【正文】 更進(jìn)一步講，用戶和管理員不能替換任意的可執(zhí)行文件，他們也無法擁有系統(tǒng)級 的帳號，因此，黑客無法針對系統(tǒng)進(jìn)行權(quán)限升級的攻擊。系統(tǒng)管理員可以通過用系統(tǒng)的日志管理器或外部的 SYSLOG 服務(wù)器審計(jì)的資源或應(yīng)用程序?qū)我挥脩舻脑L問采取一些操作。 5) 審計(jì) 系統(tǒng)產(chǎn)生細(xì)化的日志，該日志存儲在本地，系統(tǒng)也可以將這些信息發(fā)送到SYSLOG 服務(wù)器。通過 Web 請求，該令牌被保存在一個加密的會話 Cookie 中。每個到系統(tǒng)的子請求根據(jù)該會話進(jìn)行認(rèn)證，系統(tǒng)對非法登錄請求的頻率進(jìn)行限制，防止字典攻擊。 4） 用戶鑒別和認(rèn)證 SSL VPN 安全接入系統(tǒng)集成了領(lǐng)先的認(rèn)證系統(tǒng)，包括雙因子系統(tǒng)和客戶端證書系統(tǒng)。 SSL 有效地阻止了人為的服務(wù)器欺騙和數(shù)據(jù)完整性的攻擊，因?yàn)椋? 所有通訊采用 128 位密鑰加密 系統(tǒng)通過證書進(jìn)行認(rèn)證 SSL VPN 安全接入也可選來支持客戶端證書，它可以通過基于 的證書對用戶 進(jìn)行鑒別。 3) 數(shù)據(jù)的完整性和機(jī)密性 SSL VPN 安全接入使用世界范圍的 Inter 安全標(biāo)準(zhǔn)協(xié)議： Secure Sockets 第 39 頁 共 61 頁 Layer (SSL)。該特性使得系統(tǒng)使用預(yù)定義的控 制網(wǎng)絡(luò)流量的規(guī)則組在接受之前在不同階段對流量進(jìn)行驗(yàn)證。 IVE 系統(tǒng)即不允許管理員創(chuàng)建也不允許維護(hù)系統(tǒng)級的用戶帳號，因?yàn)闆]有交互式的 Shell 和打開的系統(tǒng)帳號，潛在的入侵者無法嘗試?yán)么嗳醯目诹?、缺省帳號或遺棄的帳號對系統(tǒng)進(jìn)行非授權(quán)的訪問。系統(tǒng)可以通 過只運(yùn)行完成關(guān)鍵任務(wù)的服務(wù)來防止攻擊，這些關(guān)鍵的服務(wù)在開發(fā)時就進(jìn)行了安全加固，確保系統(tǒng)的安全性。此外，還支持一次登錄訪問多個需認(rèn)證的應(yīng)用的功能（基于 cookie 的認(rèn)證），為遠(yuǎn)程安全接入用戶提供方便。對屬于多個角色的用戶可以一次性地給該用戶 多個角色的總和，也可以讓用戶選擇采用某個角色進(jìn)行應(yīng)用訪問； 資源訪問策略：對于不同的應(yīng)用資源，管理員可以提供不同的訪問策 第 38 頁 共 61 頁 略，作為第三層的訪問控制手段； Juniper Netscreen IVE 系統(tǒng)支持?jǐn)?shù)字證書的使用，支持多種認(rèn)證服務(wù)器（包括 RADIUS、 LDAP、 Windows NT Domain、 Active Directory、 UNIX NIS、 dual factor認(rèn)證，包 括 ActivCard ActivPack? 、 RSA SecurID174。 Juniper Netscreen 的 IVE 系統(tǒng)可以支持廣泛的企業(yè)應(yīng)用，包括： 第 37 頁 共 61 頁 基于 Web 的各項(xiàng)應(yīng)用，包括瀏覽企業(yè)內(nèi)網(wǎng)、訪問基于 web 的 outlook和 iNotes； 基于 Microsoft Exchange 和 Lotus Notes 郵件系統(tǒng)、以及其他基于IMAP POP3 和 SMTP 的標(biāo)準(zhǔn)的郵件應(yīng)用； 對于文件服務(wù)器的文件及目錄共享控制提供支持，方便用戶上傳、下傳文件； Tel/SSH； 對大多數(shù) cient/server 應(yīng)用提供支持； 網(wǎng)絡(luò)全連接方式（即 PC 的全部流量都可以通過 SSL VPN 到達(dá)企業(yè)內(nèi)網(wǎng)）； 個人防火墻 /防病毒軟件等強(qiáng)制性檢查； 對于來自非安全設(shè)備或臨時訪問設(shè)備（如網(wǎng)吧）的訪問，強(qiáng)制 cache 清除。 建議在 XX 電力實(shí)施的 SSL VPN 安全接入的網(wǎng)絡(luò)拓?fù)涫痉秷D如下： 建議初期僅提供基于 Inter 的 SSL VPN 安全接入服務(wù)。 除了對 web 和 等應(yīng)用的支持外， Juniper Netscreen SA 對非 web 的許多客戶端 /服務(wù)器應(yīng)用也提供很好的支持， Juniper Netscreen IVE 雖然將 這些應(yīng)用轉(zhuǎn)化為 SSL 標(biāo)準(zhǔn)數(shù)據(jù)流，但并不影響這些應(yīng)用，例如，文件仍然可以下載到本地。而且用戶還可以自行定義強(qiáng)制檢查其它的運(yùn)行程序或windows 注冊表項(xiàng)目。 同時， Juniper NetscreenSA 系列的遠(yuǎn)程接入產(chǎn)品可以強(qiáng)制對遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要 求。本方案建議使用 Juniper Netscreen的 SSL VPN 產(chǎn) 品。所有基于 IP 協(xié)議的服務(wù) 用戶 客戶、合作伙伴用戶、遠(yuǎn)程用戶、供應(yīng)商等 更適用于企業(yè)內(nèi)部使用 可伸縮性 容易配置和擴(kuò)展 在服務(wù)器端容易實(shí)現(xiàn)自由伸縮，在客戶端比較困難 方案建議 安全協(xié)議安全套接層（ SSL）技術(shù)是一項(xiàng)在 互聯(lián)網(wǎng) 上廣泛實(shí)施的標(biāo)準(zhǔn)安全協(xié)議，全面支持認(rèn)證和加密，所有標(biāo)準(zhǔn) web 瀏覽器都支持 SSL。文件共享 無需終端用戶的培訓(xùn) 支持的應(yīng)用 對沒有相應(yīng)技術(shù)的用戶比較困難 需要客戶端軟件或者硬件 用戶的易使用性 無需任何附加的客戶端軟、硬件安裝 高（需要管理客戶端軟件） 安裝 僅對從客戶到 VPN 網(wǎng)關(guān)之間通道加密 可訪問性 選用于任何時間、任何地點(diǎn)訪問 限制適用于已經(jīng)定義好受控用戶的訪問 費(fèi)用 從客戶到資源端全程加密 依靠執(zhí)行 全程安全性 基于 Web 瀏 覽器 數(shù)字證書 加密 數(shù)字證書 單向身份驗(yàn)證 兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢，我們建議：在實(shí)施固定的站點(diǎn)到站點(diǎn)的 VPN 和復(fù)雜應(yīng)用的移動用戶接入VPN 時 ，采用 IPsec 技術(shù)；在實(shí)施普通應(yīng)用的移動用戶接入 VPN 時，采用 SSL技術(shù)，原因是 SSL 無需在客戶端安裝客戶端軟件、實(shí)施和維護(hù)靈活簡單、不受地址翻譯影響、控制策略更加細(xì)化、總體擁有成本較低，而且由于 SSL VPN 不是打開一個網(wǎng)絡(luò)層通道，而只是提供了聯(lián)系應(yīng)用層請求的固化網(wǎng)絡(luò)接口，所以提高了與 VPN 相關(guān)的整個系統(tǒng)的安全性。然而，要享受通過 互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部的信息資源的便利，就需要實(shí)施適當(dāng)?shù)男畔踩呗裕趪?yán)格防止 第 34 頁 共 61 頁 企業(yè)信息資源被非法竊取的同時，對合法的訪問要提供方便，同時還需盡量降低信息安全策略的實(shí)施和維護(hù)成本。 Juniper 網(wǎng)絡(luò)公司的集中管理方法使企業(yè)可 以在安全性和接入功能之間達(dá)成平衡，這對于當(dāng)今的企業(yè)非常重要 第 33 頁 共 61 頁 SSL VPN 安全接入系統(tǒng)建設(shè) 安全接入技術(shù)的選擇 隨著信息技術(shù)的快速發(fā)展，為了提高服務(wù)的質(zhì)量和水平、在市場競爭中取得優(yōu)勢，企業(yè)建立了內(nèi)部局域網(wǎng)，使內(nèi)部辦公人員通過網(wǎng)絡(luò)可以迅速地獲取信息。 通過 NetScreenSecurity Manager， Juniper 網(wǎng)絡(luò)公司可以為企業(yè)提供全面的管理工具。 SSP 可以通過 AES加密和 SHA1 認(rèn)證來提供受到有效保護(hù)的端到端安全通信功能。利用內(nèi)置的報(bào)告功能，管理員還可以迅速生成報(bào)告來進(jìn)行調(diào)查研究或查看是否符合要求。同時，只要是能夠通過 NetScreenSecurity Manager 進(jìn)行配置的設(shè)備的各個方面都可以通過 CLI 接入。為了實(shí)現(xiàn)這一目標(biāo)，NetScreenSecurity Manager 提供了一個綜合管理界面以便從一個集中位置上控制所有設(shè)備參數(shù)。在這種情況下，接入權(quán)限和任務(wù)直接與他們的理想團(tuán)隊(duì)結(jié)構(gòu)相對應(yīng)。他們可以允許或限制公司內(nèi)不同個人或部門接入信息，從而使員工可以作出與他們的角色相適應(yīng)的決策。 NetScreenSecurity Manager 可以清楚地分配角色和職責(zé)，從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過相互協(xié)作來提高網(wǎng)絡(luò)管理效率，減少開銷并降低運(yùn)營成本。 通過提供集中的端到端生命周期管理來實(shí)現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置和安全策略控制， Juniper 網(wǎng)絡(luò)公司 NetScreenSecurity Manager 采用了一種全新的方法來實(shí)現(xiàn)安全 管理。 當(dāng)攻擊特征碼優(yōu)化到誤報(bào)率很低的程度后，我們對大部分攻擊都可以采用在線阻擋的模式，這樣的話，就可以完全實(shí)現(xiàn) IDP 應(yīng)用層防護(hù)模塊的全部功能，大大減少了網(wǎng)絡(luò)管理員安全響應(yīng)額時間和工作量。在這個時期，我們可以對于一些比較肯定和威脅很大的攻擊，在規(guī)則中配置成阻斷攻擊。在這個時期，我們可以通過調(diào)整攻擊特征碼，自定制攻擊特征等手段，來減少網(wǎng)絡(luò)攻擊的漏報(bào)率和誤報(bào)率，提高攻擊檢測的準(zhǔn)確性。 后門檢測是檢測蠕蟲和特洛伊木馬的唯一方式 ： ? 查看交互式流量 ? 根據(jù)管理員的定義檢測未授權(quán)的交互式流量 ? 檢測每個后門，即使流量已加密或者協(xié)議是未知 IDP 應(yīng)用層防護(hù)的步驟 Juniper 的 ISG 防火墻的 IDP 應(yīng)用層防護(hù)模塊可以提供兩種的接入模式，Active 模式和 Inline_Tap 模式，由于攻擊檢測本身所具有的誤報(bào)性，建議用戶在使用 ISG 防火墻系統(tǒng)的 IDP 應(yīng)用層保護(hù)模塊的時候，可以采用如下的配置步驟： 1. 通過防火墻安全策略的定制，將需要進(jìn)行應(yīng)用層攻擊檢測和防護(hù)的流量傳給應(yīng)用層防護(hù)模塊，對于其他的無關(guān)緊要的網(wǎng)絡(luò)數(shù)據(jù)流量，可以不需要通過應(yīng)用層保護(hù)模塊，只通過防火墻的檢測就可以保證其安全性，這樣的配置可以保證在將敏感數(shù)據(jù)進(jìn)行了攻擊檢測的同時，最大限度的保證網(wǎng)絡(luò)的性能，提高網(wǎng)絡(luò)吞吐量，減少網(wǎng)絡(luò)延遲。然后，攻擊者嘗試以不同的命令發(fā)起對系統(tǒng)的攻擊，或者威脅其它系統(tǒng)的安全。 后門檢測 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 是可以識別并抵御后門攻擊的產(chǎn)品。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模塊 是第一種支持多種協(xié)議的產(chǎn)品，包括 SNMP（保護(hù) 60,000 多個薄弱點(diǎn)）和 SMB（保 第 30 頁 共 61 頁 護(hù)運(yùn)行于內(nèi)部系統(tǒng)中的基于 Windows 的薄弱點(diǎn)）。協(xié)議異常檢測與其所支持的多種協(xié)議具有同樣的效力。以緩沖器溢出為例（見下圖），攻擊者在服務(wù)器的許可下使服務(wù)器運(yùn)行攻擊者的代碼，從而獲得機(jī)器的全部訪問權(quán)限。協(xié)議異常檢測可用于識別與 正常 流量協(xié)議不同的攻擊?？梢詫ι鲜龅姆钦ＴL問進(jìn)行檢測和阻擋。這樣，檢測性能將顯著提高，而且錯誤告警的數(shù)量也大大減少。 然而，狀態(tài)簽名方法可以跟蹤并了解通信狀態(tài)，因此可縮小與可能發(fā)生攻擊的特定站點(diǎn)相匹配的模式范圍（通信模式和流方向 表示客戶機(jī)至服務(wù) 器或服務(wù)器至客戶機(jī)的流量）。此外，開放式簽名格式和簽名編輯器可用于迅速修改或添加簽名。 Juniper網(wǎng)絡(luò)公司 ISG 防火墻中的 IDP 應(yīng)用層防護(hù)模 塊 采用狀態(tài)簽名檢測方法，僅在登錄序列中查找字符串 root，這種方法可準(zhǔn)確地檢測出攻擊。傳統(tǒng)的基 第 29 頁 共 61 頁 于簽名的入侵檢測系統(tǒng)在流量流的任意部分尋找攻擊模式，從而導(dǎo)致較高的錯誤告警幾率。狀態(tài)簽名設(shè)計(jì)用于大幅度提高檢測性能，并減少目前市場上基于簽名的入侵檢測系統(tǒng)的錯誤告警。 復(fù)合簽名 將狀態(tài)簽名和協(xié)議異常結(jié)合在一起，檢測單個會話中的復(fù)雜攻擊。 MMD 中采用的檢測方法包括： 機(jī) 制 說 明 狀態(tài)簽名 僅檢測相關(guān)流量中的已知攻擊模式 協(xié)議異常 檢測未知或經(jīng)過修改的攻擊方式。由于不同的攻擊類型要求采用不同的識別方法，因此，僅使用幾種檢測方法的產(chǎn)品不能檢測出所有類型的攻擊。 ? 400 多個定制參數(shù)和 Perl 式的常規(guī)表達(dá)式：能夠定制簽名或創(chuàng)建完全定制的簽名。 ? 全面的簽名定制通過提供更高的控制能力，以適應(yīng)簽名的特定要求，從而增強(qiáng)檢測獨(dú)特攻擊的能力。 ? 開放式簽名格式允許管理員查看攻擊字符串如何匹配攻擊簽名，并根據(jù) 第 28 頁 共 61 頁 需求對簽名進(jìn)行編輯。 Juniper 網(wǎng)絡(luò)公司 ISG 系列防火 墻 中的 IDP 應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)和定制功能有助于準(zhǔn)確地檢測攻擊，并阻止其攻擊網(wǎng)絡(luò)，以避免產(chǎn)生損失。 Juniper 公司提供獨(dú)立的 IDP 產(chǎn)品線和與 ISG 防火墻集成硬件 IDP 模塊的方式來保護(hù)客戶的應(yīng)用服務(wù)，滿足客戶的需求。 IDP(入侵檢測防御 )系統(tǒng)可以補(bǔ)充上述產(chǎn)品的不足。但是，與此同時，大家也逐漸意識到 IDS所面臨的問題：一、較高的漏報(bào)率和誤報(bào)率；二、對 IDS 系統(tǒng)的管理和維護(hù)比較難，它需要安全管理員有足夠的時間、精力及豐富的知識，以保持傳感器的更新和安全策略的有效；三、當(dāng) IDS 系統(tǒng)遭受拒絕服務(wù)攻擊時，它的失效開放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)（ IDS 系統(tǒng)的失效開放機(jī)制是指，一旦系統(tǒng)停止作用，整個網(wǎng)絡(luò)或主機(jī)就變成開放的。已經(jīng)為大多 數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。也正是這些因素引起了人們對入侵檢測技術(shù)的研究及開發(fā)。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以下的不足和弱點(diǎn)：一、傳統(tǒng)的防火墻在工作時，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到傳統(tǒng)防火墻中可能敞開的后門；二、傳統(tǒng)防火 第 27 頁 共 61 頁 墻完全不能防止來自網(wǎng)絡(luò)內(nèi)部的襲擊 ，通過調(diào)查發(fā)現(xiàn)，將近 65%的攻擊都來自網(wǎng)絡(luò)內(nèi)部，對于那些對企業(yè)心懷不滿或假意臥底的員工來說，防火墻形同虛設(shè)；三、由于傳統(tǒng)防火墻性能上的限制，通常它不具備實(shí)時監(jiān)控入侵的能力；四、傳統(tǒng)防火墻對于病毒的侵襲也是束手無策。在實(shí)施的過程中，防火墻的流量算法可以精確控制帶寬分配：類似于幀中繼 技術(shù)中的帶寬管理功能，對特定的網(wǎng)絡(luò)服務(wù)設(shè)定最小網(wǎng)絡(luò)帶寬（最小是 10K）和最大網(wǎng)絡(luò)帶寬；另外，