【正文】 20并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器。而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉 FTP 連接中的 PUT 命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。 21圖 防火墻系統(tǒng)部署方案 入侵檢測系統(tǒng)入侵是指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動集合。一般而言，入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)，惡意使用六種類型。概括的說，入侵表示系統(tǒng)發(fā)生了違反系統(tǒng)安全策略的事件。入侵檢測是指通過檢查操作系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測系統(tǒng)中違背安全策略或危機(jī)系統(tǒng)安全的行為或活動，從而保護(hù)系統(tǒng)的資源不受攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改和破壞。入侵檢測系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測入侵活動的系統(tǒng)，包括入侵檢測的軟件和硬件的組合 [20]。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測系統(tǒng)必須包括如下三個功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。 “入侵檢測”是一種網(wǎng)絡(luò)實(shí)時自動攻擊識別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息，對這些信息加以分析，查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞，主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生，如果發(fā)現(xiàn)有入侵事件，自動對這些事件響應(yīng)，同時給出相應(yīng)提示。企業(yè)辦公部門22比較多，內(nèi)部網(wǎng)根據(jù)部門劃分不同的子網(wǎng)網(wǎng)段。每個部門或子網(wǎng)都有一個交換機(jī)，設(shè)置網(wǎng)絡(luò)中心，有專門的網(wǎng)絡(luò)管理員。各個子網(wǎng)匯總到網(wǎng)絡(luò)中，自連接到高性能服務(wù)器群，高性能服務(wù)器群放置在防火墻的 DMZ 區(qū)。根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇 IDS 探測器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī)放置控制臺，監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。圖 IDS 部署方案圖在企業(yè)安全內(nèi)網(wǎng)中，入侵檢測系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其它部門子網(wǎng)之間，通過實(shí)時截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時，入侵檢測可以進(jìn)行如下反應(yīng)：(l)控制臺報警。(2)記錄網(wǎng)絡(luò)攻擊事件。(3)實(shí)時阻斷網(wǎng)絡(luò)連接。(4)入侵檢測可以過濾和監(jiān)視 TCP/工 P 協(xié)議。系統(tǒng)管理員通過配置入侵檢測，23可以按協(xié)議，源端口，目的端口，源工 P/目的工 P 地址過濾。(5)入侵檢測還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。(6)入侵檢測能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計(jì)并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng)，從而為網(wǎng)絡(luò)安全提供有效的保障。 漏洞掃描系統(tǒng)網(wǎng)絡(luò)設(shè)備和軟件在設(shè)計(jì)開發(fā)過程中不可避免存在缺陷和漏洞，漏洞隨著時間推移越來越多。攻擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動程序來完成攻擊，這些都導(dǎo)致黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高。由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，網(wǎng)絡(luò)管理員失去了對網(wǎng)絡(luò)資源的精確控制。采用網(wǎng)絡(luò)漏洞掃描器對存在的安全隱患進(jìn)行檢查，幫助管理員找出解決的方法。企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個系統(tǒng)的安全性。在企業(yè)內(nèi)網(wǎng)高性能服務(wù)器處配置網(wǎng)絡(luò)隱患掃描聯(lián)動型產(chǎn)品。聯(lián)動型適用于企業(yè)內(nèi)網(wǎng)這樣的高端用戶，聯(lián)動型掃描系統(tǒng)包括掃描服務(wù)器和移動掃描儀。掃描服務(wù)器部署于網(wǎng)絡(luò)中心，高速高效且穩(wěn)定的掃描防護(hù)整體網(wǎng)絡(luò)。移動掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻、主流 IDS 產(chǎn)品，多種主流聯(lián)動協(xié)議 Topsee、Opensec 聯(lián)動，與多種安全管理平臺兼容，統(tǒng)一安全策略配置，保障全網(wǎng)安全。通過部署多級聯(lián)動型產(chǎn)品實(shí)現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方便的通過控制掃描器就可以實(shí)現(xiàn)對多級管轄區(qū)域的服務(wù)器進(jìn)行統(tǒng)一和及時管理，實(shí)現(xiàn)對管轄區(qū)域服務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。網(wǎng)絡(luò)人員使用聯(lián)動型產(chǎn)品，就可以很方便的對 200 信息點(diǎn)以上的多個網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和 IDS、防火墻聯(lián)動，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時和多 IP 地址的自動掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報告，配合我們提供的三級服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。通過部署漏洞掃描的聯(lián)動設(shè)備，保障企業(yè)內(nèi)網(wǎng)重要部門的網(wǎng)絡(luò)安全的同時，提高每個部門的安全性就顯得尤其重要。只有部門的安全得到保證的前提下，企業(yè)內(nèi)網(wǎng)才能夠安全。我們對這些部門進(jìn)行合理的規(guī)劃，可以將這些部門根據(jù)統(tǒng)一的配置策略，給下屬部門、網(wǎng)絡(luò)管理應(yīng)用服務(wù)系統(tǒng)配置網(wǎng)絡(luò)聯(lián)動掃描系統(tǒng)來保證各個部門的安全性。這樣就可以很方便的管理信息點(diǎn)多、網(wǎng)絡(luò)環(huán)境較固定、24與企業(yè)的業(yè)務(wù)應(yīng)用緊密相關(guān)的內(nèi)網(wǎng)中。聯(lián)動掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時和多 IP 地址的自動掃描，網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時提供了 Web 方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)移動式掃描儀。移動式掃描儀手持式設(shè)計(jì)，使用簡單、靈活，攜帶方便。隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、復(fù)雜，各個網(wǎng)絡(luò)之間存在著防火墻、交換機(jī)等過濾機(jī)制的存在，隱患掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過濾，降低了掃描的時效性和準(zhǔn)確性。針對這種分布式的復(fù)雜網(wǎng)絡(luò)，移動式掃描儀能夠充分發(fā)揮自身可移動的優(yōu)勢，能夠很好的適應(yīng)這種分布式網(wǎng)絡(luò)掃描，移動掃描，隨時隨處保護(hù)網(wǎng)絡(luò)安全。圖 漏洞掃描系統(tǒng)部署方案在防火墻處部署聯(lián)動掃描系統(tǒng)，在部門交換機(jī)處部署移動式掃描儀，實(shí)現(xiàn)防火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。25第 5 章 安全方案測試 安全管理機(jī)構(gòu)的建設(shè)原則單位安全網(wǎng)內(nèi)網(wǎng)系統(tǒng)安全具有高度的敏感性和特殊性，通過設(shè)立專門的主管機(jī)關(guān)強(qiáng)制性執(zhí)行上述國家相關(guān)法規(guī)來進(jìn)行管理。信息安全管理機(jī)構(gòu)的職能建設(shè)遵照從上至下的垂直管理原則，即：上級機(jī)關(guān)信息安全管理機(jī)構(gòu)指導(dǎo)下一級機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的工作原則：下一級機(jī)關(guān)信息系統(tǒng)的安全管理機(jī)構(gòu)接受并執(zhí)行上一級機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的安全策略。信息系統(tǒng)的安全管理機(jī)構(gòu)，不隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信息系統(tǒng)安全管理機(jī)構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等有關(guān)方面的人員組成。能建設(shè)遵照從上至下的垂直管理原則，即：上級機(jī)關(guān)信息安全管理機(jī)構(gòu)指導(dǎo)下一級機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的工作原則：下一級機(jī)關(guān)信息系統(tǒng)的安全管理機(jī)構(gòu)接受并執(zhí)行上一級機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的安全策略。信息系統(tǒng)的安全管理機(jī)構(gòu)，不隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信息系統(tǒng)安全管理機(jī)構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等有關(guān)方面的人員組成。 網(wǎng)絡(luò)安全方案測? 隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要，國家和企業(yè)都對建立一個安全的網(wǎng)絡(luò)有了更高的要求。鑒于國家和各單位領(lǐng)導(dǎo)的重視，涉及信息安全的經(jīng)費(fèi)逐年增加，但是信息安全并不是在市場上所有安全產(chǎn)品的堆疊，因?yàn)檫@種堆疊不僅會在經(jīng)濟(jì)造成極大的浪費(fèi)、在人力上造成非常大浪費(fèi)，更重要的是它沒有達(dá)到防護(hù)的效果，因此完善的計(jì)算機(jī)網(wǎng)絡(luò)安全方案就顯得十分重要。一個特定的系統(tǒng)網(wǎng)絡(luò)安全方案，應(yīng)建立在對網(wǎng)絡(luò)風(fēng)險分析的基礎(chǔ)上，結(jié)合系統(tǒng)實(shí)際的應(yīng)用而做。由于各個系統(tǒng)的應(yīng)用不同，不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固定為一個模式，用這個模式去套所有的網(wǎng)絡(luò)系統(tǒng)。本系統(tǒng)通過網(wǎng)絡(luò)的連通性測試、各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)測試、網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)測試、實(shí)際數(shù)據(jù)傳輸?shù)臏y試均達(dá)到網(wǎng)絡(luò)管理的需求 展望本文實(shí)際上重點(diǎn)討論了對非授權(quán)用戶非法訪問網(wǎng)絡(luò)信息的保護(hù)方法，這是26和外界物理隔離的保密網(wǎng)絡(luò)現(xiàn)階段遇到的最為主要問題。系統(tǒng)管理人員應(yīng)該清楚在自己的系統(tǒng)上所注冊的合法用戶究竟都有哪些。他們各自的權(quán)限又在哪兒。其次詳細(xì)討論了針對計(jì)算機(jī)操作系統(tǒng)普遍存在的安全漏洞對用戶計(jì)算機(jī)的威脅，以及采取哪些防護(hù)手段。由于時間、精力的有限以及技術(shù)方面的不足，本文還存在著許多需要進(jìn)一步加以完善的工作：。，對于這方面的應(yīng)用要進(jìn)行深入研究。，這樣才能滿足安全統(tǒng)建設(shè)的需求。，但其合理性和適用性還有待研究。參考文獻(xiàn)[1] 孫立民, 韓慧蓮. 入侵檢測技術(shù)綜述[J]. 機(jī)械管理開發(fā), 2022,(01) [2] 薛開平, 洪佩琳, 李津生. 防火墻與入侵檢測系統(tǒng)的自動協(xié)同[J]. 安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報, 2022,(02) [3] 鹿建銀. 認(rèn)識入侵檢測系統(tǒng) IDS[J]. 消費(fèi)導(dǎo)刊, 2022,(09) [4] 馮景林. 網(wǎng)絡(luò)防火墻的安全技術(shù)[J]. 科技信息(科學(xué)教研), 2022,(13) [5] 張徐娟, 李建民. 防火墻與入侵檢測系統(tǒng)結(jié)合的安全模型設(shè)計(jì)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2022,(07) [6] 那罡. 入侵檢測系統(tǒng)未“死”[J]. 中國計(jì)算機(jī)用戶, 2022,(36) [7] 金雪花. 淺析網(wǎng)絡(luò)安全技術(shù)[J]. 中國科技信息, 2022,(05)[8] 科技辭典[J]. 天津科技, 2022,(03) [9] 梁羽. 基于 NIDS 的立體防御系統(tǒng)方案設(shè)計(jì)與探討[J]. 民營科技, 2022,(05) [10] 張琳, 黃仙姣. 淺談網(wǎng)絡(luò)安全技術(shù)[J]. 電腦知識與技術(shù)(學(xué)術(shù)交流), 2022,(11) [13] [D]. 中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2022,(10)27[14] [D]. 中國優(yōu)秀博碩士學(xué)位論文全文數(shù)據(jù)庫 (碩士),2022,(0