【正文】 于主機 √ 基于網絡 基于主機的入侵檢測系統(tǒng)用于保護關鍵應用的服務器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應用的監(jiān)視如Web服務器應用。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。 (2) 入侵者可能就在防火墻內。四. 入侵檢測技術 利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。 病毒數據庫應不斷更新，并下發(fā)到桌面系統(tǒng)。 使用防病毒軟件檢查和清除病毒。在桌面PC安裝病毒監(jiān)控軟件。 病毒防護的主要技術如下： (1) 阻止病毒的傳播。 (3) 通過Web游覽傳播，主要是惡意的Java控件網站。 我們將病毒的途徑分為： (1 ) 通過FTP，電子郵件傳播。 (2) 抗攻擊能力：對典型攻擊的防御能力 (3) 性能：是否能夠提供足夠的網絡吞吐能力 (4) 自我完備能力：自身的安全性，F(xiàn)ailclose (5) 可管理能力：是否支持SNMP網管 (6) VPN支持 (7) 認證和加密特性(8) 服務的類型和原理(9)網絡地址轉換能力三. 病毒防護技術 病毒歷來是信息系統(tǒng)安全的主要問題之一。 √ Firewall依賴的操作系統(tǒng)應及時地升級以彌補安全漏洞。 √ 如果Firewall需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞Patch。 √ Firewall可支持對撥號接入的集中管理和過濾。 √ Firewall應該支持集中的SMTP處理，減少內部網和遠程系統(tǒng)的直接連接。 √ Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。 √ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。 √ Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。 Firewall系統(tǒng)的基本特征 √ Firewall必須支持．“禁止任何服務除非被明確允許”的設計策略。 √ 為Information server定義折中的安全策略允許提供公共服務。 Information Server策略 √ 公共信息服務器的安全必須集成到Firewall中?！　苋?撥出策略　　√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。 √ PPP/SLIP連接必須通過Firewall認證。 √ 機構面臨的風險并非是靜態(tài)的，機構職能轉變、網絡設置改變都有可能改變風險。 策略的靈活性 Internet相關的網絡安全策略總的來說，應該保持一定的靈活性，主要有以下原因： √ Internet自身發(fā)展非?？欤瑱C構可能需要不斷使用Internet提供的新服務開展業(yè)務。 √ 提供以上服務和訪問的風險。 建設Firewall的原則 分析安全和服務需求 以下問題有助于分析安全和服務需求： √ 計劃使用哪些Internet服務(如，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。Stateful防火墻 該類防火墻綜合了包過濾防火墻及應用網關的特性。√ 應用網關可能被攻擊。 √ 有時需要對客戶軟件進行修改。 √ 簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達應用網關的包并拒絕其余的包通過。 √ 健壯的認證和日志。 √ 提供對協(xié)議的過濾，如可以禁止FTP連接的Put命令。應用網關和包過濾器混合使用能提供比單獨使用應用網關和包過濾器更高的安全性和更大的靈活性。應用網關 為了解決包過濾路由器的弱點，F(xiàn)irewall要求使用軟件應用來過濾和傳送服務連接（如Telnet和Ftp)。 √ 對許多RPC(Remoute Procedure Call服務進行包過濾非常困難。如SMTP連接源端口是隨機產生的(1023)，此時如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有1023端口的雙向連接。例如，定義規(guī)則禁止所有到達(Inbound)的端口23連接(telnet)，如果某些系統(tǒng)需要直接Telnet連接，此時必須為內部網的每個系統(tǒng)分別定義一條規(guī)則。 √ 實際運行中，經常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。 包過濾路由器存在許多弱點： √ 包過濾規(guī)則難于設置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。通常采用第二種類型的設計策略。Firewall設計策略 Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規(guī)則。可行的策略必須在阻止己知的網絡風險和提供用戶服務之間獲得平衡。服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問（如撥入策略、SLIP/PPP連接等）。未設置Firewall時，網絡安全取決于每臺主機的用戶。記錄和統(tǒng)計網絡利用數據以及非法使用數據 Firewall可以記錄和統(tǒng)計通過Firewall的網絡通訊，提供關于網絡使用的統(tǒng)計數據，并且，F(xiàn)irewall可以提供統(tǒng)計數據，來判斷可能的攻擊和探測。外部用戶也只需要經過—次認證即可訪問內部網。集中的安全管理 Firewall對企業(yè)內部網實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內部網絡系統(tǒng)，而無須在內部網每臺機器上分別設立安全策略。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，F(xiàn)irewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。二. 防火墻枝術 防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網絡入口點檢查網絡通訊，根據客戶設定的安全規(guī)則，在保護內部網絡安全的前提下，提供內外網絡通訊。網絡層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。因此，VLAN的劃分最好基于交換機端口。 以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題?；诰W絡廣播原理的入侵監(jiān)控技術在高速交換網絡內需要特殊的設置。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。由以上運行機制帶來的網絡安全的好處是顯而易見的：信息只到達應該到達的地點。交換技術將傳統(tǒng)的基于廣播的局域網技