【正文】 名IP 對應(yīng)關(guān)系。 但是，域名服務(wù)通常為 hacker 提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導(dǎo)出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。域名服務(wù) Inter 域名服務(wù)為 Inter/Intra 應(yīng)用提供了極大的靈活性。八. 應(yīng)用系統(tǒng)的安全技術(shù) 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。 在為遠(yuǎn)程撥號服務(wù)的 Client 端，也能夠?qū)崿F(xiàn) Ipsec 的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。 ISAKMP/Oakley 使用 數(shù)字證書，因此，使 VPN 能夠容易地擴大到企業(yè)級。 Ipsec transport：對 IP 包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。 Ipsec 提供了兩種加密通訊手段： Ipsec Tunnel：整個 IP 封裝在 Ipsec 報文。 Ipsec 包含兩個部分： (1) IP security Protocol proper，定義 Ipsec 報文格式。該標(biāo)準(zhǔn)為每個 IP 包增加了新的包頭格式，Authentication Header(AH)及 encapsualting security payload(ESP)。IPSEC IPSec 作為在 IP v4 及 IP v6 上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在 1998 年將確定為 IETF 標(biāo)準(zhǔn)，是 VPN 實現(xiàn)的 Inter 標(biāo)準(zhǔn)。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ２２ 類 型 技 術(shù) 用 途基本會話密鑰 DES 加密通訊加密密鑰 DeffHellman 生成會話密鑰認(rèn)證密鑰 RSA 驗證加密密鑰表 1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。 通訊雙方通過 DiffieHellman 密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。偽造數(shù)字簽名從計算能力上是不可行的。公共密鑰系統(tǒng)(如 RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。通訊主體真實性確認(rèn)網(wǎng)絡(luò)上的計算機不被假冒。 完整的集成化的企業(yè)范圍的 VPN 安全解決方案，提供在 INTERNET 上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)接入到 inter，暴露出兩個主要危險：來自 inter 的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。 該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。后面描述了基于 PKI 認(rèn)證的基本原理。 基于 PKI 的認(rèn)證 使用公開密鑰體系進行認(rèn)證和加密。 使用摘要算法的認(rèn)證 Radius(撥號認(rèn)證協(xié)議)、路由協(xié)議(OSPF)、SNMP Security Protocol 等均使用共享的 Security Key，加上摘要算法(MD5)進行認(rèn)證，由于摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。 (2) 基于 PKI 的電子郵件及交易(通過 Web 進行的交易)的不可抵賴記錄。 (7) 電子郵件通訊雙方的認(rèn)證。 (5) 撥號訪問服務(wù)器與客戶間的認(rèn)證。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。 (2) 操作系統(tǒng)認(rèn)證。六. 認(rèn)證和數(shù)宇簽名技術(shù) 認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 ２０份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進建議。 (5) 報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。通常提供強大的工具構(gòu)造特定的攻擊方法。 (3) 能夠發(fā)現(xiàn)的漏洞數(shù)量。 (2) 網(wǎng)絡(luò)拓?fù)洹＞W(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： (1) 速度。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。 (5) 模式更新速度。 (3) 自身安全的完備性。 選擇入侵監(jiān)視系統(tǒng)的要點是： (1) 協(xié)議分析及檢測能力。 基于主機及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式： (1) 在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。 (5) 防入侵欺騙的能力較差。 (3) 監(jiān)視粒度更細(xì)致。 基于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點： (1) 能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。 (4) 針對不同操作系統(tǒng)特點。 (2) 高級，可以判斷應(yīng)用層的入侵事件。 (4) Storage 保存分析結(jié)果及相關(guān)數(shù)據(jù)。 (2) PatternMatching Signature Analysis 根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給 Countermeasure 部分。 入侵檢測系統(tǒng)可分為兩類：√ 基于主機 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 １７√ 基于網(wǎng)絡(luò) 基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如 Web 服務(wù)器應(yīng)用。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。 (2) 入侵者可能就在防火墻內(nèi)。四. 入侵檢測技術(shù) 利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險。 病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。 使用防病毒軟件檢查和清除病毒。在桌面 PC 安裝病毒監(jiān)控軟件。 病毒防護的主要技術(shù)如下： (1) 阻止病毒的傳播。 (3) 通過 Web 游覽傳播，主要是惡意的 Java 控件網(wǎng)站。 我們將病毒的途徑分為： (1 ) 通過 FTP，電子郵件傳播。 (2) 抗攻擊能力：對典型攻擊的防御能力 (3) 性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力 (4) 自我完備能力：自身的安全性，F(xiàn)ailclose (5) 可管理能力：是否支持 SNMP 網(wǎng)管 (6) VPN 支持 (7) 認(rèn)證和加密特性(8) 服務(wù)的類型和原理(9)網(wǎng)絡(luò)地址轉(zhuǎn)換能力三. 病毒防護技術(shù) 病毒歷來是信息系統(tǒng)安全的主要問題之一。 √ Firewall 依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。 √ 如果 Firewall 需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞 Patch。 √ Firewall 可支持對撥號接入的集中管理和過濾。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 １５ √ Firewall 應(yīng)該支持集中的 SMTP 處理，減少內(nèi)部網(wǎng)和遠(yuǎn)程系統(tǒng)的直接連接。 √ Firewall 應(yīng)該為 FTP、TELNET 提供代理服務(wù)，以提供增強和集中的認(rèn)證管理機制。 √ Firewall 應(yīng)該使用過濾技術(shù)以允許或拒絕對特定主機的訪問。 √ Firewall 必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變。 Firewall 系統(tǒng)的基本特征 √ Firewall 必須支持．“禁止任何服務(wù)除非被明確允許”的設(shè)計策略。 √ 為 Information server 定義折中的安全策略允許提供公共服務(wù)。 Information Server 策略 √ 公共信息服務(wù)器的安全必須集成到 Firewall 中?！　苋?撥出策略　　√ 撥入/撥出能力必須在設(shè)計 Firewall 時進行考慮和集成。 √ PPP/SLIP 連接必須通過 Firewall 認(rèn)證。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 １４ √ 機構(gòu)面臨的風(fēng)險并非是靜態(tài)的，機構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險。 策略的靈活性 Inter 相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因： √ Inter 自身發(fā)展非?？?，機構(gòu)可能需要不斷使用 Inter 提供的新服務(wù)開展業(yè)務(wù)。 √ 提供以上服務(wù)和訪問的風(fēng)險。 建設(shè) Firewall 的原則 分析安全和服務(wù)需求 以下問題有助于分析安全和服務(wù)需求： √ 計劃使用哪些 Inter 服務(wù)(如 ，ftp，gopher)，從何處使用Inter 服務(wù)(本地網(wǎng)，撥號，遠(yuǎn)程辦公室)。Stateful 防火墻 該類防火墻綜合了包過濾防火墻及應(yīng)用網(wǎng)關(guān)的特性?！?應(yīng)用網(wǎng)關(guān)可能被攻擊。 √ 有時需要對客戶軟件進行修改。 √ 簡化和靈活的過濾規(guī)則，路由器只需簡單地通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。 √ 健壯的認(rèn)證和日志。 √ 提供對協(xié)議的過濾，如可以禁止 FTP 連接的 Put 命令。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。應(yīng)用網(wǎng)關(guān) 為了解決包過濾路由器的弱點，F(xiàn)irewall 要求使用軟件應(yīng)用來過濾和傳送服務(wù)連接（如 Tel 和 Ftp)。 √ 對許多 RPC(Remoute Procedure Call 服務(wù)進行包過濾非常困難。如 SMTP 連接源端口是隨機產(chǎn)生的(1023)，此時如果允許雙向的 SMTP 連接，在不支持源端口過濾的路由器上必須定義一條規(guī)則：允許所有1023 端口的雙向連接。例如，定義規(guī)則禁止所有到達(dá)(Inbound)的端口 23 連接(tel)，如果某些系統(tǒng)需要直接 Tel 連接，此時必須為內(nèi)部網(wǎng)的每個系統(tǒng)分別定義一條規(guī)則。 √ 實際運行中，經(jīng)常會發(fā)生規(guī)則例外，即要求允許通常情況下禁止的訪問通過。 網(wǎng)絡(luò)安全整體解決方案《萬源倉商務(wù)網(wǎng)》 １２ 包過濾路由器存在許多弱點： √ 包過濾規(guī)則難于設(shè)置并缺乏已有的測試工具驗證規(guī)則的正確性(手工測試除外)。通常采用第二種類型的設(shè)計策略。Firewall 設(shè)計策略 Firewall 設(shè)計策略基于特定的 firewall，定義完成服務(wù)訪問策略的規(guī)則。可行的策略必須在阻止己知的網(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。服務(wù)訪問策略 服務(wù)訪問策略集中在 Inter 訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP 連接等）。未設(shè)置 Firewall 時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)