【正文】 拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人. 學習好幫手。不奮斗就是每天都很容易，可一年一年越來越難。是狼就要練好牙，是羊就要練好腿。(2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。 (3) 該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。由于電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。 (7) 小心設(shè)置Web服務(wù)器的訪問控制表。如新的CGI應(yīng)用。 (4) 經(jīng)常審查Web服務(wù)器配置情況及運行日志。 (2) 在Web服務(wù)器上安裝實時安全監(jiān)控軟件。 但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。由于其重要性，成為Hacker攻擊的首選目標之一。 (3) 對付DenialofService攻擊，應(yīng)設(shè)計備份域名服務(wù)器。主要的措施有： (1) 內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測的查詢ID可欺騙域名服務(wù)器給出錯誤的主機名IP對應(yīng)關(guān)系。 但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。域名服務(wù) Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。八. 應(yīng)用系統(tǒng)的安全技術(shù) 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。 在為遠程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。 ISAKMP/，因此，使VPN能夠容易地擴大到企業(yè)級。 Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。 Ipsec提供了兩種加密通訊手段： Ipsec Tunnel：整個IP封裝在Ipsec報文。 Ipsec包含兩個部分： (1) IP security Protocol proper，定義Ipsec報文格式。該標準為每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPSEC IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在1998年將確定為IETF標準，是VPN實現(xiàn)的Internet標準。 類 型技 術(shù)用 途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認證密鑰RSA驗證加密密鑰表1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。 通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。偽造數(shù)字簽名從計算能力上是不可行的。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。通訊主體真實性確認網(wǎng)絡(luò)上的計算機不被假冒。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)接入到internet，暴露出兩個主要危險：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。 該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。后面描述了基于PKI認證的基本原理。 基于PKI的認證 使用公開密鑰體系進行認證和加密。 使用摘要算法的認證 Radius(撥號認證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。 (2) 基于PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。 (7) 電子郵件通訊雙方的認證。 (5) 撥號訪問服務(wù)器與客戶間的認證。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認證。 (2) 操作系統(tǒng)認證。六. 認證和數(shù)宇簽名技術(shù) 認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進建議。 (5) 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。通常提供強大的工具構(gòu)造特定的攻擊方法。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 (2) 網(wǎng)絡(luò)拓撲。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： (1) 速度。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。 (5) 模式更新速度。 (3) 自身安全的完備性。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。 基于主機及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式： (1) 在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。 (5) 防入侵欺騙的能力較差。 (3) 監(jiān)視粒度更細致。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 (4) 針對不同操作系統(tǒng)特點。 (2) 高級，可以判斷應(yīng)用層的入侵事件。 (4) Storage保存分析結(jié)果及相關(guān)數(shù)據(jù)。 (2) PatternMatching Signature Analysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。 入侵檢測系統(tǒng)可分為兩類：√ 基