，避免無目的動(dòng)作，從而提高掃描效率和準(zhǔn)確性。自動(dòng)判斷所處理目標(biāo)的系統(tǒng)類型并自動(dòng)匹配相應(yīng)的掃描模版。 (2) 飛狐 網(wǎng)絡(luò)安全掃描系統(tǒng) 飛狐 網(wǎng)絡(luò)安全掃描系統(tǒng) 深圳市中實(shí)網(wǎng)絡(luò)信息技術(shù)有限公司的 “飛狐 網(wǎng)絡(luò)安全掃描系 統(tǒng) ”為硬件類型掃描產(chǎn)品，工業(yè)控制標(biāo)準(zhǔn)機(jī)型，配置高，運(yùn)行穩(wěn)定可靠，可以在惡劣的環(huán)境中持續(xù)高效運(yùn)行。 “飛狐 網(wǎng)絡(luò)安全掃描系統(tǒng) ”由飛狐掃描、補(bǔ)丁掃描和 NASL 掃描三大部分掃描功能組成，它引入安全登錄機(jī)制，防暴力破解。多任務(wù)分時(shí)掃描，可多用戶同時(shí)使用，由管理員統(tǒng)一管理掃描帳號(hào)并能夠授權(quán)該帳號(hào)可以掃描的 IP 地址范圍，效率高。掃描調(diào)度算法和掃描模塊的算法 北京富力通能源軟件技術(shù)有限公司