美国安泰成发网络安全解决方案样本

企业内部网信息安全建设技术要求、配置方案及提议美国安泰成发国际集团企业一九九九年五月四日

企业网网络安全处理方案引言1999年已经到来,人类处于二十一世纪前夜。1998年是全球信息革命和Internet新腾飞十二个月。“带宽爆炸”,用户超亿,网上协同攻破密码等等发明性应用层出不穷。Internet已成为全新传输媒体,克林顿丑闻材料在48小时内就有万人上网观看。电子商务发展更出人意料,网上购物仅圣诞节就突破3亿美元销售额,比估计整年20亿还多。美国对“Internet经济”投资达成1240亿,第二代Internet正式开启,第三代智能网络已在酝酿,以Internet为代表和主体信息网络必将在二十一世纪成为人类生产、生活、自下而上一个基础方法。世界各国全部以战略眼光注视着它发展,并在主动谋取网上优势和主动权。不过Internet网信息安全问题在1998年也较突出,除两千年虫问题已进入倒计时外,下面摘录上电报导:病毒感染事件1998年增加了二倍,宏病毒入侵案件占60%,已超出1300种,而1996只有40种。网上攻击事件大幅上升,对50个国家抽样调查显示:去年有73%单位受到多种形式入侵,而1996年是42%。据估量,世界上已经有两千万人含有进行攻击潜力。网上经济诈骗增加了五倍,估量金额达成6亿美元,而同年暴力抢劫银行损失才5900万。一份调查汇报中说:有48%企业受过网上侵害,其中损失最多达一百万美元。对美军非绝密计算机系统攻击试验表明,成功率达成88%。而被主动查出只占5%。1998年5月美CIA局长在信息安全汇报中正式宣告:“信息战威胁确实存在。”网上赌博盛行,去年在200个网点上赌博金额达成60亿美元,估计今年还会增加一倍。网上色情泛滥,经过浏览器、电子邮件等方法大量扩散。因为问题严重,西方12个国家警方在去年九月进行了一次联合行动,共抓96人,其中一个网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议,研究遏制网上色情。欧盟正式发表了对网上有害和非法信息内容处理法规。电子邮件垃圾已被新闻界选为1998年Internet坏消息之一,美国一家网络企业十二个月传送电子邮件中有三分之一是电子垃圾。网上违反保密和密码管制问题已成为各国政府关注一个焦点。暴露个人隐私问题突出,比如经过美国一个网站很轻易量到她人经济收入信息,另一网址只要输入车牌号码就可查到车主地址,为此这些网址已被封闭。在电子邮件内传输个人隐私情况更为严重。带有政治性网上攻击在1998年有较大增加,包含篡改政府机构网页,侵入竞选对手网站窃取信息,在东南亚经济危机中散布谣言,伪造世界热点地域现场照片,煽动民族纠纷等等,已引发各国政府高度重视。中国情况也大致相仿。首先Internet上网人数增加,仅下六个月年就由117万剧增到210万,其次,同一时期内外电对在中国发生Internet安全事件报道数量也大增,比1997年整年还多6倍,其中包含经济犯罪、窃密、黑客入侵,造谣惑众等等。以上报导只是全部景观一角,却预示着下一个世纪全球信息安全形势不容乐观。中国正处于网络发展初级阶段,又面临着发达国家信息优势压力,要在信息化进程中趋利避害,从一开始就做好信息安全工作十分关键。这是这项工作难度也很大,常常碰到十分困难选择,甚至非难。大家对于“该不该”和“能不能”抓好信息安�全也还有不一样见解。我们应该充足相信中国制度优越性和人民智慧和觉悟,主动寻求处理中国特色Internet安全问题措施。在此,仅就企业内部网信息安全建设作一个具体讨论。1．企业网络现实状况世纪之交，信息化已成为国际性发展趋势，作为国民经济信息化基础，企业信息化建设受到国家和企业广泛重视。企业信息化，企业网络建设是基础，从计算机网络技术和应用发展现实状况来看，Intranet是得到广泛认同企业网络模式。Intranet并不完全是原来局域网概念，经过和Internet联结，企业网络范围能够是跨地域，甚至跨国界。现在，Internet发展已成燎原之势，伴随WWW上商业活动激增，Intranet也应运而生。近几年，很多有远见企业领导者全部已感到企业信息化关键性,陆续建立起了自己企业网和Intranet并经过多种WAN线路和Internet相连。国际互联网Internet在带来巨大资源和信息访问方便同时，它也带来了巨大潜在危险，至今仍有很多企业仍然没有感到企业网安全关键性。在中国网络急剧发展还是近几年事，而在国外企业网领域出现安全事故已经是数不胜数。所以，我们应该在主动进行企业网建设同时，就应借鉴国外企业网建设和管理经验，在网络安全上多考虑部分，将企业网中可能出现危险和漏洞降到最低。使已经花了不少财力、人力和时间后，建立起来网络真正达成预想效果。从总体上来说,企业网络建设以下几方面误区：处理方案上误区、应用开发上误区和系统管理上误区。处理方案上误区在处理方案上误区关键包含：认为只要肯花钱就万事大吉了。诚然，投资是企业网络建设基础，但并非全部东西全部能直接买来。实际上，数据、应用软件、网络系统管理及网络应用水平等全部不是简单买来了事。不依据实际需求，盲目认为购置硬件、软件产品越优异越好，甚至要求达成不落后等要求。这种提法本身就不科学，信息技术发展是日新月异，前谁也不知道现在计算机会发展到如此水平，一样，后怎样也无法预料。这么一来，后果是能够想到：平台越优异，设备越昂贵，技术越复杂，建设投入和产出相比一定很高，这当然不是企业需要得到结果。认为有了网络、服务器、数据库、联通了Internet就能要什么就有什么了，忽略总体数据体系计划和组织、应用系统开发，数据采集、传输、加工、存放和查询等具体应用工作。而缺乏这些，网络作用就不能充足发挥出来，这恰恰和企业网络建设初衷相违。认为能够“毕其功于一役”地搞企业网络建设，实际上，这是一项长久工作。认为只要找到好供给商、系统集成商就肯定能够把网络建好，没有想到只有良好合作才能取得成功，只有建立自己技术队伍才能保持成功之果。应用开发上误区应用开发是企业网络系统建设中关键内容，也是网络建设成功是否关键。不少企业网络建设项目中，在应用开发方面也存在部分误区：认为只要有好计算机专业人员去干就能够了，业务人员不参与应用开发工作，甚至不很好地配合。实际上，因为专业计算机人员缺乏具体业务知识和经验，无法独立开发出很适合业务部门应用软件。认为通常业务部门、业务人员提出需求全部要进行开发。在应用开发范围上，不进行认真地分析，不分主次。实际上，很多现成工具软件已包含了很多功效，比如EXECL，但因为不重视业务人员计算机技能提升，一切功效全部寄期望于开发。这就造成开发成本提升和工作关键分散。认为只有采取最新潮开发工具和最时髦开发语言才能开发好软件，而不顾自己实际需求，也不问那些工具和语言到底有什么用。认为开发软件和操作软件一样轻易，所以不重视开发人员工作，随意提出需求，以后又随意改动。这么改动，很可能给开发增加很多工作量，更为严重是，破坏开发总体计划，造成开发进度延迟。企业高级领导认为开发工作是下面事情，不参与总体计划，却对开发抱着过高期望，认为开发结果一定应符合自己想象。1.3系统管理上误区企业网络效果发挥离不开系统管理，决不仅仅是安装好企业网络设备，配置好软件那么简单，一样一个运行良好企业网离不开人管理，系统管理在网络建设和维护中是至关关键，现在在系统管理方面存在误区关键包含：认为系统管理只要有计算机人员就能够了，不建立规范、有效管理制度，没有想到系统管理实际上是企业管理中必不可少一部分。认为系统管理就是对计算机、网络设备、系统软件管理，没考虑到对企业整体信息资源管理，不重视对数据信息规范化、标准化管理。认为系统管理简单，费用不高，投入财力、人力、物力不足。有很多企业系统管理员只会“玩”PC而已，网管软件也被看成是可有可无东西。殊不知，伴随网络技术发展和信息增多，系统管理工作是相当复杂和繁重。认为系统管理工作只是辅助性工作，不能为企业发明直接效益，能够不予重视。结果造成专业计算机人才流失，只好使用非专业人员，使管理效果大打折扣。认为只有看见东西才值钱，所以不愿意在服务上花钱。在系统管理上无法得到专业厂商支持，造成管理水平业余而落后。Intranet和网络安全技术2.1信息安全关键性和内涵长久以来,大家把信息安全了解为对信息机密性、完整性和可获性保护,这当然是正确,但这个观念是在二十多年前主机时代形成。当初大家需要保护是设在专用机房内主机和数据安全性,所以它是面向单机、面向数据。八十年代进入了微机和局域网时代,计算机已从专用机房内解放到分散办公桌面乃至家庭,因为它用户/网络结构比较简单、对称,所以既要依靠技术方法保护,还要制订人人必需遵守要求。所以,这个时代信息安全是面向网管、面向规约。九十年代进入了互联网时代,每个用户有全部能够联接、使用乃至控制散布在世界上各个角落上网计算机,所以Internet信息安全内容更多,更为强调面向连接、面向用户(“人”)。因为在这个崭新世界里,人和计算机关系发生了质改变。人、网、环境相结合,形成了一个复杂巨系统。经过网上协同和交流,人智能和计算机快速运行能力聚集并融合起来,发明了新社会生产力,丰富着大量应用(电子商务,网上购物等等)和满足着大家多种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。在这个复杂巨系统中,“人”以资源使用者身份出现,是系统主体,处于主导地位,而系统资源(包含硬软件、通讯网、数据、信息内容等)则是客体,它是为主体即“人”服务,和此相适应,信息安全主体也是“人”(包含用户、团体、社会和国家),其目标关键是确保主体对信息资源控制。能够这么说:面向数据安全概念是前述保密性、完整性和可获性,而面向使用者安全概念则是判别、授权、访问控制、抗否认性和可服务性和在于内容个人隐私、知识产权等保护。这二者结合就是信息安全体系结构中安全服务功效),而这些安全问题又要依靠密码、数字署名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(方法)加以处理。其中密码技术和管理是信息安全关键,安全标准和系统评定是信息安全基础。总而言之从历史、人网大系统概念出发,现代信息安全包含到个人权益、企业生存、金融风险防范、社会稳定和国家安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全和公共、国家信息安全总和。信息安全完整内涵是和信息安全方法论相匹配,信息安全系统是一个多维、多原因、多层次、多目标系统。所以,有必需从方法论角度去了解现有信息安全模式。1.分析和综合辩证思维方法:要在分析过程中从整体上把握好分析要素内部矛盾,比如:*在威胁分析中环境灾难和人员失误、无意疏忽和有意破坏、外部人员和内部职员、窃密篡改和拒绝服务、个人行为和有组织信息战威胁等关系。在脆弱性分析中软件、协议缺点和嵌入后门、网络层、系统层、应用层微弱步骤关联等。在攻击分析中利用技术漏洞和社会工程、行为模式和隐蔽方法等关系。在综合方法上则应该面向过程,着眼发展:风险管理综合方法:立足于尽可能降低风险,实施资产评定,风险估算,关键选择,综合平衡,政策制订,系统实施,审计监管等全过程和全方面质量管理。安全评定综合方法:面向设计过程,强调系统总体评价。在评定标准上掌握好传统和现实、国际通用互认和中国特点关系。在保护轮廓内掌握好安全功效和保障关系。2.从系统复杂性见解了解和处理安全问题:信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术有机总和。这需要在不一样层面上面向目标,用定性和定量相结合、技术方法和教授经验相结合综合集成方法加以处理。对信息内容管理则要从源头、传输、网关、服务网站和用户层面进行综合治理。以创新精神跟上网络和安全技术新发展我们处于网络调整发展和科技突飞猛进时代,信息安全技术是含有对抗性敏感技术,面对日益迫切需要,唯一出路就是自主�创新。不过自主创新并不排斥吸收国外优异技术相反,只有亲密跟踪国际信息安全技术新进民才能知已知彼,为我所用,在技术创新上以下发展值得注意:1.在信息安全系统构建、模式、评定方面风险管理技术已由传统相对固定模式向灵活不停反馈、不停演进弹性模式转化,强调可测量方法体系,形成所谓“有适应能力风险管理模式”。十年前,信息安全系统构建理念是“自上而下”即顶层设计。从Internet历史特点和发展现实出发,需要先“自下而上”赴,接着“上下结合”,然后再在网络确实定范围内从全局上计划,组成安全体系。系统安全不能作到一劳永逸,需要动态构建模型。在安全功效、服务配置上,过去是先从整体定义入手,不过Internet量个多元化应用环境,而且日新月异。所以现实处理措施是“分而治之”。多种应用,各个部门,先在统一规范下,“从我做起”或分层分步实施。这在相当一段时间内,是推进网络发展、激励安全应用现实路径。新安全协议不停出现,有已趋于成熟,比如大家熟知IPv6已被公认安全性较强,又能比IPv4提供愈加好互连互通功效,很有可能进入主流,怎样使我们安全产品能同时支持IPv6已提到日程上人类社会一直是正义和邪恶并存,在科学技术进步同时人类也面临新威胁,计算机技术发展带来计算机犯罪就是其中经典例子。下面谈谈实施一个完整安全体系应该考虑问题。中国信息系统安全吗?在国家范围网络建设方面,国家电信事业快速发展,取得了巨大成绩。不过,国家通信网络交换机及其通信设备有相当一部分因为没有经过安全检测,安全问题没有确保,这是因为安全检测工作建设滞后造成。交换机嵌入操作系统安全性也存在问题。通信业务计算机系统也多采取开放式操作系统,安全等级全部很低,也没有附加安全方法。这些系统不能抵御黑客攻击和信息炸弹攻击。在国家政府部门,应该说对信息系统安全性还是重视,但苦于没有好处理问题方案和安全建设经费不足,行业系统安全问题还是相当严重,计算机系统也多采取开放式操作系统,安全等级较低。不能抵御黑客攻击和信息炸弹攻击。有些系统网络多路出口,对信息系统安全没有概念,完全没有安全方法,更谈不上安全管理和安全策略制订。有行业信息系统业务是在没有安全保障情况下发展。在金融领域,有些系统采取了开放操作系统UNIX。在系统采购时,有些单位没有采购安全系统或安全系统建设不完善。这些系统安全等级较低,安全问题是普遍性。有商品交易所和证券企业使用信息系统采取是微机网络系统,已经出现内外黑客攻击,应该说问题已经相当严重。在产业发展决议方面,当然改革开放以来取得巨大成绩,在行业计划方面一度存在轻系统重应用发展思绪,对现在出现信息系统安全问题是有影响。行业部门应该重视系统软件建设工作,因为单靠企业发展系统软件是不可能在较短时间内取得地位,要在系统软件领域占有一席之地应该成为国策,甚至不亚于芯片建设关键性。要加强信息系统安全标准化工作,要开启信息系统安全建设内需,要明确信息系统安全建设要求和规范。应该引发我们注意是操作系统、网络系统和数据库管理系统安全问题,是信息系统关键技术,没有系统安全就没有信息安全。我们应该尤其注意,中国在信息系统安全方面和美国是不平等。在信息系统安全管理部门信息系统产品认证和检测工作刚刚开始,任重而道远2.3影响网络信息安全原因现今网络信息安全存在威胁关键表现在以下多个方面。1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。2.冒充正当用户。关键指利用多种假冒或欺骗手段非法取得正当用户使用权限,以达成占用正当用户资源目标。3.破坏数据完整性。指使用非法手段,删除、修改、重发一些关键信息,以干扰用户正常使用。4.干扰系统正常运行。指改变系统正常运行方法,减慢系统响应时间等手段。5.病毒和恶意攻击。指经过网络传输病毒或恶意Java、XActive等。6.线路窃听。指利用通信介质电磁泄漏或搭线窃听等手段获取非法信息。2.4计算机安全分类及基础功效依据国家计算机安全规范,可把计算机安全大致分为三类。一是实体安全,包含机房、线路,主机等;二是网络和信息安全,包含网络通畅、正确及其网上信息安全;三是应用安全,包含程序开发运行、输入输出、数据库等安全。下面关键探讨第二类网络和信息安全问题。网络信息安全需求能够归结为以下几类:1.基础安全类包含访问控制、授权、认证、加密和内容安全等。访问控制是提供企业内部和外界及内部不一样信息源之间隔离基础机制,也是企业基础要求。不过提供隔离不是最终目标,企业利用Internet技术最终目标应该是在安全前题下提供方便信息访问,这就是授权需求。同时,用户也期望对授权人身份进行有效识别,这就是认证需求。为了确保信息在存放和传输中不被纂改、窃听等需要加密功效,同时,为了实施对进出企业网流量进行有效控制,就需要引入内容安全要求。2.管理和记帐类包含安全策略管理、企业范围内集中管理、记帐、实时监控,报警等功效。3.网络互联设备安全类包含路由器安全管理、远程访问服务器安全管理、通信服务器安全管理、交换机安全管理等。4.连接控制类关键为公布企业消息服务器提供可靠连接服务,包含负载均衡、高可靠性和流量管理等。2.5安全缺口安全策略常常会和用户方便性相矛盾,从而产生相反压力,使安全方法和安全策略相脱节。这种情况称为安全缺口。为何会存在安全缺口呢?有下面四个原因:1、网络设备种类繁多——目前使用有多种多样网络设备,从WindowsNT和UNIX服务器到防火墙、路由器和Web服务器,每种设备全部有其独特安全情况和保密功效;2、访问方法多样化——通常来说,您网络环境存在多个进出方法,很多过程拔号登录点和新Internet访问方法可能会使安全策略设置复杂化;3、网络不停改变——网络不是静态,一直全部处于发展改变中。启用新硬件设备和操作系统,实施新应用程序和Web服务器时,安全配置也有不尽相同;4、用户保安专业知识缺乏——很多组织所拥有对网络进行有效保护保安专业知识十分有限,这实际上是造成安全缺口最为关键一点。2.6网络安全评定为堵死安全策略和安全方法之间缺口,必需从以下三方面对网络安全情况进行评定:1、从企业外部进行评定:考察企业计算机基础设施中防火墙;2、从企业内部进行评定:考察内部网络系统中计算机;3、从应用系统进行评定:考察每台硬件设备上运行操作系统。2.7计算机网络安全策略2.7.1物理安全策略物理安全策略目标是保护计算机系统、网络服务器、打印机等硬件实体和信链路免受自然灾难、人为破坏和搭线攻击；验证用户身份和使用权限、防用户越权操作；确保计算机系统有一个良好电磁兼容工作环境；建立完备安全管理制度，预防非法进入计算机控制室和多种偷窃、破坏活动发生。抑制和预防电磁泄漏（即TEMPEST技术）是物理安全策略一个关键问题。现在关键防护方法有两类：一类是对传导发射防护，关键采取对电源线和信号线加装性能良好滤波器，减小传输阻抗和导线间交叉耦合。另一类是对辐射防护，这类防护方法又可分为以下两种：一是采取多种电磁屏蔽方法，如对设备金属屏蔽和多种接插件屏蔽，同时对机房下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰防护方法，即在计算机系统工作同时，利用干扰装置产生一个和计算机系统辐射相关伪噪声向空间辐射来掩盖计算机系统工作频率和信息特征。2.7.2访问控制策略访问控制是网络安全防范和保护关键策略，它关键任务是确保网络资源不被非法使用和很访问。它也是维护网络系统安全、保护网络资源关键手段。多种安全策略必需相互配合才能真正起到保护作用，但访问控制能够说是确保网络安全最关键关键策略之一。下面我们分述多种访问控制策略。1)入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网时间和准许她们在哪台工作站入网。用户入网访问控制可分为三个步骤：用户名识别和验证、用户口令识别和验证、用户帐号缺省限制检验。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户用户名和口令进行验证是预防非法访问第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入用户名是否正当。假如验证正当，才继续验证用户输入口令，不然，用户将被拒之网络之外。用户口令是用户入网关键所在。为确保口令安全性，用户口令不能显示在显示器上，口令长度应不少于6个字符，口令字符最好是数字、字母和其它字符混合，用户口令必需经过加密，加密方法很多，其中最常见方法有：基于单向函数口令加密，基于测试模式口令加密，基于公钥加密方案口令加密，基于平方剩下口令加密，基于多项式共享口令加密，基于数字署名方案口令加密等。经过上述方法加密口令，即使是系统管理员也难以得到它。用户还可采取一次性用户口令，也可用便携式验证器（如智能卡）来验证用户身份。网络管理员应该能够控制和限制一般用户帐号使用、访问网络时间、方法。用户名或用户帐号是全部计算机系统中最基础安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必需提交“证件”、用户能够修改自己口令，但系统管理员应该能够控制口令以下多个方面限制：最小口令长度、强制修改口令时间间隔、口令唯一性、口令过期失效后许可入网宽限次数。用户名和口令验证有效以后，再深入推行用户帐号缺省限制检验。网络应能控制用户登录入网站点、限制用户入网时间、限制用户入网工作站数量。当用户对交费网络访问“资费”用尽时，网络还应能对用户帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对全部用户访问进行审计。假如数次输入口令不正确，则认为是非法用户入侵，应给出报警信息。2)网络权限控制网络权限控制是针对网络非法操作所提出一个安全保护方法。用户和用户组被给予一定权限。网络控制用户和用户组能够访问哪些目录、子目录、文件和其它资源。能够指定用户对这些文件、目录、设备能够实施哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方法。受托者指派控制用户和用户组怎样使用网络服务器目录、文件和设备。继承权限屏蔽相当于一个过滤器，能够限制子目录从父目录那里继承哪些权限。我们能够依据访问权限将用户分为以下几类：特殊用户（即系统管理员）；通常见户，系统管理员依据她们实际需要为她们分配操作权限；审计用户，负责网络安全控制和资源使用情况审计。用户对网络资源访问权限能够用一个访问控制表来描述。3)目录级安全控制网络应许可控制用户对目录、文件、设备访问。用户在目录一级指定权限对全部文件和子目录有效，用户还可深入指定对目录下子目录和文件权限。对目录和文件访问权限通常有八种：系统管理员权限（Supervisor）；读权限（Read）、；写权限（Write）；创建权限（Create）；删除权限（Erase）；修改权限（Modify）；文件查找权限（FileScan）；存取控制权限（AccessControl）；用户对文件或目标有效权限取决于以下二个原因：用户受托者指派、用户所在组受托者指派、继承权限屏蔽取消用户权限。一个网络系统管理员应该为用户指定合适访问权限，这些访问权限控制着用户对服务器访问。八种访问权限有效组合能够让用户有效地完成工作，同时又能有效地控制用户对服务器资源访问，从而加强了网络和服务器安全性。4)属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制能够将给定属性和网络服务器文件、目录和网络设备联络起来。属性安全在权限安全基础上提供更深入安全性。网络上资源全部应预先标出一组安全属性。用户对网络资源访问权限对应一张访问控制表，用以表明用户对网络资源访问能力。属性设置能够覆盖已经指定任何受托者指派和有效权限。属性往往能控制以下多个方面权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、实施文件、隐含文件、共享、系统属性等。网络属性能够保护关键目录和文件，预防用户对目录和文件误删除、、实施修改、显示等。5)网络服务器安全控制网络许可在服务器控制台上实施一系列操作。用户使用控制台能够装载和卸载模块，能够安装和删除软件等操作。网络服务器安全控制包含能够设置口令锁定服务器控制台，以预防非法用户修改、删除关键信息或破坏数据；能够设定服务器登录时间限制、非法访问者检测和关闭时间间隔。6)网络监测和锁定控制网络管理员应对网络实施监控，服务器应统计用户对网络资源访问，对非法网络访问，服务器应以图形或文字或声音等形式报警，以引发网络管理员注意。假如不法之徒试图进入网络，网络服务器应会自动统计企图尝试进入网络次数，假如非法访问次数达成设定数值，那么该帐户将被自动锁定。7)网络端口和节点安全控制网络中服务器端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密形式来识别节点身份。自动回呼设备用于预防假冒正当用户，静默调制解调器用以防范黑客自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必需携带证实身份验证器（如智能卡、磁卡、安全密码发生器）。在对用户身份进行验证以后，才许可用户进入用户端。然后，用户端和服务器端再进行相互验证2.8确保网络安全方法因为网络安全目标是保障用户关键信息安全，所以限制直接接触十分关键。假如用户网络连入Internet，那麽最好尽可能地把和Internet连接机器和网络其它部分隔离开来。实现这个目标最安全方法是将Internet服务器和网络实际隔开。当然，这种处理方案增加了机器管理难度。不过假如有些人闯进隔离开机器，那麽网络其它部分不会受到牵连。最关键是限制访问。不要让不需要进入网关人全部进入网关。在机器上用户仅需要一个用户帐号，严格限制它口令。只有在使用su时才许可进入根帐号。这个方法保留一份使用根帐号者统计。在Internet服务器上提供部分服务有FTP、HTTP、远程登陆和WAIS（广域信息服务）。不过，FTP和HTTP是使用最普遍服务。它们还有潜力泄露出乎用户意料之外秘密。和任何其它Internet服务一样，FTP一直是（而且仍是）易于被滥用。值得一提弱点包含多个方面。第一个危险是配置不妥。它使站点访问者（或潜在攻击者）能够取得更多超出其预期数据。她们一旦进入，下一个危险是可能破坏信息。一个未经审查攻击者能够抹去用户整个FTP站点。最终一个危险无须长篇累牍，这是因为它不会造成破坏，而且是低水平。它由用户FTP站点组成，对于交换文件人来说，用户FTP站点成为“麻木不仁窝脏点”。这些文件无所不包，能够是盗版软件，也能够是色情画。这种交换怎样进行呢？简单很。发送者发觉了一个她们有权写入和拷入可疑文件FTP站点。经过一些其它方法，发送者通知它们同伙文件能够使用。全部这些问题全部是由未正确要求许可条件而引发。最大一个问题可能是许可FTP用户有机会写入。当用户经过FTP访问一个系统时，这通常是FTP用户所做事。所以，FTP用户能够访问，用户访问者也能够使用。全部这些问题全部是由未正确要求许可条件而引发。最大一个问题可能是许可FTP用户有机会写入。当用户经过FTP访问一个系统时，这通常是FTP用户所做事。所以，FTP用户能够访问，用户访问者也能够访问。通常说来，FTP用户不是用户系统中已经有。所以，用户要建立FTP用户。不管怎样要确保将外壳设置为真正外壳以外东西。这一步骤预防FTP用户经过远程登录进行注册（用户或许已经严禁远程登录，不过万一用户没有这么做，确定一下也不会有错）。将全部文件和目录主人放在根目录下，不要放在ftp下。这个预防方法预防FTP用户修改用户仔细构思出口令。然后，将口令要求为755（读和实施，但不能写，除了主人之外）。在用户期望匿名用户访问全部目录上做这项工作。尽管这个要求许可她们读目录，但它也预防她们把什麽东西放到目录中来。用户还需要编制一些可用库。然而，因为用户已经在以前建立了必需目录，所以这一步仅实施一部分。所以，用户需要做一切是将/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷贝到~ftp/usr/lib中。接着将~ftp/usr/lib上口令改为555，并建立主接收器。最终，用户需要在~ftp/dev/中建立/dev/null和/dev/socksys设备结点。用户能够用mknod手工建立它们。然而，让系统为用户工作会愈加轻易。SCO文档说用cpio,不过copy（非cp）很管用。假如用户想建立一个大家全部可用留下文件目录，那麽可将它称作输入。许可其它人写入这个目录，但不能读。这个预防方法预防它成为麻木不仁窝脏点。大家能够在这里放入她们想放任何东西，不过她们不能将它们取出。假如用户认为信息比较适合共享，那麽将拷贝到另一个目录中。2.9提升企业内部网安全性多个步骤限制对网关访问。限制网关上帐号数。不要许可在网络上进行根注册；不要信任任何人。网关不信任任何机器。没有一台机器应该信任网关；不要用NFS向网关传输或接收来自网关任何文件系统；不要在网关上使用NIS（网络信息服务）；制订和实施一个非网关机器上安全性方针；关闭全部多出服务和删除多出程序删除网关全部多出程序（远程登录、rlogin、FTP等等）；定时阅读系统统计。3.Intranet安全处理方案3.1Intranet安全处理方案过去我们往往把信息安全局限于通信保密,局限于对信息加密功效要求,其实网络信息安全牵涉到方方面面问题,是一个极其复杂系统工程。从简化角度来看,要实施一个完整网络和信息安全体系,最少应包含三类方法,而且三者缺一不可。一是社会法律政策、企业规章制度和安全教育等外部软环境。在该方面政府相关部门、企业关键领导应该饰演关键角色。二是技术方面方法,如防火墙技术、网络防毒、信息加密存放通信、身份认证、授权等。只有技术方法并不能确保百分之百安全。三是审计和管理方法,该方面方法同时包含了技术和社会方法。其关键方法有:实时监控企业安全状态、提供实时改变安全策略能力、对现有安全系统实施漏洞检验等,以防患于未然。企业要实施一个安全系统应该三管齐下。其中法律、企业领导层重视应处于最关键位置。没有社会参与就不可能实施安全保障。网络信息安全包含了建立安全环境多个关键组成部分,其中安全基石是社会法律、法规和手段,这部分用于建立一套安全管理标准和方法。第二部分为增强用户认证,用户认证在网络和信息安全中属于技术方法第一道大门,最终防线为审计和数据备份,不加强这道大门建设,整个安全体系就会较脆弱。用户认证关键目标是提供访问控制和不可抵赖作用。用户认证方法按其层次不一样能够依据以下三种原因提供认证。1.用户持有证件,如大门钥匙、门卡等等;2.用户知道信息,如密码;3.用户特有特征,如指纹、声音、视网膜扫描等等。依据在认证中采取原因多少,能够分为单原因认证、双原因认证,多原因认证等方法。第三部分是授权,这关键为特许用户提供适宜访问权限,并监控用户活动,使其不越权使用。该部分和访问控制(常说隔离功效)是相对立。隔离不是管理最终目标,管理最终目标是要加强信息有效、安全使用,同时对不一样用户实施不一样访问许可。第四部分是加密。在上述安全体系结构中,加密关键满足以下多个需求。1.认证——识别用户身份,提供访问许可;2.一致性——确保数据不被非法篡改;3.隐密性——保护数据不被非法用户查看;4.不可抵赖——使信息接收者无法否认曾经收到信息。加密是信息安全应用中最早开展有效手段之一,数据经过加密能够确保在存取和传送过程中不被非法查看、篡改、窃取等。在实际网络和信息安全建设中,利用加密技术最少应能处理以下问题:1.钥匙管理,包含数据加密钥匙、私人证书、私密等确保分发方法;2.建立权威钥匙分发机构;3.确保数据完整性技术;4.数据加密传输;5.数据存放加密等。第五部分为审计和监控,确切说,还应包含数据备份,这是系统安全最终一道防线。系统一旦出了问题,这部分能够提供问题再现、责任追查、关键数据复原等保障。在网络和信息安全模型中,这五个部分是相辅相成、缺一不可。其中底层是上层保障基础,假如缺乏下面各层次安全保障,上一层安全方法则无从说起。假如一个企业没有对授权用户操作规范、安全政策和教育等方面制订有效管理标准,那么对用户授权控制过程和事后审计等工作就会变得很困难。3.2网络信息安全产品为了实施上面提出安全体系,可采取防火墙产品来满足其要求。采取NetScreen企业硬件防火墙处理方案NetScreen-10&NetScreen-100能够满足以下功效。(1)访问控制实施企业网和外部、企业内部不一样部门之间隔离。其关键在于应支持现在Internet中全部协议,包含传统面向连接协议、无连接协议、多媒体、视频、商业应用协议和用户自定义协议等。(2)一般授权和认证提供多个认证和授权方法,控制不一样信息源。(3)内容安全对流入企业内部网络信息流实施内部检验,包含URL过滤等等。(4)加密提供防火墙和防火墙之间、防火墙和移动用户之间信息安全传输。(5)网络设备安全管理现在一个企业网络可能会有多个连通外界出口,如连接ISP专线、拨号线等,同时,在大企业网内不一样部门和分企业之间可能亦会有由多级网络设备隔离小网络。依据信息源分布情况,有必需对不一样网络和资源实施不一样安全策略和多个等级安全保护,如能够在防火墙上实施路由器、交换机、访问服务器安全管理。(6)集中管理实施一个企业一个安全策略,实现集中管理、集中监控等。(7)提供记帐、报警功效实施移动方法报警功效,包含E-mail、SNMP等。企业怎样选择适宜防火墙计算机网络将有效实现资源共享,但资源共享和信息安全是一对矛盾。伴随资源共享深入加强，随之而来信息安全问题也日益突出。并不是每一款防火墙全部适应于每个用户需求，依据用户需求不一样，所需要防火墙可能完全不一样。下面列举了多个网络中防火墙应用。INTERNET或信息公布服务这种情况很普遍，ISP或ICP，企业网页，在INTERNET上提供息服务或提供数据库服务等。任何一个想提供普遍服务或广而告之网络行为，必需许可用户能够访问到你提供服务主机，全部属于这种情况。对访问服务行业而言，访问服务提供者必需把要提供服务服务器主机放在外部用户能够访问地方，也就是说，主机安全几乎是唯一确保。除非明确地知道谁会对你访问惊醒破坏，才能够对出口路由器或出口防火墙惊醒部分针对性限制访问控制设定，不然，访问控制变得毫无意义。主机安全是一个很有效手段。所谓主机安全是一个很广义概念，首先是要有一个安全操作系统，建立在一个不安全、甚至稳定性全部很差操作系统上，是无法作到一个安全主机。然后是仔细检验你所提供服务，假如不是你所必需提供服务，提议除掉一切你所不需要进程，对你服务而言，它们全部是你安全上隐患。能够采取部分安全检测或网络扫描工具来确定你服务器上到底有伸麽服务，以确保是否有安全漏洞或隐患。最终是对主机确定很严格访问限制规则，除了许可提供商愿意提供服务之外，宣纸并拒绝全部未许可服务，这是一个很严格方法。除了主机安全以外，假如还需要提升服务安全性，就该考虑采取网络实时监控和交互式动态防火墙。网络实时监控系统，会自动捕捉网络上全部通信包，并对其进行分析和解析，并判定出用户行为和企图。假如发觉用户行为或企图和服务商所许可服务不一样，交互式防火墙立即采取方法，封堵或拒绝用户访问，将其拒绝在防火墙之外，并报警。网络实时监控系统和交互式防火墙含有很强审计功效，但成本相对偏高。INTERNET和内部网企业首先访问INTERNET，得到INTERNET所带来好处，其次，却不期望外部用户去访问企业内部数据库和网络。企业当然没有措施去建立两套网络来满足这种需求。防火墙基础思想不是对每台主机系统进行保护，而是让全部对系统访问经过某一点，而且保护这一点，并尽可能地对受保护内部网和不可信任外界网络之间建立一道屏障，它能够实施比较惯犯安全政策来控制信息流，预防不可预料潜在入侵破坏。依据企业内部网安全政策不一样，采取防火墙技术手段也有所不一样。包过滤防火墙包过滤防火墙安全性是基于对包IP地址校验。在Internet上，全部信息全部是以包形式传输，信息包中包含发送方IP地址和接收方IP地址。包过滤防火墙将全部经过信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并根据预先设定过滤标准过滤信息包。那些不符合要求IP地址信息包会被防火墙过滤掉，以确保网络系统安全。包过滤防火墙是基于访问控制来实现。它利用数据包头信息（源IP地址、封装协议、端口号等）判定和过滤规则相匹配是否决定舍取。建立这类防火墙需按以下步骤去做；建立安全策略；写出所许可和严禁任务；将安全策略转化为数据包分组字段逻辑表示式；用对应句法重写逻辑表示式并设置之，包过滤防火墙关键是预防外来攻击，或是限制内部用户访问一些外部资源。假如是预防外部攻击，针对经典攻击过滤规则，大致有：对付源IP地址欺骗式攻击（SourceIPAddressSpoofingAttacks）对入侵者假冒内部主机，从外部传输一个源IP地址为内部网络IP地址数据包这类攻击，防火墙只需把来自外部端口使用内部源地址数据包统统丢弃掉。对付残片攻击（TinyFragmentAttacks）入侵者使用TCP/IP数据包分段特征，创建极小分段并强行将TCP/IP头信息分成多个数据包，以绕过用户防火墙过滤规则。黑客期望防火墙只检验第一个分段而许可其它分段经过。对付这类攻击，防火墙只需将TCP/IP协议片断位移植（FragmentOffset）为1数据包全部丢弃即可。包过滤防火墙简单、透明，而且很行之有效，能处理大部分安全问题，但必需了解包过滤防火墙不能做伸麽和有伸麽缺点。对于采取动态分配端口服务，如很多RPC（远程过程调用）服务相关联服务器在系统开启时随机分配端口，就极难进行有效地过滤。包过滤防火墙只根据规则丢弃数据包而不对其作日志，造成对过滤IP地址不一样用户，不含有用户身份认证功效，不含有检测经过高层协议（如应用层）实现安全攻击能力。代理防火墙包过滤防火墙从很大意义上像一场战争，黑客想攻击，防火墙果断给予拒绝。而代理服务器则是另外一个方法，能回避就回避，甚至干脆隐藏起来。代理服务器接收用户请求后会检验验证其正当性，如其正当，代理服务器象一台用户机一样取回所需信息再转发给用户。它将内部系统和外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只许可有代理服务经过，而其它全部服务全部完全被封锁住。代理服务器很适合那些根本就不期望外部用户访问企业内部网络，而也不期望内部用户无限制使用或滥用INTERNET。采取代理服务器，能够把企业内部网络隐藏起来，内部用户需要验证和授权以后才能够去访问INTERNET。代理服务器包含两大类：一类是电路级代理网关，另一类是应用级代理网关。电路级网关又称线路级网关，它工作在会话层。它在两主机收次建立TCP连接时创建一个电子屏障。它作为服务器接收外来请求，转发请求；和被保护主机连接时则担当用户机角色、起代理服务作用。它监视两主机建立连接时握手信息，如Syn、Ack和序列数据等是否合乎逻辑，信号有效后网关仅复制、传输数据，而不进行过滤。电路网关中特殊用户程序只在首次连接时进行安全协商控制，其后就透明了。只有知道怎样和该电路网关通信用户机才能抵达防火墙另一边服务器。电路级网关防火墙安全性比较高，但它仍不能检验应用层数据包以消除应用层攻击威胁。应用级网关使用软件来转发和过滤特定应用服务，如TELNET、FTP等服务连接。这是一个代理服务。它只许可有代理服务经过，也就是说只有那些被认为“可信赖”服务才被许可经过防火墙。另外代理服务还能够过滤协议，如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关安全性高，其不足是要为每种应用提供专门代理服务程序。两种代理技术全部含有登记、日志、统计和汇报功效，有很好审计功效。还能够含有严格用户认证功效。优异认证方法，如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件工具已被用来克服传统口令弱点。状态监控技术网络状态监控技术普遍被认为是下一代网络安全技术。传统网络状态监控技术对网络安全正常工作完全没有影响前提下，采取捕捉网络数据包方法对网络通信各个层次实施监测，并作安全决议依据。监视模块支持多个网络协议和应用协议，能够方便地实现应用和服务扩充。状态监视服务能够监视RPC（远程过程调用）和UDP（用户数据包）端口信息，而包过滤和代理服务则全部无法做到。网络状态监控对主机要求很高，128M内存可能是一个基础要求，硬盘要求也很大，最少要求9G，对SWAP区最少也要求192M以上。一个好网络状态监控系统，处理量可能高达每秒45M左右（一条T3线路）。网络状态监控结果，直接就是要求能够有一个交互式防火墙来满足用户较高要求。中网IP防火墙就是这么一个产品。虚拟专用网VPNEXTRANET和VPN是现代网络新热点。虚拟专用网本质实际上包含到密码问题。在无法确保电路安全、信道安全、网络安全、应用安全情况下，或也不相信其它安全方法情况下，一个行之有效措施就是加密，而加密就是必需考虑加密算法和密码问题。考虑到中国对密码管理体制情况，密码是一个单独领域。对防火墙而言，是否防火墙支持对其它密码体制支持，支持提供API来调用第三方加密算法和密码，很关键。怎样构筑虚拟专用网VPN企业利用Internet构筑虚拟专用网络(VPN)，意味着能够削减巨额广域网成本，然而在VPN中确保关键数据安全等原因又是企业必需面正确问题。削减广域网成本，吸引新用户，这是当今每一位企业主管求胜之路。不过包含到Internet，企业有得又有失，比如专用线路高可靠性及安全性就是VPN需要关键考虑地方。相比之下VPN比租用专线费用低近80%，而且能够将Internet上多个网站连接起来，使企业接触新企业伙伴和用户。明确远程访问需求首先企业要明确需要和哪种WAN连接，用户是经过LAN/WAN还是拨号链路进入企业网络，远程用户是否为同一机构组员等问题。WAN连接有两类：内联网连接和外联网连接。内联网连接着同一个机构内可信任终端和用户，这一类经典连接是总部和下属办事处、远程工作站及路途中用户连接。对于内联网连接，VPN应提供对企业网络相同访问路径就好象用户或下属办事处真正和总部连接起来。内联网VPN实施安全决议通常是标准企业决议，远程用户最少要经过一次认证。围绕下属办事处，VPN要考虑一个关键问题是这些办事处物理安全性。物理安全性涵盖了一切原因，从下属办事处密钥和锁，到计算设备物理访问，再到可访问设施非雇员数量等等。假如全部这一切全部万无一失，在总部和下属办事处之间就能够建立一个“开放管道”VPN。这类似于LAN到LAN连接。即不需要基于VPN用户认证，因为我们认为这么连接是安全。不过，假如这些地方有问题，网络设计人员就要考虑采取更严格安全方法。比如，VPN需要严格认证，或将对总部网络访问限制在某个孤立子网中。VPN对外联网安全要求通常十分严格，对保密信息访问只有在需要时才能获准，而敏感网络资源则严禁访问。因为外联网连接可能会包含机构外人员，处理用户改变问题则很有挑战性。从根本上说，这是严格政治问题。但在机构确定用户时，这是严格急需处理技术问题。重视管理企业网络是攻击者垂涎目标,所以,管理层必需保护企业网络免遭远程入侵。一个机构安全决议应界定何种形式远程访问是许可或不许可，决议中还要确定对应VPN设备和实施选择方法。通常来说，决议者应处理VPN特有多个问题：远程访问资格，可实施计算能力，外联网连接责任，和VPN资源监管。另外，还应包含为出差旅行职员及远程工作站职员提供访问步骤。当然，决议中应包含部分技术细节，比如加密密钥长度，假如VPN加密算法要求公开认证，则还需要法律支持保护。对外另外而言，决议中应具体说明立即通报远程用户人员变更步骤，被解聘人员必需立即从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好协作。通常，企业人事部门已制订有些人事管理要求，这些要求可能也适适用于VPN用户。确定最好产品组合可选择VPN产品很多，但产品基础上可分成三大类：基于系统硬件、独立软件包和基于系统防火墙。大部分产品对LAN到LAN及远程拨号连接全部支持。硬件VPN产品是经典加密路由器,因为它们在设备硅片中存放了加密密钥,所以,较之基于软件同类产品更不易被破坏.另外,加密路由器速度快,实际上,假如链路传输速度超出T1(1.554Mbps),这么VPN是名列前茅。基于软件VPN可能提供更多灵活性。很多产品许可依据地址或协议打开通道，而硬件产品则不一样，它们通常为全部信息流量打开通道，而不考虑协议要求。因流量类型不一样，特定通道在远程站点可能碰到混合信息流时分优先级，比如有些信息流需要经过VPN进入总部数据库，有些信息流则是在网上冲浪。在通常情况下，如经过拨号链路连接用户，软件结构可能是最好选择。软件系统问题在于难于管理，它要求使用者熟悉主机操作系统、应用程序本身和对应安全机制，甚至部分软件包需要对路由表和网络地址方案进行改动。基于防火墙VPN则利用了防火墙安全机制优势，能够对内部网络访问进行限制。另外，它们还实施地址翻译，满足严格认证功效要求，提供实时报警，含有广泛登录能力。大多数商业防火墙还能经过剔除危险或无须要服务加固主机操作系统内核。因为极少有VPN厂商提供操作系统级安全指导，所以，提供操作系统保护是这种VPN一大优势。什么时候企业选择基于防火墙VPN呢？通常是在远程用户或网络充满潜在敌意时候。这时，网管员可建立起所谓非军事区（DMZ），部分，系统通常使用在防火墙上一个第三方界面，并有自己访问控制规则。攻击者可能能抵达DMZ，但不能破坏内部部分。基于防火墙VPN对于仅仅实施内联网应用企业还是蛮好，它是软件产品中最轻易确保安全和管理产品。对于这三种VPN产品，网管员还要在四个领域进行考评：协议处理、IP安全支持、认证服务器支持和加密密钥引出。比如：即使大多数企业网络为多协议型，但VPN产品只处理IP协议传输，假如其它协议如IPX或SNA需要传送，用户需要寻求能为这些协议加密，或能将它们打包成IP，让基于IPVPN系统处理方案。显然，后一个选择可能会降低系统性能。Ipsec是IETF(InternetEngineeringTaskForce)组织为TCP/IP协议集增加标准认证和加密功效。伴随Ipsec越来越稳定和实施越来越广泛，VPN终端用户能够无须使用同一厂商产品以确保可靠工作，不过到现在为止，实施成功VPN通常意味着要从同一家厂商购置全部设备。尽管大部分VPN可保留自己认证数据库，但网管员也期望借助于现有认证服务器。比如，很多远程访问服务器使用下述两种协议之一外部系统来认证用户：远程认证拨入用户服务器（Radius）或终端访问控制器访问系统(Tacscs)。独立认证服务器优势在于可收缩性，即不管增加多少台访问设备，一台认证服务器就足矣。假如一个企业VPN延伸到海外，网管员还必需处理出口问题。现在美国法律严禁128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但通常跨国经营美国公民可能需要布署两个VPN系统：一个加密功效较弱，用于国际用户，一个加密功效较强，用于中国用户。进行测试企业不能武断地选择某种VPN方案，通常要经过广泛测试，运行两到三种VPN产品，再作出决定。企业首先要确定一个远程用户间测试伙伴小组，由她们测试系统情况。注意，测试小组中一定要包含多种技术工种职员，这一点对于确保VPN测试公正和评定系统管理人员排除故障能力至关关键。成功VPN测试包含6个方面：首先，测试VPN是否可根据机构远程访问决议进行配置；其次，测试VPN是否支持全部正在使用认证和授权机构；第三，验证VPN可有效地产生和分配密钥；第四，测试VPN是否许可远程用户加入到企业网络中，就像她们在物理上是连接起来一样；第五，验证系统为排除故障和提供显著线索能力；最终，验证是否技术和非技术人员一样能轻松利用VPN。确定系统大小为企业系统选择适宜硬件时,网络决议者要估量系统用户总数,同时举行网络会议经典数量,和数据时间敏感性（它决定所需密钥长度）。比如对于基于软件VPN，假设采取三倍DES（数据加密标准）加密，使用128位密钥、数据压缩和信息认证，这么，200MHzPentium处理器就能处理T1网络连接。鉴于内存越大，可许可同时连接信息流越多，所以，系统在服务器上能够指定尽可能多RAM。正如以上所述，速度高于T1网络连接则可能需要基于硬件VPN。假如厂商提供产品性能基准，网络管理员注意务必了解怎样进行测试具体说明。为了能对不一样厂商产品进行公平比较，网管员需考虑诸如帧长度、加密算法及密钥长度、压缩使用及信息认证算法现实状况。另外，网管员在设计生产系统时，还要考虑备份和冗余问题，大型机构或信息流量大机构可能还想考虑多服务器上负载均衡问题。为VPN服务器选择位置远程用户隶属关系有利于确定VPN设备放置位置。对于期望经过远程访问复制办事处工作环境职员来说，VPN服务器最好直接放在专用网络中，但这一方法也最易成为攻击者攻击目标。对于职员企业，假如绝大多数远程用户属于外部机构，将VPN设备放在DMZ网络上意义更大，因为它要比内部网络更为安全，屏蔽DMZ防火墙有利于保护其间设备。这种方法也比将VPN设备完全放在安全设施周围之外更安全。假如一台认证服务器属于DMZ子网，它会得到细心管理和保护，免于内部和外部威胁。企业在设计安全内联网和外联网时，安置VPN和认证服务器是关键一步。其中，建立和下属办事处链路最简单：一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行职员或远程工作站需要进行认证，所以，它们建立和VPN服务器链路，将认证请求传送到DMZ上认证服务器。外界顾问不需要认证，她们只需同另一台VPN服务器连接起来，这一台服务器应在第二个DMZ上，以保护企业认证服务器。另外值得注意是，企业为业务伙伴进行连接配置最需要技巧，连接请求首先抵达第二个DMZ上VPN服务器，以后请求被传送到第一个DMZ上认证服务器，最终，同意请求被传送到请求访问资源中。重新配置其它网络设备安装VPN，尤其是包含IP地址管理和防火墙时，企业可能要对网络上其它设备重新进行配置。VPN通常使用网络地址翻译器（NAT），如IETFRFC1918中所述，NAT将专用地址（通常从一组保留地址中选出）映射到一个或多个在Internet上可见地址上。网管员最少要使VPN设备配置清楚哪些地址要保留下来供内部使用。另外，很多基于VPN防火墙还支持动态主机配置协议（DHCP）。网管员需将DHCP和VPN功效协调起来，不然，用户机可能最终将信息只发送到Internet而不是专用网络上。部分VPN设备使用虚拟网络适配器将有效IP地址分配到专用网络上，如DEC企业Altavista通道服务器，或使用由微软企业开发点到点通道协议（PPTP）全部能够将这些地址分配到未使用地址中，并对路由器及其它需要进行地址更新网络设备进行必需修改。假如VPN服务器在防火墙以内，网络管理员还要对防火墙进行重新配置。大多数VPN将全部信息流闭合起来，形成一股使用单一TCP端口号信息流。这么，防火墙需要一个类属代理或用于传输封闭VPN信息流规则，和许可将信息流传送到VPN设备上规则。假如VPN设备在DMZ部分外联网中，防火墙还需要一个许可加密信息流从Internet流动到DMZ上规则，另外，还有让应用程序流从DMZ流动到内部网络上规则。假如认证服务器在内部网络上，防火墙配置一定要有许可DMZ和专用网络间认证请求。网络管理员应该注意，网络中中有一个千万不能被篡改地方是专用网络域名系统（DNS）服务器，它负责专用网络设备主机名称到IP地址解析。假如DNS可在Internet上看到，那么攻击者可了解专用网络布局。安装和配置VPN对于基于软件VPN和那些围绕防火墙制作产品，从安全系统入手是根本。在安装前从服务器中取消全部没有须要服务、应用程序和用户帐户，以确保安装是最新、安全产品，这么安装VPN软件才是安全。对VPN进行配置时，网管员要为一系列原因设定参数，包含密钥长度、关键和次要认证服务器及相关共享秘密资源、连接和超时设置、证书核查VPN终点设备（而不是用户）身份，大部分VPN产品全部提供此功效。对此，部分厂商实现方法是，让全部信息进入总部设备下载相关信息。而对于远程用户，则需要建立口令，准备连接脚本，确立认证步骤。网管员还要让认证和授权程序协调起来。二者听起来差不多，但有些微妙且关键差异。认证是要证实远程用户是她或她声称身份（在外联网设置中，要证实则相反，即服务器可信）。授权是要确定远程用户有权访问何种网络资源。假如认证服务器还控制授权分组，比如营销或策划小组授权，则系统还要注意核查它是否能正确地同VPN设备联络组信息。监控和管理VPN这一步是要建立监控Internet连接机制，它能够测定VPN对网络利用和吞吐量，而且也是培训访问台职员操作VPN设备及认识认证服务器和防火墙相互间影响关键一步。另外，机构中全部网管员全部应该了解VPN基础操作，认识到管理VPN人不应该只是那些安装和配置人，最终用户也需要接收Internet了解及VPN软件工作原理基础培训。而且，让最终一接收部分基础故障排除方法培训，能够使她们能自己处理部分小故障。进行备份伴随用户对VPN深入熟悉，企业可能会包含到部分由任务决定应用程序，比如企业要为用户建立一个电子商店。在这么情况下，备份连接是必需，所以网管员在设计网络阶段就应为冗余链路和设备制订计划。信息流量大站点应选择支持多设备负载均衡VPN，原因在于提供负载均衡能力VPN厂商很少，现在NetScreen防火墙产品支持负载均衡和流量控制功效同时也支持冗余路径。即使网络应用并不关键，进行备份也不失为避免用户投诉好措施。在这方面，保留几台调制解调器和电话线路用于紧急情况可能就足矣。然而，这种方法费用较高，而且速度慢，对于LAN到LAN连接，备份连接最好由ISDN或其它专用线路来满足。要注意是，一定要定时测试备份连接系统。复合型防火墙体系防火墙体系采纳是一个很专业化过程，不是一个简单是和非。当然能够依据具体情况，作出一定安全政策，并采取某种上述特定防火墙。但绝大多数情况是，依据具体安全需求，经过某种体系构架，来实现更高强度安全体系。或是采取包含上述功效复合型防火墙。我们就具体情况作一个简单说明：屏蔽主机网关由一个运行代理服务双穴网关和一个含有包过滤功效路由器组成，功效分开提升了防护系统效率。一个独立屏蔽子网在Intranet和Internet之间，起保护作用。它由两台过滤路由器和一台代理服务主机组成。路由器过滤掉严禁或不能识别信息，将正当信息送到代理服务主机上，并让其检验，并向内或向外转发符合安全要求。4、NetScreen网络安全处理方案4.1企业背景NetScreen科技企业成立于1997年10月，总部在美国加州硅谷。企业奠基者有过在Cisco和Intel等科技领先企业多年工作经验。1998年11月，RobertThomas即Sun企业实施总裁加盟NetScreen企业，任企业总裁。企业致力于发展一个新型和网络安全相关高科技产品，把多个功效集成到一起，发明新业界性能纪录。NetScreen创建新体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时性能瓶颈，能实现最高等级IP安全（Ipsec），优异系统级设计许可产品提供多个功效，而且这些功效全部含有没有和伦比性能。NetScreen科技企业已经为业界在虚拟专用网领域设置了新安全处理系统标准。全部功效全部放在相关专有硬件平台盒子里，而且这些功效全部有着无和伦比性能。现在企业由SequoiaCapital投资赞助。Sequoia是一家领先风险投资企业，成立于1974年，已成功地为超出350家企业提供了最初风险投资基金，其中包含3Com企业、Cisco系统企业、Oracle企业、Symantec企业和Yahoo企业等等。其中大部分企业股票全部已成功上市。NetScreen科技企业现在有50多名职员企业在全美关键城市全部设有办事处，而且主动拓展海外市场。用户群包含HP、日立、日本电讯电话企业和美国在线等，覆盖了欧美亚等十多个国家和地域。NetScreen企业产品NetScreen-100取得了KeyLabs工作组“测试首选奖”，在1998年4月举行数据通讯杂志评测中，NetScreen-100VPN吞吐量是取得第二名2.5倍。1998年11月，NetScreen企业再次荣获“测试者选择奖”，这是数据通讯杂志年度奖。在同类产品中，NetScreen是唯一职员把防火墙、虚拟专用网（VPN）、负载均衡及流量控制结合起来，且提供100M线速性能产品。NetScreen确保这一点。在1998年8月和9月，NetScreen-10和NetScreen-100经过了ICSA(国际计算机安全协会)防火墙认证。1998年9月，NetScreen推出了VPN远程存取用户端软件。1998年10月，NetScreen宣告推出NetScreen-1000产品。这是第一个支持千兆位传输含有防火墙和VPN功效产品。1998年6月，NetScreen-100被HP企业选为它在防火墙方面新合作伙伴。HP合作伙伴是在全球范围年为HP提供集成处理系统，并在增强用户Internet上应用。NetScreen是HP选中二家防火墙厂家一家，而且是唯一一家基于硬件产品。1998年12月日立企业宣告它将在日本推广NetScreen产品。日立企业准备在未来三年内卖出10000套NetScreen产品。4.2产品系列现在，NetScreen有NetScreen-10用于10MB传输网络。NetScreen-100用于100MB传输网络。NetScreen-100端口是自适应端口，也可用于现在传输为10MB并计划未来升级为100MB网络。NetScreen-1000很快将要面市，它将为那些大型企业和网络主干供给商提供千兆网安全处理方案。NetScreen-5现在正在测试阶段。它大小类似一个CDROM。它是为小型办公室或个人用户而设计。NetScreen远程VPN用户软件可提供远程VPN访问处理方案。4.3产品功效及特点NetScreen产品是基于安全包处理器产品。全新技术包含定制专有芯片无偿加盟和策略实现。高性能多总线体系结构、内嵌高速RISCCPU和专用软件。NetScreen防火墙专用ASIC芯片提供存取策略功效。该功效以硬件方法实现，它比软件防火墙有着无可比拟速度优势。CPU可专门负责管理数据流。（策略存取实施防火墙保护和加密解密功效）。因为做到了系统级安全处理功效。NetScreen消除了基于PC平台防火墙需管理多个部件所引发性能下降瓶颈。NetScreen提供了多功效和高安全性能无缝连接，NetScreen-1000,NetScreen-100和NetScreen-10分别提供了1000M、100M和10M传输性能。NetScreen-1000是市场上唯一千兆集防火墙、VPN和流量管理于一身防火墙产品。一样，NetScreen-100是业界最快防火墙，另外，NetScreen自动调整端口速率，使其达成10M和100M自适应。因为是基于硬件设计，NetScreen是唯一一家安全处理系统提供商，NetScreen产品高性能许可用户享受到高速好处，可提供多条E1线路，甚至更高如E3线路。另外，该产品许可用户在远程实现加密通信，而且这种VPN功效不影响性能。NetScreen提供给ISP们一个价廉物美安全处理方案。NetScreen－10为中小企业提供她们负担得起全方面安全处理方案。许可她们在自己企业网内部构筑安全体系。性能NetScreen产品动态加密保护和按优先级实时监控未来数据，它专有独特系统设计确保了它高性能，ASIC芯片能够独自处理并过滤包。优异多总线结构比基于PC平台上防火墙产品快。一样基于系统级安全功效设计消除了传输瓶颈。用户认证和策略NetScreen支持高性能存取为每一个目前用户，不管是远程还是在防火墙内，支持创纪录并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接（超出256000）；策略数（多于5000）和并发VPN连接数（超出10000）。NetScreen-100支持每秒4370个连接，（基于32个用户），领先于它最靠近竞争对手。依据独立测试机构，KeyLab测试汇报，NetScreen－100支持3个并发用户连接，NetScreen-10支持16000个并发连接。全部产品全部支持超出5000个存取策略，并提供简单易用过滤界面。防火墙NetScreen全功效防火墙包含了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级包检验和事件日志功效。该产品和Ipsec协议兼容。VPNNetScreen会集了VPN功效，确保了数据在传输过程中加密和解密，但在数据被加、解密之前，首先要满足预定策略。不管NetScreen－100还是NetScreen－10全部支持业界加密标准。包含网络密钥交换（IKE,或以前ISAKMP)经过IP，DES，TripleDES。而且还支持数据署名（MD5）算法。NetScreen将支持X.509认证公钥算法（PKI），能够自动地管理VPN。NetScreen-1000建立了新VPN性能测试基准，和其它同类产品比较，NetScreen-1000有着更高吞吐量，更广泛安全性和更低价位。流量管理流量管理提供给网络管理员全部必需信息去监控和管理网络流量。网络控制功效象带宽分配。流量优先级和负载均衡，使该产品成为web服务器和ISP理想产品。网络管理该产品易于安装，而且NetScreen产品能够远程经过网络上任何一台含有浏览器机器来管理。透明模式 NetScreen能够被用来作透明传输。你能够在这种方法下不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有任何网络配置就能够利用策略来管理网络流量。除了它能够在两台NetScreen之间运行VPN，即使有些产品能够在透明模式下工作，但它们也不能在透明模式下实现VPN。特点．独特ASIC设计及已申请专利保护系统体系结构．最优性能价格比．无用户数目限制．独特负载均衡能力及流量优先级控制能力．创统计性能，含有线速运行能力．配置简单，管理方便．支持透明传输模式．设计紧凑，部分附加功效转移到主机上完成．如日志功效．支持一主一备管理模式4.4访问控制NetScreen使用了状态检验方法来实现动态包过滤。相比其它两种方法简单包过滤和复杂应用网关来讲，它含有愈加快速和更安全优点。简单包过滤只检验IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或许可端口访问。它不能了解连接状态。一旦真正用户完成了TCP连接后，就留下了可使黑客劫持端口号漏洞。应用网关经过检验应用层全部包，提供了愈加好安全性。不过用户需要厂商提供全部应用代理。而且它只能用软件实现，所以性能是很低。状态检验链路层代理，其次，可实现硬件层。防火墙保持全部TCP会话检验。一旦一个会话结束，防火墙就结束这个连接。在不牺牲安全性条件下，提供更高性能。NetScreen也可提供网络层URL过滤，并在很快未来实现病毒扫描功效。NetScreen产品也提供信息和用户认证。NetScreen是经过建立VPN通道，由MD5实现ESP信息认证，并依从IPSec标准用户认证可由两种方法实现。用户可在防火墙上定义多达个用户或设置一个Radius服务器来存放用户认证信息。4.5管理NetScreen产品可连接信任端口（Trusted）或不信任端口（Untrusted）然后经过web界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口（Untrusted）能够因安全原所以设置为取消。假如取消它，不信任端口是不可ping。(不信任端口（untrusted）在1.60