【正文】 如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點為阻塞點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。舉個例子，也許你的安全策略只需對MAIL服務(wù)器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。 防火墻的目的 防火墻的主要意圖是強制執(zhí)行你的安全策略。防火墻是一個或一組用于過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)包的系統(tǒng)。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻通過監(jiān)測、限制、更改通過”防火墻”的數(shù)據(jù)流，可以保護網(wǎng)絡(luò)系統(tǒng)不受來自外部的攻擊。到現(xiàn)在你要準備實施你的防火墻，需要知道你的公司需要什么樣的服務(wù)并且什么樣的服務(wù)對于內(nèi)部用戶和外部用戶都是有效的。它現(xiàn)在涉及到整個從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的區(qū)域，由一系列復(fù)雜的機器和程序組成。原來，一個防火墻是由一個單獨的機器組成的，放置在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。管理員能夠通過一個中央控制臺實現(xiàn)對所有的主機進行安全保護。主機保護軟件分割管理員權(quán)限，實施集中管理的強制訪問控制。這些安全隱患必須從應(yīng)用系統(tǒng)本身進行保護，實現(xiàn)統(tǒng)一用戶管理和統(tǒng)一授權(quán)。1. 身份認證技術(shù)用戶的訪問權(quán)限和口令的保護是提高系統(tǒng)安全性的重要保障。這樣的可靠和完備的審計機制對內(nèi)部入侵可以起到良好的預(yù)防作用，能夠被系統(tǒng)記錄下操作的痕跡，并有可能被追究責任而受到嚴厲的懲罰，對企圖破壞系統(tǒng)的內(nèi)部員工會起到威懾力量。入侵檢測系統(tǒng)可以實時監(jiān)控網(wǎng)絡(luò)上和主機上的事件，基于入侵的知識庫，可以有效的防止大多數(shù)的攻擊手段和訪問異常，并提供報警機和在線監(jiān)控能力，使管理員隨時獲得服務(wù)器網(wǎng)絡(luò)的安裝狀況的信息。此外，還可以通過網(wǎng)關(guān)過濾系統(tǒng)來保護免遭垃圾郵件的威脅。2. 網(wǎng)關(guān)過濾技術(shù)在之間通過網(wǎng)關(guān)過濾系統(tǒng)進行隔離，并合理的配置限制來自多種協(xié)議的病毒蠕蟲等攻擊，減少網(wǎng)絡(luò)和主機受攻擊的風險。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。 硬件故障等災(zāi)難性事故。 內(nèi)部用戶的網(wǎng)絡(luò)濫用和非法網(wǎng)絡(luò)行為；216。 數(shù)據(jù)庫的安全隱患使內(nèi)部用戶有機會篡改或破壞數(shù)據(jù)，或在數(shù)據(jù)庫系統(tǒng)中隱藏邏輯炸彈，構(gòu)成對企業(yè)核心業(yè)務(wù)的重大威脅；216。 口令管理不善會造成來自內(nèi)部用戶的對服務(wù)器的入侵和破壞； 216。威脅來源來自內(nèi)部環(huán)境的安全威脅主要有：216。服務(wù)器和網(wǎng)絡(luò)設(shè)備是我們保護的主要目標，但實際發(fā)生的安全問題往往是由于客戶端的安全問題引起的。同時，各個不同區(qū)域的安全管理制度也應(yīng)該根據(jù)區(qū)域的特點而有所不同。因此我們建議在項目建設(shè)的中期或后期采用安全評估和安全加固服務(wù)，在漏洞掃描系統(tǒng)供管理員日常對系統(tǒng)進行安全掃描的基礎(chǔ)上，根據(jù)掃描報告的加固建議進行安全隱患修復(fù)，還通過人工服務(wù)的方式進行安全隱患的發(fā)現(xiàn)和修復(fù)。數(shù)量眾多的設(shè)備、系統(tǒng)和應(yīng)用是導(dǎo)致安全隱患不斷出現(xiàn)的根本原因，我們不能指望通過一次的安全建設(shè)就達到完全的安全保護效果。安全統(tǒng)一管理平臺實現(xiàn)對所有安全設(shè)備和網(wǎng)絡(luò)設(shè)備的單點、集中管理，并在更高的層面上接收各種安全事件對這些事件進行深層的分析，統(tǒng)計和關(guān)聯(lián)，提供處理方法和建議，實現(xiàn)專家分析系統(tǒng)。我們建議在這個階段考慮實現(xiàn)完整的安全生命周期和建設(shè)統(tǒng)一的安全管理平臺。216?？蛻舳说谋Ｗo也是本階段的重點。 在安全建設(shè)中期，我們考慮關(guān)鍵服務(wù)器、客戶端和網(wǎng)絡(luò)主干設(shè)備的進一步保護?？蛻舳说谋Ｗo側(cè)重在防病毒和終端用戶管理方面，隨著安全管理的需求增加，我們建議考慮建立一個基本的安全管理制度。因此關(guān)鍵服務(wù)器和網(wǎng)絡(luò)主干設(shè)備等是我們考慮的重點。216。 有的放矢、各取所需原則：考慮性能價格的平衡，根據(jù)不同的網(wǎng)絡(luò)系統(tǒng)，側(cè)重不同求的安全需求。 權(quán)限分割、互相制約、最小化原則：實現(xiàn)權(quán)限最小原則。 自主和可控性原則：解決網(wǎng)絡(luò)安全產(chǎn)品的自主權(quán)和自控權(quán)問題，建立我們自主的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)。 設(shè)計為本原則：安全與保密系統(tǒng)的設(shè)計應(yīng)與網(wǎng)絡(luò)設(shè)計相結(jié)合，即在網(wǎng)絡(luò)進行總體設(shè)計時考慮安全系統(tǒng)的設(shè)計，二者合二為一。 信息安全系統(tǒng)的“動態(tài)化”原則：引入盡可能多的可變因素，并具有良好的擴展性。 216。216。216。216。216。網(wǎng)絡(luò)安全是一個循序漸進的過程，不可能一蹴而就。 內(nèi)網(wǎng)系統(tǒng)設(shè)計的安全防護系統(tǒng)主要考慮以下幾個方面：1) 整體和各級網(wǎng)絡(luò)結(jié)構(gòu)的正確規(guī)劃，網(wǎng)絡(luò)中設(shè)備的正確配置；2) 整體安全規(guī)范制度的確立，各級系統(tǒng)進行信息進行時需要正確依照安全通訊規(guī)則；3) 數(shù)據(jù)傳輸?shù)囊恢滦浴⑼暾砸约氨Ｃ苄?，確保數(shù)據(jù)在各級網(wǎng)絡(luò)中傳輸?shù)陌踩约懊鞔_各級信息的重要程度與不可否認性；4) 網(wǎng)絡(luò)安全防護，即數(shù)據(jù)出入各級網(wǎng)絡(luò)的安全檢查以及網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)傳輸?shù)陌踩珜徲嬇c管理如，安全網(wǎng)關(guān)，入侵檢測系統(tǒng)，網(wǎng)絡(luò)審計等技術(shù)的實施。更高層次的病毒防御目標是對病毒感染、發(fā)作、爆發(fā)的追蹤和控制。針對這些安全問題，我們可以采用的安全防護技術(shù)包括：病毒防御 － 企業(yè)級防病毒系統(tǒng)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該部署網(wǎng)絡(luò)級防病毒軟件，實現(xiàn)統(tǒng)一、跨平臺的分級管理，即：管理策略、病毒特征代碼可以進行統(tǒng)一的管理和分發(fā)，并可以實現(xiàn)分級管理。216。216。216。216。通過這些安全產(chǎn)品的部署和安全機制的實現(xiàn)，主要解決以下安全問題：216。所以，要求我們首先定位關(guān)鍵資源和關(guān)鍵的安全風險，以此為基點，先對關(guān)鍵資源和高危風險進行保護， 然后按照發(fā)散性的思路進行縱深層面的安全分析和擴展保護。5） 適應(yīng)性、靈活性原則：安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改，并能切合系統(tǒng)的狀況，滿足分階段實施的要求。4） 易操作性原則：安全措施要由人來完成，如果措施過于復(fù)雜，對操作人員的要求過高，本身就降低了安全性。3） 一致性原則：這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。一個計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。2） 綜合性、整體性原則：運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。對一個網(wǎng)絡(luò)要進行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。安全的努力依賴于許多因素，例如職員的調(diào)整、新業(yè)務(wù)應(yīng)用的實施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞。安全是一個過程而不是目的。一個所謂的安全系統(tǒng)實際上應(yīng)該是使入侵者花費不可接受的時間與金錢，并且承受很高的風險才能闖入系統(tǒng)。 由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。將網(wǎng)站分布在多個不同的物理主機上，這樣每一臺主機只包含了網(wǎng)站的一部分，防止了網(wǎng)站在遭受攻擊時全部癱瘓。在服務(wù)器上禁止一切不必要的服務(wù)，打補丁，進行安全配置。此外，也要時常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。 在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動正在進行，立即對入侵行動進行報警。最好請求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時允許訪問他們的路由器。DDoS攻擊對帶寬的使用是非常嚴格的，無論使用什么方法都無法使自己的網(wǎng)絡(luò)對它的上一級進行控制。由于攻擊者還很可能使用其他的服務(wù)來核實其攻擊的效果（例如web），所以對其他的標準服務(wù)也應(yīng)當有盡量詳細的日志記錄。如果ngrep發(fā)覺有攻擊行為的話，它會將其緩存中的內(nèi)容打印出來并繼續(xù)記錄ICMP回應(yīng)請求。 使用ngrep監(jiān)聽工具。攻擊者攻擊的永遠只是其中一臺服務(wù)器。如源地址、IP首部中的標識、TCP首部中的序列號、TTL值等，特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統(tǒng)的負荷（在這種情況下TTL值與攻擊報文不同的用戶就可以恢復(fù)正常訪問）網(wǎng)絡(luò)設(shè)備配合專業(yè)級的抗DOS攻擊產(chǎn)品。 第二種方法是設(shè)置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄。 第一種是縮短SYN Timeout時間，由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設(shè)置為20秒以下（過低的SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍的降低服務(wù)器的負荷。 加密216。 拋棄基于地址的信任策略216。 DoS攻擊216。216。 IP欺騙原理:216。 采用smurf攻擊216。 采用ICMP攻擊。 采用半連接技術(shù)SYN攻擊，和針對TCP/IP協(xié)議先天缺陷的的ACK攻擊。 DDoS攻擊利用路由器的多點傳送功能可以將攻擊效果擴大若干倍。 針對路由器的弱點的DDoS攻擊將會增多。 DDoS攻擊將會變得越來越智能化，試圖躲過網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測跟蹤，并試圖繞過防火墻防御體系。 DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進攻，轉(zhuǎn)變?yōu)橛啥鄠€攻擊源對單一目標進攻的趨勢。 DDoS攻擊特性216。對于不同的設(shè)備，這個數(shù)值可能是不同的，但是攻擊者僅需要測試84次即可找到正確的數(shù)值。 如果起用，瀏覽： ://route_ip_addr/anytest?/ 并且提供特權(quán)口令，則可以導(dǎo)致DoS攻擊，導(dǎo)致路由停機或者重啟。這是功能是Cisco路由的內(nèi)嵌功能。 Cisco基于拒絕服務(wù)攻擊HTTP的漏洞Cisco路由啟用(enable)遠程WEB管理，很容易遭受DoS。如TFN2K會產(chǎn)生大量的進程，每個進程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標的無法正常工作。部分操作系統(tǒng)（例如win95），不能很好處理過大的Ping包，導(dǎo)致出現(xiàn)了Ping to Death的攻擊方式（用大Ping包搞垮對方或者塞滿網(wǎng)絡(luò)），由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產(chǎn)生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當機。當多個系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時，最終將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。首先使這兩種UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種UDP服務(wù)之間互相通信，使一方的輸出成為另一方的輸入。制止了這個映射過程，自己的系統(tǒng)就不會再收到這些echo請求。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網(wǎng)絡(luò)。這樣可以使欺騙性分組無法找到反彈站點。阻塞Smurf攻擊的源頭 Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請求。由于多數(shù)系統(tǒng)都會盡快地處理ICMP傳輸信息，Attacker把分組的源地址設(shè)置為目標系統(tǒng)，因些目標系統(tǒng)都很快就會被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)服務(wù)。網(wǎng)段中的所有主機都會向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)。 FunTime ApocalypseSyn FloodSYN Flood是當前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。 TFN216。 應(yīng)用級別的拒絕服務(wù)（pcanywhere）DDoS攻擊類型216。 TARGA3(堆棧突破) 216。 Udp Flood216。 Syn Flood216。 DDoS （Distributed Denial of service） 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠程機器，以產(chǎn)生隨機匿名的拒絕服務(wù)攻擊和遠程訪問。 交換機針對CDP攻擊說明:Cisco專用協(xié)議，用來發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備鏈路層幀，30s發(fā)送一次可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認打開危害:任何人可以輕松得到整個網(wǎng)絡(luò)信息,可以被利用發(fā)起DoS攻擊：對策:如不需要，禁止CDP,禁止UserEnd端口的CDP 交換機針對STP攻擊說明:Spanning Tree Protocol防止交換網(wǎng)絡(luò)產(chǎn)生回路Root BridgeBPDUbridge ID, path cost, interface攻擊:強制接管root bridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時，可以導(dǎo)致某些端口暫時失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。 審計及安全監(jiān)控；216。 配備軟硬件的支持及維護；216。 物理安全；216。 定義什么工作可以進行、工作的時間、要保存的信息分類以及遠程工作者被授權(quán)可以訪問的內(nèi)部系統(tǒng)及服務(wù)；216。 工作環(huán)境內(nèi)的其他人（例如親人及朋友）非法訪問信息或資源的威脅要考慮的管理及安排有：216。 建議的遠程工作環(huán)境；216。機構(gòu)應(yīng)只授權(quán)已有合適的安全安排及管理的遠程工作活動，并要求要與機構(gòu)的安全策略一致，要考慮的有：216。要注意由管理層授權(quán)及管理遠程工作，保證實施了保護措施使遠程工作安全。更多關(guān)于如何物理保護移動設(shè)備的方法應(yīng)提供培訓(xùn)給使用移動設(shè)備的員工，提高他們的認識，明白這樣的工作方式所帶來的風險，以及有什么管理辦法可以使移動工作更安全。移動計算機的設(shè)備應(yīng)保護不被盜取，特別是放在汽車或其它交通工具、飯店房間、會議中心等情況下。應(yīng)保護移動設(shè)備到網(wǎng)絡(luò)的連接。應(yīng)有隨時可用的設(shè)備，以便快速、輕松地備份信息。重要的是，要注意在公共場所使用移動設(shè)備時，小心不要被不認識的人在后面偷看。應(yīng)頒布正式的策略，對付移動操作的風險，舉例，策略應(yīng)包括物理保護的要求、訪問控制和密碼控制技術(shù)、備份、防病毒等等，以及連接移動設(shè)備到網(wǎng)絡(luò)的規(guī)定及建議，如何在公共場所使用這些設(shè)備的指引。 至于遠程工作模式，機構(gòu)應(yīng)保護遠程工作的地點，并保證有合適的措施，保護在這樣的環(huán)境工作的安全。應(yīng)考慮在這些情況有哪些風險后才決定要指定那些策略。因為有些時鐘會隨時間變快或變慢，所以，應(yīng)有一個程序