【正文】 PAddress Write Community命令發(fā)送SNMPTrap，信息通過 CiscoWorks 的相應(yīng)守護程序存入SyBase 數(shù)據(jù)庫。CiscoWorks 不支持協(xié)議分析。 歷史數(shù)據(jù)分析：可以顯示RealTime 圖形，可以顯示歷史數(shù)據(jù)。 對第三方產(chǎn)品的兼容性：僅支持Cisco 公司自己的網(wǎng)絡(luò)設(shè)備。第五章 城域網(wǎng)網(wǎng)絡(luò)安全威脅 信息系統(tǒng)可能存在的安全威脅來自以下方面：操作系統(tǒng)的安全性,防火墻的安全性,來自內(nèi)部網(wǎng)用戶的安全威脅,缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP 協(xié)議族軟件，本身缺乏安全性,電子郵件夾帶的病毒及Web 瀏覽可能存在的Java/ActiveX 控件進行有效控制。5 .1 城域網(wǎng)安全問題以及解決技術(shù)手段 網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天，已經(jīng)有成熟的方案來對付來自各方面的安全威脅。信息技術(shù)的安全體系必須集成多種安全技術(shù)實現(xiàn)。如虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵監(jiān)控技術(shù)、安全漏洞掃描技術(shù)、加密技術(shù)、認證和數(shù)字簽名技術(shù)等。 虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM 和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達應(yīng)該到達的地點。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術(shù)也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對象?；诰W(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置。基于MAC 的VLAN 不能防止MAC 欺騙攻擊。 防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。 實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker 入侵的時間。 安全掃描工具源于Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。 ，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。 應(yīng)用平臺安全 域名服務(wù)通常為hacker 提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP 、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。同時，新發(fā)現(xiàn)的針對BINDDNS 實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。主要的措施有：1．內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。2．域名服務(wù)器及域名查找應(yīng)用安裝相應(yīng)的安全補丁。3．對付DenialofService 攻擊，應(yīng)設(shè)計備份域名服務(wù)器。 病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。 病毒防護的主要技術(shù)如下：1．阻止病毒的傳播。2．在防火墻、代理服務(wù)器、SMTP 服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC 安裝病毒監(jiān)控軟件。檢查和清除病毒。3．使用防病毒軟件檢查和清除病毒。4．病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。5．在防火墻、代理服務(wù)器及PC 上安裝Java 及ActiveX 控件掃描軟件， 禁止未許可的控件下載和安裝。 Server 應(yīng)用安全 Web 服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止Web 服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心：1．Web 服務(wù)器置于防火墻保護之下。2．在Web 服務(wù)器上安裝實時安全監(jiān)控軟件。3．經(jīng)常審查Web 服務(wù)器配置情況及運行日志。4．運行新的應(yīng)用前，先進行安全測試。如新的CGI 應(yīng)用。5．小心設(shè)置Web 服務(wù)器的訪問控制表。 電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。加強電子郵件系統(tǒng)的安全性，通常有如下辦法：設(shè)置一臺位于停火區(qū)的電子郵件服務(wù)器作為內(nèi)外電子郵件通訊的中轉(zhuǎn)站（或利用防火墻的電子郵件中轉(zhuǎn)功能）。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。同樣為該服務(wù)器安裝實施監(jiān)控和過濾系統(tǒng)。該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)（切斷與內(nèi)部網(wǎng)的通訊）。 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。對操作系統(tǒng)的安全，除了不斷地增加安全補丁外，還需要：周期檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇/更新）基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 通過對路由器的配置，使得在路由器交換路由表之前雙方進行身份的驗證，可以避免非法程序假冒路由器交換錯誤的路由表從而控制竊取網(wǎng)絡(luò)資源的攻擊。 安全部署 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合，目的是為了保障可信任的網(wǎng)絡(luò)安全并且維護可信任的網(wǎng)絡(luò)與不可信任的網(wǎng)絡(luò)之間通訊的方便。務(wù)器，不運行任何其它業(yè)務(wù)（切斷與內(nèi)部網(wǎng)的通訊）。 驗證 所謂AAA 是（Authentication 、Authorization 、Accounting）的縮寫，即認證、授權(quán)、記帳功能，簡單的說：認證：用戶身份的確認，確定允許哪些用戶登錄，對用戶的身份的校驗。授權(quán)：當用戶登錄后允許該用戶可以干什么，執(zhí)行哪些操作的授權(quán)。記帳：記錄用戶登錄后干了些什么。 AAA 功能的實施需要兩部分的配合：支持AAA 的網(wǎng)絡(luò)設(shè)備、AAA 服務(wù)器。 由于寬帶城域網(wǎng)絡(luò)中有許多關(guān)鍵的數(shù)據(jù)，建議采用安全管理中心與配合專業(yè)安全公司進行多種評估服務(wù)的方式來進行日常安全檢測和掃描任務(wù)。22 / 22