由于OSI参考模型与TCP/IP参考模型之间存在对应关系,因此可根据GB/T9387.2-1995的安全体系框架,将各种安全机制和安全服务映射到TCP/IP的协议集中,从而形成一个基于TCP/IP协议层次的网络安全体系结构。
⑵ 谈谈对网络安全的认识
分类: 电脑/网络 >> 互联网
解析:
谈对网络安全的认识
近几年来,网络越来越深入人心,它是人们工作、学习、生活的便捷工具和丰富资源。但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Inter 计算机侵入事件。在我核键国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。作为学校,如何建立比较安全的校园网络体系,值得我们关注研究。
建立校园网络安全体系,主要依赖三个方面:一是威严的法律;二是先进的技术;三是严格的管理。
从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等,这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。
网络现状
我校是一所市一级中学,目前有两所网络教室、200多台教学办公电脑,校园网一期工程为全校教教学教研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过中国公用Inter网(CHINANET)与Inter互连,校园网结构是:校园内建筑物之间的连接选用多模光纤,以网管中心为中心,辐射向其他建筑物,楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机;二级交换机为3Com 3300。
安全隐患
当时,校园网络存在的安全隐患和漏洞有:
1、校园网通过CHINANET与Inter相连,在享受Inter方便快捷的同时,改橘巧也面临着遭遇攻击的风险。
2、校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
3、目前使用的操作系统存在安全漏洞,对网络安全构伍卖成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞,这些都对原有网络安全构成威胁。
4、随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
措施及解决方案
根据我校校园网的结构特点及面临的安全隐患,我们决定采用下面一些安全方案和措施。
一、安全代理部署
在Inter与校园网内网之间部署一台安全代理(ISA),并具防火墙等功能,形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理,与内、外网间进行隔离。那么,通过Inter进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性:
1、据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切,只开有用”的原则。
2、安全代理配置成过滤掉以内部网络地址进入Inter的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
3、安全代理上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4、定期查看安全代理访问日志,及时发现攻击行为和不良上网记录,并保留日志90天。
5、允许通过配置网卡对安全代理设置,提高安全代理管理安全性。
二、入侵检测系统部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。
三、漏洞扫描系统
采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
四、诺顿网络版杀毒产品部署
在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心,负责管理200多个主机网点的计算机。
2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。
3、安装完诺顿杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端,并自动对诺顿杀毒软件网络版进行更新,使全校的防毒病毒库始终处于最新的状态。
五、划分内部虚拟专网(VLAN),针对内部有效VLAN设置合法地址池,针对不同VLAN开放相应端口,阻止广播风暴发生。
六、实时升级Windows2000 Server、IE等各软件补丁,减少漏洞;实行个人办公电脑实名制。
七、安全管理
常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度、上网规定等,同时要注意物理安全,防止设备器材的暴力损坏,防火、防雷、防潮、防尘、防盗等,并采取切实有效的措施保证制度的执行。
近几年,通过对以上措施的逐步实施,我校校园网络能鸲安全正常运行,为学校教育教学工作的顺利开展提供了有力辅助,并渐入佳境。
⑶ 改公网ip后网络安全吗
不安全。
这是不一定的,需要根据用户申请的方式或者根据运营商对客户提供的上网方式。如果用户使用的是普通拨号方式,而运营商没有进行内网地址转换,则用户可以每拨号成功一次。
就会获得一个公网IP地址,等下次拨号就会重新随机分配,这是随机分配的。如果用户申请固定IP,则这个公网地址是固定不变的。
如果你获取公网IP为拨号方式获取的是动态公网IP,只需要断开网络拨号,重新拨号一次,就可以。如果是专线静态IP,如要改IP需联系网络服务提供商。或者通过代理方式。
公网含义
它是把全球不同位置、不用规模的计算机网络(包括局域网、城域网、广域网)相互连接在一起所形成的计算机网络的集合体。公网包括政府法规、新闻、招商、活动、采购等,作为国家重点新闻网站,公网一直在坚持大力宣传党的主张,积极引导社会舆论,热情服务广大网民,不断地发挥自身的独特作用。
公网、内网是两种Internet的接入方式。公网接入方式:上网的计算机得到的IP地址是Internet上的非保留地址,公网的计算机和Internet上的其他计算机可随意互相访问。
⑷ 什么是网络安全
网络安全主要包含四个方面。
(1)系统安全
系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法,辨识系统中的隐患,并采取有效的控制措施使其危险性最小,从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系,是系统工程与安全工程结合的完美体现。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题,制定并执行安全工作规划(系统安全活动),属于事前分析和预先的防护,与传统的事后分析并积累事故经验的思路截然不同。系统安全活动贯穿于生命整个系统生命周期,直到系统报废为止。
(2)网络信息安全
主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
(3)信息传播安全
主要是保护信息传播过程中的安全。现在互联网被广泛应用,微信、QQ、支付宝的使用,都是在传播信息,保证传播过程中的信息安全,可以很大程度上避免网民信息泄露。
(4)信息内容安全
信息内容安全包括五个方面,即寄生系统的机密性、真实性、完整性、未经授权的复制和安全性。和网络信息安全比较类似,防止信息呗窃取、更改、泄露等。
⑸ 网络安全的关键技术有哪些
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息态咐尘只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络帆禅进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客简歼侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
⑹ IP网络安全技术的目录
一、网络安全基础篇
Q1.为什么网络安全不是绝对的?
Q2.什么是网络安全的“木桶原理”?
Q3.为什么系统会存在网络安全漏洞?
Q4.使用他人计算机时需要注意哪些安全问题?
Q5.如何选择一个易记难猜的口令?
Q6.使用代理服务器上网安全吗?
Q7.浏览网页时需要注意哪些安全问题?
Q8.在浏览器中输入的口令等信息是否会被别人看到?
Q9.发邮件时如何对敏感的邮件内容进行保护?
Q10.如何降低邮件附件中恶意代码带来的风险?
Q11.如何判断一封电子邮件是否经过伪造?
Q12.如何对重要的Word文档进行安全保护?
Q13.如何减少收到的垃圾邮件?
Q14.哪些计算机端口容易受到网络攻击?
Q15.通过无线上网有哪些安全隐患?
Q16.如何提高无线上网的安全性?
Q17.WLAN支持哪些安全加密协议?支持哪些认证协议?
二、攻击和防范篇
Q18.常见的网络攻击方式有哪些?
Q19.什么是缓冲区溢出攻击?
Q20.如何防范对计算机的扫描探测攻击?
Q21.Windows系统账号是弱口令时会导致哪些严重后果?
Q22.如何防止计算机系统账号、共享等敏感信息被远程窃取?
Q23.如何避免个人计算机成为网络攻击的跳板?
Q24.什么是TCP-SYNflood攻击,网络攻击对系统有何影响?
Q25.什么是ARP欺骗?
Q26.局域网环境内如何防止通信数据被监听?
Q27.拒绝服务攻击主要有哪几种类型?
Q28.DDoS攻击对网络或系统有何影响?
Q29.对于DDoS攻击,一般可以利用路由器的哪些安全特征进行控制?
Q30.网络蠕虫会对网络或系统造成哪些影响?
Q31.异常流量监测方式主要有哪几种,有何特点?
Q32.TCP拦截技术可以用来防范何种攻击,它是如何工作的?
Q33.如果网络流量突然异常增大,应该如何处理?
Q34.通过哪些网络安全手段可以提高IP承载网的安全性?
Q35.网络安全建设主要包括哪几方面的内容?
三、病毒、木马及恶意代码防范篇
Q36.什么是计算机病毒?有什么特征?
Q37.病毒入侵计算机的常见途径有哪些?
Q38.计算机感染病毒的症状有哪些?
Q39.如何预防计算机病毒?
Q40.如何减少邮件病毒的危害?
Q41.为什么病毒会反复出现?
Q42.蠕虫病毒与一般病毒的区别在哪里?
Q43.安装防病毒软件后,为何还会被病毒感染?
Q44.正常情况下,当病毒不能被成功清除时该如何处理?
Q45.病毒是怎么利用U盘传播的?
Q46.如何防范病毒通过U盘传播?
Q47.什么是木马?有什么危害?
Q48.我的计算机是否已被装了木马?如何检测?
Q49.如何识别木马的伪装?
Q50.木马防范工具有哪些?
Q51.为什么电脑总是莫名其妙地弹出很多窗口、广告?
Q52.什么是流氓软件?
Q53.如何清除计算机上的流氓软件?
Q54.什么是僵尸网络?
Q55.什么是僵尸程序?
Q56.僵尸程序与蠕虫、木马有什么联系和区别?
Q57.企业网应如何防范病毒?
Q58.网吧该如何防病毒?
四、Linux/UNIX安全篇
Q59.忘记Linux的root用户口令怎么办?
Q60.如果没有对Linux引导装载程序进行口令保护,有什么风险?应如何保护?
Q61.Linux账号长期保持登录状态可能会导致对账号的非法使用,应如何让Linux账号登录在超时后自动注销?
Q62.普通用户使用su命令可以切换到root用户,为防止对root的滥用,希望限制可使用su命令的用户,应如何实现?
Q63.怎样禁止root用户远程登录以防止对root身份的滥用?
Q64.为防止用户大量挤占磁盘空间,应如何对用户设置磁盘配额限制?
Q65.普通用户登录到Linux控制台后,将可以执行poweroff、halt、reboot等普通用户通常无权执行的命令,应如何禁用这些命令以保护控制台?
Q66.如何设置最短口令长度以增强Linux用户口令的强壮性?
Q67.如何调整Linux系统参数以增强其抵御synflood攻击的能力?
Q68.不必要的SUID权限会给系统带来什么风险?
Q69.异常的网络开放端口可能意味着系统已经被入侵,因此应定期查看端口开放情况。对于Linux系统,应如何查看其正在监听的网络端口?
Q70.怎样阻止对Linux系统的ping扫描?
Q71.怎样保护Linux系统的重要配置文件不被非法删除?
Q72.如何配置Linux的防火墙保护?
Q73.为什么使用Linux-PAM可方便替换Linux应用程序的验证机制?
Q74.在UNIX系统中怎样进行文件权限控制?
Q75.如何保障UNIX系统的网络服务安全?
Q76.怎样利用syslog记录UNIX系统日志?
Q77.如何解决Telnet、rsh、rlogin等常见的UNIX远程管理方式存在的安全隐患?
Q78.$HOME/.rhosts和hosts.eQuiv信任机制存在什么安全隐患?
Q79.如何发现UNIX文件系统被非法篡改的迹象?
Q80.如何通过安全配置降低UNIX系统遭受缓冲区溢出攻击的风险?
Q81.典型的安全加固流程是怎样的?
五、Windows安全篇
Q82.忘记Windows2000管理员密码怎么办?
Q83.如何使用“密码保护”功能来加强计算机的物理安全?
Q84.Windows系统为什么要经常打补丁呢?
Q85.WindowsSP补丁和hotfix修补程序有何区别和联系?
Q86.如何进行Windows系统安全补丁安装?
Q87.为什么最好不要启用Windows系统的账号锁定功能?
Q88.如何提高系统用户密码的安全性?
Q89.如何控制用户对某些磁盘或者文件夹的本地访问?
Q90.如何对Windows主机进行简单的网络访问控制?
Q91.在Windows系统中如何发现黑客入侵的痕迹?
Q92.Windows2000系统的安全架构是怎么样的?
Q93.用户的安全标识符(SID)能够唯一标识每个用户吗?
Q94.Windows用户的访问令牌(Accesstokens)有何作用?
Q95.Windows系统自带防火墙吗,怎样启用?
Q96.为什么要禁止Windows系统不必要的服务,如何关闭?
Q97.怎样查看Windows主机开放了哪些端口?
Q98.缺省情况下,Windows系统开放了哪些端口,有什么风险?
Q99.如何关闭Windows系统中的一些高风险的端口?
Q100.网络共享文件有何风险?怎样降低风险?
Q101.如何防止别人远程扫描到我的Windows主机?
Q102.Windows系统的“本地安全设置”有何功能?
Q103.如何知道Windows系统已经建立了哪些网络连接?
Q104.WindowsXP系统的“安全中心”有什么作用呢?
Q105.用户如何选择比较强壮的密码,不设置有什么风险?
Q106.在安装某些软件或更改配置后,WindowsXP系统工作不正常,能否恢复到以前的配置?
Q107.如何知道Windows系统已经共享了哪些文件夹?
Q108.怎样提高Windows系统注册表的安全性?
Q109.对Windows系统进行安全加固,主要包括哪些方面?
六、网络设备安全篇
Q110.哪些措施可以提高网络设备远程访问的安全性?
Q111.为保证网络的安全性,在配置路由器时应注意关闭哪些路由选项?
Q112.什么是AAA协议,主要有哪几种标准?
Q113.访问网络设备时,对用户进行AAA认证授权有何优点?
Q114.如何提高网络设备SNMP服务的安全性?
Q115.在用户配置网络设备时,如何保证操作的安全性?
Q116.哪些路由协议提供了认证机制,分别支持哪种认证方式?
Q117.访问控制列表在网络安全方面主要有哪些应用?
Q118.为什么我的ADSLModem设备会遭到攻击?
Q119.攻击者是怎样通过ADSLModem设备远程获得宽带用户上网口令的?
Q120.为什么要修改ADSLModem设备的缺省口令?如何修改缺省口令?
Q121.ADSLModem设备有哪些默认的服务?如何保证这些服务的安全性?
Q122.黑客是如何入侵无线网络路由器的?如何防范?
Q123.保证用户正常使用的情况下,如何让无线路由器隐身?
Q124.如何限制只有特定的主机才能够接入到无线网络中?
Q125.忘记交换机的密码怎么办?
Q126.交换机生成树协议存在什么安全问题?
Q127.交换机CAM表攻击是怎么一回事,具有什么危害?
Q128.如何防范交换机的CAM表溢出?
Q129.如何利用交换机来防范DHCP欺骗?
Q130.如何利用交换机防范ARP欺骗?
Q131.忘记路由器的密码怎么办?
七、网上交易安全篇
Q132.把银行账号、网上交易口令等信息存储在计算机里,安全吗?
Q133.如何提高网上交易的安全性?
Q134.网上购物时,对方要求提供信用卡账号时,该怎么办?
Q135.网上交易时经常会遇到软键盘输入方式,它有什么作用?
Q136.网上银行一般向用户提供两种数字证书,两者有何不同?
Q137.手机动态密码是如何保护网上银行安全的?
Q138.什么是网络钓鱼?
Q139.网上交易过程中有哪些常见的钓鱼方式?
Q140.为什么有时在浏览器上输入网站的正确地址也会进入钓鱼网站?
Q141.网上银行操作时应该注意什么问题?
Q142.网上进行证券交易存在哪些风险?
Q143.如何减少网上证券交易的风险?
八、即时通信安全篇
Q144.用QQ、MSN是通过明文传递即时消息吗?有何加密工具可对即时消息的传递加密?
Q145.为什么有的网络游戏、QQ等账号口令容易被盗,有什么防范措施?
Q146.如何保护QQ/MSN聊天记录?
Q147.如何检查QQ/MSN是否被植入了木马?
Q148.通过QQ/MSN接收文件时,应该具备哪些安全意识?
Q149.QQ如何自动拒收特定类型的文件以防范有害程序的入侵?
Q150.在网吧上QQ/MSN聊天有哪些安全注意事项?
Q151.QQ/MSN也需要定期更新升级吗?
Q152.如何保护QQ共享空间的文件安全?
Q153.QQ的通讯录上存放了朋友的个人资料,该如何保护这些信息的安全?
九、数据安全篇
Q154.数据有哪些安全属性?
Q155.对称加密和非对称加密有什么区别?
Q156.DES、3DES和AES,哪种对称加密算法更安全?
Q157.如何通过数据摘要验证数据的完整性?
Q158.如何实现口令等信息的安全存储?
Q159.想把机密信息通过网络途径安全地传递给对方,有哪些方法?
Q160.VPN如何保障数据传输安全?
Q161.什么是IPSecVPN?
Q162.IPSecVPN如何实现企业分支机构之间的安全互联?
Q163.IPSecVPN如何实现出差人员以安全方式访问企业内网?
Q164.IPSecVPN设备是否支持Radius认证方式,对用户进行集中认证管理?
Q165.IPSec如何防范重放攻击?
Q166.怎样保护Web服务器和用户浏览器之间的信息传输安全?
Q167.Telnet采用明文传输口令,如何解决这个问题?
Q168.FTP口令是明文传输的,有什么办法实现口令的加密传递?
Q169.可以参考哪些标准或协议开发一个基于指定端口的加密应用?
Q170.能否通过加密的方式实现不同PC机之间文件的网络拷贝?
Q171.如何在局域网内实现基于二层身份认证的安全接入?
Q172.802.1x认证机制是如何工作的?
Q173.什么是数字证书?
Q174.什么是数字签名?
Q175.如何对邮件进行签名和加密保护?
Q176.如何规避数据存储所面临的安全风险?
Q177.怎样合理制订数据备份策略?
Q178.有哪些常见的数据库防入侵保护措施?
Q179.如何实现数据库加密?
十、安全产品篇
Q180.目前有哪些种类的防病毒产品,各自的功能是什么?
Q181.如何合理部署防病毒产品?
Q182.选购防病毒产品应遵循哪些原则?
Q183.个人电脑在安装了防病毒产品之后为什么还需安装个人防火墙?
Q184.什么是防火墙?
Q185.防火墙有哪些组网模式?
Q186.配置防火墙时应该遵循什么原则?
Q187.为什么在部署防火墙产品之后需要定期检查其安全策略?
Q188.防火墙也能被渗透吗?
Q189.安全扫描工具有什么作用,目前有哪些种类的安全扫描产品,其主要的功能定位是什么?
Q190.使用安全扫描工具时需要注意什么问题?
Q191.IDS与IPS有何异同?
Q192.如何看待IDS的漏报和误报?
Q193.使用IDS时需要注意哪些问题?
Q194.异常流量检测系统有何作用?
Q195.内容过滤系统有何作用?
Q196.有哪些产品可以提高储存在计算机上的文档或数据的安全性?
Q197.终端安全管理产品的主要功能是什么?
Q198.为什么部署终端安全管理产品可以防范蠕虫病毒的传播?
Q199.针对Windows系统有哪几种补丁管理产品,其作用是什么?
Q200.部署安全审计产品能起到什么作用?在哪些安全需求下需要部署安全审计产品?
Q201.目前有哪些种类的安全审计产品?
Q202.数据库安全审计产品一般能完成哪些审计功能?
Q203.统一身份认证系统的主要功能是什么?
Q204.什么是动态令牌,采用动态令牌有什么好处?
Q205.什么是USBKey,采用这类产品能够防止哪些网络安全问题?
Q206.部署VPN等远程接入类产品时如何防止非安全终端接入网络?
Q207.什么是统一威胁管理(UTM)安全设备?
Q208.在哪些环境下适合部署UTM系统?
Q209.什么是安全操作中心(SOC),其主要功能和作用是什么?
缩略语
参考文献