防火墙技术与企业网络安全

摘要:近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时，数以万计的商业公司、政府机构在多年的犹豫、观望之后，意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些，都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。关键词：计算机网络，网络安全，防火墙技术，数据加密技术关键词：计算机网络，网络安全，防火墙技术，数据加密技术Abstract:TitleTheDocumentOfComputerNetworkSecurityAbstractWiththecomputernetworkdevelopment.Internethasalreadyturnedfromthefirstgenerationthesecond.Meanwhile,thousandsofcompanyandgovernmentsrealizetheimportanceofInternetandtakemeasurestobuildtheirownNetwork,sothatextendthedevelopmentoftheInternet.ThismakestheInternettransferfromthesecondgenerationtothethirdwhichfeature'sbasisofInterconnecting.AllofthisabovecontributestothelargescaleuseofInterconnecting.Asitisknowntousall,Internethasthelargestinformationnet,Itistheopennessoftheprotocolthatconvinentthelinkofvarietynetsandextendthesharingresources.However,becauseoftheneglectingofNetworksecurityandthegovernmentmanagementseriouslythreatsthesafetyofInternet.Thedangersappears:illegealvisiting,prentendingthemanagerment,destroyingthedatabase,interruptingthesetupofsystem,spreadingthevirusandsoon.ThisasksustopaymoreattentiontothesafetyofInternettwister.Keywords：Computernetwork，Networksecurity，Firewalltechnology，DataencryptiontechnologyTOC\o"1-5"\h\z\o"CurrentDocument"引言 1\o"CurrentDocument"网络安全形势 1\o"CurrentDocument"网络安全的特征 1\o"CurrentDocument"网络安全的必要性 1\o"CurrentDocument"网络的安全管理 2\o"CurrentDocument"防火墙技术和数据加密技术 3\o"CurrentDocument"防火墙技术 3\o"CurrentDocument"数据加密技术 5\o"CurrentDocument"网络拓扑结构 6\o"CurrentDocument"网络拓扑结构常见类型 6\o"CurrentDocument"攻击的种类及其分析 7\o"CurrentDocument"企业网络的安全设计 9\o"CurrentDocument"设计原则 9\o"CurrentDocument"安全策略 9\o"CurrentDocument"防御系统 10\o"CurrentDocument"安全服务 15\o"CurrentDocument"安全技术的研究现状和动向 16\o"CurrentDocument"结束语 17参考文献致谢防火墙技术与企业网络安全引言在计算机技术和网络技术普遍应用的今天，人们已经不再用太多的脑子去记很多的东西了，主要记载在计算机上或与之相关机器上，只需记载一些密码便可，也方便查询。但是，由于连上了网，难免有些人有盗取的想法，因此，需要确保信息系统安全。以前，人们只要设些复杂的密码就可以，但是连上网后，骇客们就有盗窃，破坏的行动了，尤其是敏感信息。因此，不只要经常给系统打补丁，还要有一个好的防火墙。有防火墙可以更好的防范骇客攻击，它可以控制端口的连接，把一些危险的端口屏蔽掉，防止他人对你的机子配置信息的扫描，可以防范一些有攻击性的病毒，因此，用防火墙是很有必要的。可以根据自己爱好或用途选择防火墙，如天网防火墙，诺顿安全特警，瑞星防火墙等。还有，安装防火墙，它的设置不能仅是默认设置，自己适当更改，以便更适合你自己。由此引出的问题和解决办法就是这一课题的主要研究对象。网络安全形势网络安全的特征网络安全应具有以下五个方面的特征：一．保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。二．完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。三．可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。四．可控性：对信息的传播及内容具有控制能力。五．可审查性：出现的安全问题时提供依据与手段。网络安全的必要性从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出第1页共17页现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。网络的安全管理网络安全管理的几项技术：一．协议联通技术目前国际上的网管软件大多是基于SNMP设计的，一般只侧重于设备管理，且编程复杂、结构单一，不利于大规模集成。如果用户要管理各类网络设备、操作系统及安全产品，则要综合使用诸如WBEM、UDDI和XML等协议与通信技术。因此应尽量提高各协议接口间的透明访问程度，实现协议间的互联互访。二．探头集成技术目前各安全子系统要对网络及用户进行实时管理，大多采用用户端安装插件的技术，在多个子系统都需插件的情况下，可能产生冲突，且给用户系统增加负担，因此各厂商除提供必要的接口信息外，集成单位也应注意将各种信息技术进行融合，通过编程实现对各系统探头的集成。三．可视化管理技术为了让用户更好地通过安全管理平台进行集中管理，用户管理界面最好能够提供直观的网络拓朴图，实时显示整个网络的安全状况，使用户可以便捷地查看各安全产品组件的状态、日志以及信息处理结果，产生安全趋势分析报表。因此可视化管理技术的研究与应用尤为重要。四．事件关联技术才能得到准确的判断。五．事件过滤技术一个安全事件有可能同时触动多个安全单元，同时产生多个安全事件报警信息，造成同一事件信息“泛滥”，反而使关键的信息被淹没。因此，事件过滤技术也是安全管理平台需要解决的一个重要问题。六．快速响应技术发生网络安全事件后，单靠人工处理可能会贻误战机，所以必须要开发快速响应技术，从而能使系统自动响应安全事件。如实现报警、阻塞、阻断、引入陷阱，以及取证和反击等。防火墙技术和数据加密技术防火墙技术防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备（路由器、主机）和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。防火墙的工作原理防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。防火墙的功能一般来说，防火墙具有以下几种功能：一．能够防止非法用户进入内部网络。二．可以很方便地监视网络的安全性，并报警。三.可以作为部署NAT（NetworkAddressTranslation,网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。四.可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。防火墙的分类包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。网络地址转化一NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。代理型代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行第4页共17页侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性四．监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器（也称应用网关）也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。数据加密技术对称加密技术在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形，这种方法使用两个独立的56为密钥对信息进行3次加密，从而使有效密钥长度达到112位。非对称加密/公开密钥加密在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以

作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)与(pT)(q-1)互素私有密钥：d=e-l{mod(p-l)(q-l)}加密：c=me(modn),其中m为明文，c为密文。解密：m=cd(modn)利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。网络拓扑结构4.1网络拓扑结构常见类型网络拓扑(Topology)结构是指用传输介质互连各种设备的物理布局。星型拓扑结构(如图4-1、图4-2)星型网络由中心节点和其它从节点组成，中心节点可直接与从节点通信，而从节点间必须通过中心节点才能通信。在星型网络中中心节点通常由一种称为集线器或交换机的设备充当，因此网络上的计算机之间是通过集线器或交换机来相互通信的，是目前局域网最常见的方式。图4-1星型网络示意图图4-2星型网络实物图总线拓扑结构（如图4-3）总线型网络是一种比较简单的计算机网络结构，它采用一条称为公共总线的传输介质，将各计算机直接与总线连接，信息沿总线介质逐个节点广播传送。图4-3总线型网络环型网络拓扑结构（如图4-4）环型网络将计算机连成一个环。在环型网络中，每台计算机按位置不同有一个顺序编号，见图4。在环型网络中信号按计算机编号顺序以“接力”方式传输。如图4中，若计算机A欲将数据传输给计算机D时，必须先传送给计算机B，计算机B收到信号后发现不是给自己的，于是再传给计算机C，这样直到传送到计算机D。图4-4图4-4环形网络在实际应用中，上述三种类型的网络经常被综合应用，并形成互连网。互连网是指将两个或两个以上的计算机网络连接而成的更大的计算机网络。攻击的种类及其分析普通的攻击一般可分以下几种：4.2.1拒绝服务攻击拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NISpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处理，从而使带有假的passwd条目的攻击者登录成功。4.2.2同步（SYN）攻击同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK,而是向他发送大量的SYNACK信息。通常计算机有一缺省值，允许它持特定树木的SYNACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器。当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。IP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有IP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。企业网络的安全设计设计原则针对网络系统实际情况，解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时应遵循如下思想：一．大幅度地提高系统的安全性和保密性；二．保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；三．易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；四．尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；五．安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；六．安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证；七．分步实施原则：分级管理分步实施。安全策略针对上述分析，我们采取以下安全策略：一．采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行二．采用各种安全技术，构筑防御系统，主要有：第9页共17页防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。NAT技术：隐藏内部网络信息。VPN：虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。4•网络加密技术(Ipsec):采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。认证：提供基于身份的认证，并在各种认证机制中可选择使用。多层次多级别的企业级的防病毒系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。三．实时响应与恢复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。四．建立分层管理和各级安全管理中心。防御系统我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术，构成网络安全的防御系统。5.3.1物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行，在物理安全方面应采取如下措施：一．产品保障方面：主要指产品采购、运输、安装等方面的安全措施。二．运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。三．防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。四．保安方面：主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。防火墙技术防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备一一路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：一．屏蔽路由器：又称包过滤防火墙。二．双穴主机：双穴主机是包过滤网关的一种替代。三．主机过滤结构：这种结构实际上是包过滤和代理的结合。四．屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。VPN技术VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现，可以保证企业员工安全地访问公司网络。VPN有三种解决方案：如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用远程访问虚拟网(AccessVPN)。AccessVPN通过一个拥有专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。如果要进行企业内部各分支机构的互连，使用企业内部虚拟网(IntranetVPN)是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务范围越来越广时，网络结构也趋于复杂，所以花的费用也越来越大。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，利用隧道、加密等VPN特性可以保证信息在整个InternetVPN上安全传输。三•如果提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务，又可以第11页共17页保证自身的内部网络安全。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户，供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。5.3.4网络加密技术(Ipsec)IP层是TCP/IP网络中最关键的一层，IP作为网络层协议，其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此，IP安全是整个TCP/IP安全的基础，是网络安全的核心。IPSec提供的安全功能或服务主要包括：一．访问控制二．无连接完整性三．数据起源认证四．抗重放攻击五．机密性六．有限的数据流机密性身份认证在一个更为开放的环境中，支持通过网络与其他系统相连，就需要“调用每项服务时需要用户证明身份，也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。一．认证机构CA(CertificationAuthorty)就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。二．注册机构RA(RegistrationAuthorty)是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。三．策略管理在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。四．密钥备份和恢复为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。五．证书管理与撤消系统证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。多层次多级别的防病毒系统防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具，可以自动进行文件更新，使管理和服务作业合理化，并可用来从控制中心管理企业范围的反病毒安全机制，优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。防病毒系统设计原则：一．整个系统的实施过程应保持流畅和平稳，做到尽量不影响既有网络系统的正常工作。二．安装在原有应用系统上的防毒产品必须保证其稳定性，不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。三．防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。四．防病毒系统的升级和部署功能应做到完全自动化，整个系统应具有每日更新的能力。五．应做到能够对整个系统进行集中的管理和监控，并能集中生成日志报告与统计信息。病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入，所以，企业网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除，网络管理员的工作量就减少了很多。网关防毒：网关防毒是对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若第13页共17页干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：一．监视、分析用户及系统活动；二．系统构造和弱点的审计；三．识别反映已知进攻的活动模式并向相关人士报警；四．异常行为模式的统计分析；五．评估重要系统和数据文件的完整性；六．操作系统的审计跟踪管理，并识别用户违反安全策略的行为。5.3.8虚拟专用网技术虚拟专用网(VirtualPrivateNetwork,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。一．隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。二．加解密技术对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。三．密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。四.使用者与设备身份认证技术VPN方案必须能够验证用户身份并严格控制只有授权用户才能访最常用的是使用者名称与密码或卡片式认证等方式。VPN整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作站，直到ISP的Web服务器。用户类型、传输方法，以及由VPN使用的服务的混合性，增加了VPN设计的复杂性，同时也增加了网络安全的复杂性。如果能有效地采用VPN技术，是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。安全服务网络是个动态的系统，它的变化包括网络设备的调整，网络配置的变化，各种操作系统、应用程序的变化，管理人员的变化。即使最初制定的安全策略十分可靠，但是随着网络结构和应用的不断变化，安全策略可能失效，必须及时进行相应的调整。针对以上问题和网管人员的不足，下面介绍一系列比较重要的网络服务。包括：一．通信伙伴认证通信伙伴认证服务的作用是通信伙伴之间相互确认身份，防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式，一种是检查一方标识的单方认证，一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制，数字签名机制以及认证机制实现。二．访问控制访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识，口令，根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序，是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。三．数据保密数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据，也包括传输中的数据。保密查以对特定文件，通信链路，甚至文件中指定的字段进行。数据保密服务可以通过加密机制和路由控制机制实现。四．业务流分析保护业务流分析保护服务的作用是防止通过分析业务流，来获取业务量特征，信息长度以及信息源和目的地等信息。业务流分析保护服务可以通过加密机制，伪装业务流机制，路由控制机制实现。五．数据完整性保护数据完整性保护服务的作用是保护存储和传输中的数据不被删除，更改，插入和重复，必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制，数字签名机制以及数据完整性机制实现。六．签字签字服务是用发送签字的办法来对信息的接收进行确认，以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机制实现。安全技术的研究现状和动向我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互