【正文】 每一個數(shù)據(jù)包的流經，意味著一個會話連接的建立，eTrust Firewall 只 檢查這個會話連接的初始數(shù)據(jù)包，記錄其狀態(tài)及前后連接關系的信息，如果 經檢查此會話連接合法，那么 對于所有相關后續(xù)的數(shù)據(jù)包，防火墻只動態(tài)地檢查其狀態(tài)和連。eTrust Firewall 的特性狀態(tài)包過濾—在前面已經闡述過相關的過濾技術。eTrust Firewall 可以提供表靜 態(tài) IP 地址以及 IP 地址池，用于對真實 IP 地址的翻譯。網絡地址翻譯—eTrust Firewall 具備完善的地址翻譯功能，允許內部網絡使用未注冊的地址來訪問外部 Inter；隱藏內部網絡真實的網絡地址。它在網 絡 上實現(xiàn)了多種安全防護功能，使用最佳的技術使用戶的網絡訪問更智能安全。通過阻止這些類型的數(shù)據(jù)包，eTrust Firewall 可以保 護它自己所在的服務器及后面的各所有計算機系統(tǒng)免遭 DOS 的攻擊。一旦連接被確認符合規(guī)則，那么同一任務后續(xù)的所有數(shù)據(jù)包都會以一種動態(tài)的方式被評估，這樣 eTrust Firewall 就可以得到非常出色的高性能。狀態(tài)信息數(shù)據(jù)同樣可以支持 eTrust Firewall 實現(xiàn)一些復雜協(xié)議類型的包過濾，如 RPC，RealAudio 等。由此，它能 夠比其它包過濾器（如 Screening Routers）更智能地過濾 IP 數(shù)據(jù)包。從根本上 講，它是一個 IP 包的過濾器，但它同樣可以通過檢查 IP 包而獲得其上層協(xié)議和具體 應用的狀態(tài)信息。eTrust Firewall 會在 TCP/IP 網絡層次中 IP 層的前端對數(shù)據(jù)進行檢測，在被防火墻檢查之前，數(shù)據(jù)包最多只能到達 IP 層。它可以控制所有基于 Inter 的協(xié)議以及所有基于 IP 格式包的數(shù)據(jù)傳輸。eTrust Firewall 采用的即是這種過濾技術。根據(jù)防火墻收集到的數(shù)據(jù)包順序關系，只有被驗證過的數(shù)據(jù)包才能通過防火墻。狀態(tài)包過濾（Stateful Packet Filter）狀態(tài)包過濾器在網絡層對流經的數(shù)據(jù)進行智能地檢測。這樣，針對每一個應用的申請，代理服 務器都會進行判斷與過濾。每一個代理服務都是一個運行在網關服務器上的應用，對應一個真實的應用服務器。路由式防火墻的缺點在于：對用戶不能察覺，過濾的判斷僅取決于對數(shù)據(jù)包內的部分數(shù)據(jù)，主要是 IP 報頭的數(shù)據(jù)，對其它相關信息沒有能力做出判斷；沒有針對應用的過濾，過濾器只根據(jù)數(shù)據(jù)報頭進行判斷，不涉及數(shù)據(jù)內容；無連接的可見性，在防火墻的過濾規(guī)則中沒有網絡連接的相關概念，不能根據(jù)通過網絡傳輸?shù)男畔⒌倪B貫性來做出判斷；沒有對 Datagram 數(shù)據(jù)包的支持，不能對如UDP、TFTP 和 RPC 等 Datagram 協(xié)議進行過濾控制；缺少可管理的反饋，在絕大多數(shù)情況下，此類防火墻沒有標準的警告、日志信息。20 / 109路由式防火墻（Packet Filter Router ）防火墻會在數(shù)據(jù)處于網絡層被路由時檢測數(shù)據(jù)包，通過設定好的規(guī)則決定允許其通過或將其鎖定。Kernel mode 模塊檢測并過濾所有的 IP 數(shù)據(jù)包， user mode 模塊則負責控制、監(jiān)視并支持 kernel mode 模塊的任何操作。eTrust Firewall Engine—Firewall Engine 負責按照事先定制的安全策略對網絡中的數(shù)據(jù)包進行檢測過濾。eTrust Firewall Admin Client—Admin Client 是 Admin Server 的用戶接口。通過共享的 firewall admin，管理員可以在多個防火墻上定義通用的策略規(guī)則。eTrust Firewall Admin Server—Admin Server 存儲著所有的防火墻策略，并接收各種報警信息，對其進行 處理。同 時它又是十分易于管理的，管理員可以19 / 109在遠程對 Firewall 進行管理、已設定規(guī)則的測試以及相關的更新工作，由于目前eTrust Firewall 支持跨平臺應用，支持在包括 NT、Solaris、HPUX 和 AIX 在內的多種操作系統(tǒng)上進行統(tǒng)一實施與管理，因此使對大型的網絡實施有效的管理與監(jiān)控成為可能。eTrust Firewall 借助 CA 公司在發(fā)展企業(yè)級應 用的實力與經驗，提供了真正的企業(yè)級的防火墻，能夠 通過定制或限制對特定資源（如敏感文件或 Web 瀏覽等）的訪問來幫助企業(yè)獲得安全保證并在一定程度上降低運行成本。“防火墻”是一個或一組用于 過濾“進、出 ”網絡的數(shù)據(jù)包的系統(tǒng)。它支持從小到只保護 一個服務器，大到與 Unicenter TNG 集成管理來保護一個企業(yè)網絡，從而支持多種規(guī)模的網絡資源保護。雖然從理論上看，防火墻處于網絡安全的最底層， 負責網絡間的安全認證與傳輸，但隨著網絡 安全技術的整體發(fā)展和網絡應用的不斷變化，現(xiàn)代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。 18 / 1094. eTrust 網絡 防護 eTrust FireWall 概述防火墻處于網絡安全體系中的最底層，屬于網絡層安全技術范疇。 COMPUTER ASSOCIATES 的安全方案被命名為 eTrust.CA 的 eTrust 解決方案是建立在一個開放的、 標準的安全基 礎框架之上，它包括： ? eTrust Intrusion Detection—智能型網絡審計監(jiān)控，入侵探 測，通過積極主動的防護 以免造成破壞； ? eTrust Access Control—跨分布式企業(yè)，基于策略的授權與訪問控制； ? eTrust Single Signon—針對應用程序和數(shù)據(jù)庫的跨分布式企業(yè)，包括跨萬維網的單次簽名； ? eTrust Admin—跨異構企 業(yè)目錄與名稱的用戶與資源管理； ? eTrust Policy Compliance—企業(yè)范圍安全策略分析，包括通過 eTrust Admin和 eTrust Access Control 的自動更正措施； ? eTrust OCSPro, eTrust PKI—證書與公鑰管理，基于政策安全的基礎框架； ? eTrust VPN—具有授權與鑒定功能的可靠的虛擬專用網絡； ? eTrust Encryption—單一化的端到端安全通訊； ? eTrust Firewall—對網絡進行迅速、高效、同時具有可管理性的互 聯(lián)網防護； ? eTrust Antivirus—通過集中策略管理對從互聯(lián)網網關到本地桌面機實現(xiàn)全面病毒防護； ? eTrust Content Inspection—基于策略的智能型互聯(lián)網防護，在網關和桌面機防止包括 Java 和 ActiveX 在內的惡意代碼； ? eTrust Audit—跨整個安全套件的集中式 審核； ? eTrust Desktop Security—完善的桌面安全防護，防止未知的惡意代碼與病毒損害； ? eTrust Directory—符合 標準和具有容錯性的企業(yè)中樞結構目錄服務器。數(shù)據(jù)完整性是指防止非法或偶然的數(shù)據(jù)改動。 應用程序和服務安全大多數(shù)應用程序和服務都是靠口令保護的，加強口令變化是安全方案中必不可少的手段， 而授權則是用來規(guī)定用戶或資源對系統(tǒng)的訪問權限。管理這些帳戶，在用戶獲得訪問特權時設置用戶功能，或在他們的訪問特權不再有效時限制用戶帳戶是安全的關鍵。 政策審查則用來監(jiān)視系統(tǒng)是否嚴格執(zhí)行了規(guī)定的安全政策。 檢測有意或偶然闖入系統(tǒng)的不速之客。 服務器安全保護服務器主機，分布式系統(tǒng)的服務器和用戶工作站—需要控制誰能訪問它們或訪問者可以干些什么。COMPUTER ASSOCIATES 安全方案的名稱就是 eTrust。15 / 1093. Computer Associates 安全解決方案 安全之道COMPUTER ASSOCIATES 致力于為整個 IT 系統(tǒng)提供風險管理的全面安全方案以幫助客戶保護其珍貴的信息財富?？梢詫嵤┗诓呗缘墓芾硪源_保系統(tǒng)安全，可以減少 IT 管理人員管理目錄和用戶的時間和精力，可以 隱藏不同操作系統(tǒng)的差異。IT管理人員每天都要和這些繁雜的系統(tǒng)打交道，不同的系統(tǒng)管理員在管理14 / 109這些用戶時，就有可能采用不同的用戶名，不同的管理策略，以適 應各類系統(tǒng)的需要。管理企 業(yè)內部的用戶資源也變得越來越重要和困難。隨著這些 資源的增加，要想安全有效地管理他們就越來越困難了。在此過程中所涉及的安全機制應該包括口令 PIN 密鑰管理、數(shù)據(jù)加密和數(shù)字簽名等技術，以最大限度的保證用戶、口令等信息的安全。應該實現(xiàn)“ 一人一個帳號、一個口令” 登錄管理模式，用戶只需一次登錄即可訪問網絡中操作系統(tǒng)、 電子郵件，數(shù)據(jù) 庫系統(tǒng) ，應用系統(tǒng)等各種資源。從規(guī)章制度上限制用戶上述行為是不現(xiàn)實的，只有從技術上采取一定措施，幫助用戶解決記憶長而無規(guī)律、易變口令的問題，才能真正保證系統(tǒng)的安全。還有用戶喜歡把口令記在筆記本上，這就更容易失密了。 “黑客”會比較 容易地猜出其口令，猜出一個口令，就能更加容易地猜到其它口令。但是，要讓 一個人記憶許多長 而難記又經常變化的口令是很困難的。其它的管理人員和工作人員也是如此。1) 實施單一登錄機制在一個現(xiàn)實的大型計算機系統(tǒng)的運作過程中，一個 IT 管理人員需要管理多個系統(tǒng)、維護多套用 戶名和口令。用戶只需一次登錄即可訪問 網絡中各種資源（如操作系統(tǒng)、 電子郵件，數(shù)據(jù)庫系統(tǒng)，應用等），而不用分別手工登錄這些資源。企業(yè)級的用戶管理，用于構筑集中化的網 絡 用戶登錄管理、集中化的安全策略管理的解決方案。由于企業(yè)信息系統(tǒng)本身具有十分充分的安全理念和制度，所以實現(xiàn)其于電 子化之中的過程非常關鍵，同時能夠跟隨業(yè)務機構調整而進行相關變化的及時響應是確保整體信息系統(tǒng)規(guī)范化要素。這是彌補安全漏洞的一個重要途徑。12 / 109 應用級安全保護安全管理是個廣泛的理念，IT 環(huán)境中出現(xiàn)的不安全 問題并不是全部由于單純的 IT 設備本身造成的，相反更多的問題是由于其它非 IT 技術因素引起的，只是最終通過計算機的載體實現(xiàn)而已。這些規(guī)則可以非常方便地加以激活、關閉或加以剪裁以滿足系統(tǒng)在一般需要之外的其它具體要求。同時，需要對于 Web 訪問、 監(jiān)控/阻塞/報警、入侵探 測、攻擊探測、惡意 applets、惡意 Email 等在內的安全政策進行明確規(guī)劃。Web 服務器是一個單位直接面對外界的大門， 通常也是最先在網絡傷害行 為中受到威脅的環(huán)節(jié) ，同時主頁是一個單位的形象。所以，系統(tǒng)安全管理應該包括強大的計算機病毒防護功能。據(jù)統(tǒng)計，% 的美國公司都受到 過病毒的侵 襲，修復每次事故要平均花費 8300 美元。近期出現(xiàn)的惡性病毒如 CIH 等甚至能夠破壞計算機硬件，使整個計算機癱瘓。(例如：某些文件只能在上班時間被改寫，而下班時間不能)11 / 109? 即使超級用戶也不應透過安全屏障去訪問未經授權的文件? 對計算機進程提供安全保護，防止非法用戶啟動或停止關鍵進程? 控制對網絡訪問和端口的訪問控制4) 計算機病毒防護 隨著企業(yè) IT 系統(tǒng)和網絡規(guī)模的擴展，信息技 術在企業(yè)網絡中的運用越來越廣泛深入，信息安全問題也顯得越來越緊迫。2) 加強操作系統(tǒng)用戶認證授權管理? 限制用戶口令規(guī)則和長度，禁止用戶使用簡單口令；強制用戶定期修改口令。1) 使用系統(tǒng)弱點掃描 能夠定期掃描操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的安全漏洞以及錯誤配置。安全防護體系應該能夠監(jiān)視內部關鍵的網段，掃描網絡上的所有數(shù)據(jù)，檢測服務拒絕型襲擊、可疑活動、 懷惡意的 applets、病毒等各種網絡進攻手段，及時報告管理人員并防止這些攻擊手段到達目標主機。網絡安全管理應該能夠對這些可疑目標(包括通過 SSL 協(xié)議或者加密傳輸?shù)目梢赡繕?進行檢測，隔離未知應用，建立安全 資源區(qū)域。系 統(tǒng)安全管理應該在網絡與外界接口處實現(xiàn)數(shù)據(jù)包的網絡地址翻譯。? 對于現(xiàn)有的各種網絡進攻手段，提供有效的安全保障。從網絡層進行安全防護主要應針對如下幾個方面：1) 網絡訪問控制 在網絡與外界連接處進行網絡訪問控制，正確區(qū)分外部網絡用戶的身份，區(qū)分其是進行查詢，修改 還是管理維護，提供基于用 戶的訪問規(guī)則，針對不同的用戶和用戶的不同存取要求授予其不同權限，禁止非法用戶進入系統(tǒng)。 網絡層安全防護對網絡進行安全保護是防治外部黑客入侵和內部網絡濫用和誤用的第一道9 / 109屏障,而一次不經意內部撥號上網就可以繞過原有的防火墻或代理服務器，并且有可能成為系統(tǒng)入侵的突破口。CA 公司認為，要保證信息系統(tǒng)的安全，提升整體安全級別，需要從網絡、服務器操作系統(tǒng)、用戶、各種應用系統(tǒng)、業(yè)務數(shù)據(jù)以及 應用模式等各個方面統(tǒng)籌考慮。所以，必須采取一些技 術手段，加 強對計算機系統(tǒng)的用戶、 資源的安全保護，防止無關人員訪問敏感數(shù)據(jù)。 現(xiàn)代社會是一個充滿誘惑的社會， 僅通過規(guī)章制度或思想教育等工作防止內部人員作案是不夠的。信息系統(tǒng)采用開發(fā)系統(tǒng)如 UNIX、Windows 等計算機和 TCP/IP 網絡協(xié)議，與外界又有各種各樣的網絡連接，所以需要對系統(tǒng)進行更為嚴格的保護，防止非法的入侵。8 / 1092. 信息系統(tǒng)安全管理需求分析從以上的論述可以看出，現(xiàn)代計算機網絡系統(tǒng)的安全隱患隱藏在系統(tǒng)的各個角落，系統(tǒng)的總體安全級別 就象裝在木筒中的水，木筒裝水的多少決定于最矮的木板，系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以，我們需要一種系統(tǒng)掃描工具，定期檢查系統(tǒng)中與安全有關的軟件、資源、 PATCH 的情況， 發(fā)現(xiàn)問題及時報告并給出解決建議。更 為嚴重的是，一臺 U