【正文】 并且對于公網隱藏了你內部系統(tǒng)的一些信息以增加保密性。防火墻對于管理員進行日志存檔提供了更多的信息。通過在防火墻上實現日志服務，安全管理員可以監(jiān)視所有從外部網或互聯網的訪問。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。網絡安全產業(yè)稱這些檢查點為阻塞點。這種實現要求所有的流量都要通過這個檢查點。舉個例子，也許你的安全策略只需對MAIL服務器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。 防火墻的目的 防火墻的主要意圖是強制執(zhí)行你的安全策略。防火墻是一個或一組用于過濾進、出網絡的數據包的系統(tǒng)。作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。防火墻通過監(jiān)測、限制、更改通過”防火墻”的數據流，可以保護網絡系統(tǒng)不受來自外部的攻擊。到現在你要準備實施你的防火墻，需要知道你的公司需要什么樣的服務并且什么樣的服務對于內部用戶和外部用戶都是有效的。它現在涉及到整個從內部網絡到外部網絡的區(qū)域，由一系列復雜的機器和程序組成。原來，一個防火墻是由一個單獨的機器組成的，放置在你的私有網絡和公網之間。管理員能夠通過一個中央控制臺實現對所有的主機進行安全保護。主機保護軟件分割管理員權限，實施集中管理的強制訪問控制。這些安全隱患必須從應用系統(tǒng)本身進行保護，實現統(tǒng)一用戶管理和統(tǒng)一授權。1. 身份認證技術用戶的訪問權限和口令的保護是提高系統(tǒng)安全性的重要保障。這樣的可靠和完備的審計機制對內部入侵可以起到良好的預防作用，能夠被系統(tǒng)記錄下操作的痕跡，并有可能被追究責任而受到嚴厲的懲罰，對企圖破壞系統(tǒng)的內部員工會起到威懾力量。入侵檢測系統(tǒng)可以實時監(jiān)控網絡上和主機上的事件，基于入侵的知識庫，可以有效的防止大多數的攻擊手段和訪問異常，并提供報警機和在線監(jiān)控能力，使管理員隨時獲得服務器網絡的安裝狀況的信息。此外，還可以通過網關過濾系統(tǒng)來保護免遭垃圾郵件的威脅。2. 網關過濾技術在之間通過網關過濾系統(tǒng)進行隔離，并合理的配置限制來自多種協議的病毒蠕蟲等攻擊，減少網絡和主機受攻擊的風險。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。 硬件故障等災難性事故。 內部用戶的網絡濫用和非法網絡行為；216。 數據庫的安全隱患使內部用戶有機會篡改或破壞數據，或在數據庫系統(tǒng)中隱藏邏輯炸彈，構成對企業(yè)核心業(yè)務的重大威脅；216。 口令管理不善會造成來自內部用戶的對服務器的入侵和破壞； 216。威脅來源來自內部環(huán)境的安全威脅主要有：216。服務器和網絡設備是我們保護的主要目標，但實際發(fā)生的安全問題往往是由于客戶端的安全問題引起的。同時，各個不同區(qū)域的安全管理制度也應該根據區(qū)域的特點而有所不同。因此我們建議在項目建設的中期或后期采用安全評估和安全加固服務，在漏洞掃描系統(tǒng)供管理員日常對系統(tǒng)進行安全掃描的基礎上，根據掃描報告的加固建議進行安全隱患修復，還通過人工服務的方式進行安全隱患的發(fā)現和修復。數量眾多的設備、系統(tǒng)和應用是導致安全隱患不斷出現的根本原因，我們不能指望通過一次的安全建設就達到完全的安全保護效果。安全統(tǒng)一管理平臺實現對所有安全設備和網絡設備的單點、集中管理，并在更高的層面上接收各種安全事件對這些事件進行深層的分析，統(tǒng)計和關聯，提供處理方法和建議，實現專家分析系統(tǒng)。我們建議在這個階段考慮實現完整的安全生命周期和建設統(tǒng)一的安全管理平臺。216。客戶端的保護也是本階段的重點。 在安全建設中期，我們考慮關鍵服務器、客戶端和網絡主干設備的進一步保護?？蛻舳说谋Ｗo側重在防病毒和終端用戶管理方面，隨著安全管理的需求增加，我們建議考慮建立一個基本的安全管理制度。因此關鍵服務器和網絡主干設備等是我們考慮的重點。216。 有的放矢、各取所需原則：考慮性能價格的平衡，根據不同的網絡系統(tǒng)，側重不同求的安全需求。 權限分割、互相制約、最小化原則：實現權限最小原則。 自主和可控性原則：解決網絡安全產品的自主權和自控權問題，建立我們自主的網絡安全產品和產業(yè)。 設計為本原則：安全與保密系統(tǒng)的設計應與網絡設計相結合，即在網絡進行總體設計時考慮安全系統(tǒng)的設計，二者合二為一。 信息安全系統(tǒng)的“動態(tài)化”原則：引入盡可能多的可變因素，并具有良好的擴展性。 216。216。216。216。216。網絡安全是一個循序漸進的過程，不可能一蹴而就。 內網系統(tǒng)設計的安全防護系統(tǒng)主要考慮以下幾個方面：1) 整體和各級網絡結構的正確規(guī)劃，網絡中設備的正確配置；2) 整體安全規(guī)范制度的確立，各級系統(tǒng)進行信息進行時需要正確依照安全通訊規(guī)則；3) 數據傳輸的一致性、完整性以及保密性，確保數據在各級網絡中傳輸的安全，以及明確各級信息的重要程度與不可否認性；4) 網絡安全防護，即數據出入各級網絡的安全檢查以及網絡內部數據傳輸的安全審計與管理如，安全網關，入侵檢測系統(tǒng)，網絡審計等技術的實施。更高層次的病毒防御目標是對病毒感染、發(fā)作、爆發(fā)的追蹤和控制。針對這些安全問題，我們可以采用的安全防護技術包括：病毒防御 － 企業(yè)級防病毒系統(tǒng)內網網絡系統(tǒng)中應該部署網絡級防病毒軟件，實現統(tǒng)一、跨平臺的分級管理，即：管理策略、病毒特征代碼可以進行統(tǒng)一的管理和分發(fā)，并可以實現分級管理。216。216。216。216。通過這些安全產品的部署和安全機制的實現，主要解決以下安全問題：216。所以，要求我們首先定位關鍵資源和關鍵的安全風險，以此為基點，先對關鍵資源和高危風險進行保護， 然后按照發(fā)散性的思路進行縱深層面的安全分析和擴展保護。5） 適應性、靈活性原則：安全措施必須能隨著網絡性能及安全需求的變化而變化，要容易適應、容易修改，并能切合系統(tǒng)的狀況，滿足分階段實施的要求。4） 易操作性原則：安全措施要由人來完成，如果措施過于復雜，對操作人員的要求過高，本身就降低了安全性。3） 一致性原則：這主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。一個計算機網絡包括個人、設備、軟件、數據等環(huán)節(jié)。2） 綜合性、整體性原則：運用系統(tǒng)工程的觀點、方法，分析網絡的安全問題，并制定具體措施。對一個網絡要進行實際分析，對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。安全的努力依賴于許多因素，例如職員的調整、新業(yè)務應用的實施、新攻擊技術與工具的導入和安全漏洞。安全是一個過程而不是目的。一個所謂的安全系統(tǒng)實際上應該是使入侵者花費不可接受的時間與金錢，并且承受很高的風險才能闖入系統(tǒng)。 由于系統(tǒng)日志屬于電子證據，可以被非法修改。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。將網站分布在多個不同的物理主機上，這樣每一臺主機只包含了網站的一部分，防止了網站在遭受攻擊時全部癱瘓。在服務器上禁止一切不必要的服務，打補丁，進行安全配置。此外，也要時常監(jiān)控網絡流量，注意是否有異常的流量產生。 在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現是否有入侵行動正在進行，立即對入侵行動進行報警。最好請求服務提供商幫監(jiān)視網絡流量，并在遭受攻擊時允許訪問他們的路由器。DDoS攻擊對帶寬的使用是非常嚴格的，無論使用什么方法都無法使自己的網絡對它的上一級進行控制。由于攻擊者還很可能使用其他的服務來核實其攻擊的效果（例如web），所以對其他的標準服務也應當有盡量詳細的日志記錄。如果ngrep發(fā)覺有攻擊行為的話，它會將其緩存中的內容打印出來并繼續(xù)記錄ICMP回應請求。 使用ngrep監(jiān)聽工具。攻擊者攻擊的永遠只是其中一臺服務器。如源地址、IP首部中的標識、TCP首部中的序列號、TTL值等，特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統(tǒng)的負荷（在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問）網絡設備配合專業(yè)級的抗DOS攻擊產品。 第二種方法是設置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續(xù)受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄。 第一種是縮短SYN Timeout時間，由于SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設置為20秒以下（過低的SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。 加密216。 拋棄基于地址的信任策略216。 DoS攻擊216。216。 IP欺騙原理:216。 采用smurf攻擊216。 采用ICMP攻擊。 采用半連接技術SYN攻擊，和針對TCP/IP協議先天缺陷的的ACK攻擊。 DDoS攻擊利用路由器的多點傳送功能可以將攻擊效果擴大若干倍。 針對路由器的弱點的DDoS攻擊將會增多。 DDoS攻擊將會變得越來越智能化，試圖躲過網絡入侵檢測系統(tǒng)的檢測跟蹤，并試圖繞過防火墻防御體系。 DDoS攻擊呈現由單一攻擊源發(fā)起進攻，轉變?yōu)橛啥鄠€攻擊源對單一目標進攻的趨勢。 DDoS攻擊特性216。對于不同的設備，這個數值可能是不同的，但是攻擊者僅需要測試84次即可找到正確的數值。 如果起用，瀏覽： ://route_ip_addr/anytest?/ 并且提供特權口令，則可以導致DoS攻擊，導致路由停機或者重啟。這是功能是Cisco路由的內嵌功能。 Cisco基于拒絕服務攻擊HTTP的漏洞Cisco路由啟用(enable)遠程WEB管理，很容易遭受DoS。如TFN2K會產生大量的進程，每個進程都不停地發(fā)送PING包，從而導致被攻擊目標的無法正常工作。部分操作系統(tǒng)（例如win95），不能很好處理過大的Ping包，導致出現了Ping to Death的攻擊方式（用大Ping包搞垮對方或者塞滿網絡），由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。當多個系統(tǒng)之間互相產生UDP數據包時，最終將導致整個網絡癱瘓。首先使這兩種UDP服務都產生輸出，然后讓這兩種UDP服務之間互相通信，使一方的輸出成為另一方的輸入。制止了這個映射過程，自己的系統(tǒng)就不會再收到這些echo請求。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網絡。這樣可以使欺騙性分組無法找到反彈站點。阻塞Smurf攻擊的源頭 Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請求。由于多數系統(tǒng)都會盡快地處理ICMP傳輸信息，Attacker把分組的源地址設置為目標系統(tǒng)，因些目標系統(tǒng)都很快就會被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網絡傳輸，從而引起拒絕為正常系統(tǒng)服務。網段中的所有主機都會向欺騙性分組的IP地址發(fā)送echo響應信息。這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務。 FunTime ApocalypseSyn FloodSYN Flood是當前最流行的DoS（拒絕服務攻擊）與DDoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。 TFN216。 應用級別的拒絕服務（pcanywhere）DDoS攻擊類型216。 TARGA3(堆棧突破) 216。 Udp Flood216。 Syn Flood216。 DDoS （Distributed Denial of service） 分布式拒絕服務攻擊使用了分布式客戶服務器功能，加密技術及其它類的功能，它能被用于控制任意數量的遠程機器，以產生隨機匿名的拒絕服務攻擊和遠程訪問。 交換機針對CDP攻擊說明:Cisco專用協議，用來發(fā)現周邊相鄰的網絡設備鏈路層幀，30s發(fā)送一次可以得到相鄰設備名稱，操作系統(tǒng)版本，接口數量和類型，接口IP地址等關鍵信息在所有接口上默認打開危害:任何人可以輕松得到整個網絡信息,可以被利用發(fā)起DoS攻擊：對策:如不需要，禁止CDP,禁止UserEnd端口的CDP 交換機針對STP攻擊說明:Spanning Tree Protocol防止交換網絡產生回路Root BridgeBPDUbridge ID, path cost, interface攻擊:強制接管root bridge，導致網絡邏輯結構改變，在重新生成STP時，可以導致某些端口暫時失效，可以監(jiān)聽大部份網絡流量。 審計及安全監(jiān)控；216。 配備軟硬件的支持及維護；216。 物理安全；216。 定義什么工作可以進行、工作的時間、要保存的信息分類以及遠程工作者被授權可以訪問的內部系統(tǒng)及服務；216。 工作環(huán)境內的其他人（例如親人及朋友）非法訪問信息或資源的威脅要考慮的管理及安排有：216。 建議的遠程工作環(huán)境；216。機構應只授權已有合適的安全安排及管理的遠程工作活動，并要求要與機構的安全策略一致，要考慮的有：216。要注意由管理層授權及管理遠程工作，保證實施了保護措施使遠程工作安全。更多關于如何物理保護移動設備的方法應提供培訓給使用移動設備的員工，提高他們的認識，明白這樣的工作方式所帶來的風險，以及有什么管理辦法可以使移動工作更安全。移動計算機的設備應保護不被盜取，特別是放在汽車或其它交通工具、飯店房間、會議中心等情況下。應保護移動設備到網絡的連接。應有隨時可用的設備，以便快速、輕松地備份信息。重要的是，要注意在公共場所使用移動設備時，小心不要被不認識的人在后面偷看。應頒布正式的策略，對付移動操作的風險，舉例，策略應包括物理保護的要求、訪問控制和密碼控制技術、備份、防病毒等等，以及連接移動設備到網絡的規(guī)定及建議，如何在公共場所使用這些設備的指引。 至于遠程工作模式，機