毕业论文-防火墙技术在企业网中的网络安全.doc

目录摘要3Abstract41绪论41.1网络安全体系介绍51.2网络安全与防火墙52防火墙的概念62.1 什么是防火墙？62.2 防火墙的实质62.3 防火墙的功能62.3.1防火墙是网络安全的屏障：62.3.2防火墙可以强化网络安全策略：62.3.3对网络存取和访问进行监控审计：72.3.4防止内部信息的外泄：72.4防火墙的技术分类72.4.1数据包过滤型防火墙72.4.2 应用级网关型防火墙82.4.3 代理服务型防火墙82.4.4 复合型防火墙83防火墙在企业网中的应用93.1企业网面临的安全风险93.1.1内部窃密和破坏93.1.2网络窃听93.1.3假冒93.1.4完整性破坏93.1.5其它网络的攻击93.1.6管理及操作人员缺乏安全知识93.1.7雷击93.2企业防火墙选购三要素93.2.1第一要素：防火墙的基本功能103.2.2第二要素：企业的特殊要求103.2.3第三要素：与用户网络结合114企业网网络安全总体设计124.1安全设计总体考虑124.2网络安全134.2.1网络传输134.2.2访问控制154.2.3入侵检测154.2.4漏洞扫描164.3应用系统安全策略164.3.1系统平台安全163.4.2应用平台安全164.3.3病毒防护174.3.4系统设计原则174.3.5产品应用184.3.6数据备份194.3.7安全审计194.3.8认证、鉴别、数字签名、抗抵赖195如何建立企业网安全体系195.1 提升边界防御205.2 上网终端管理205.3 Web访问控制管理205.4 带宽资源管理205.5 信息收发控制管理204.6 互联网活动信息审计管理215.7 应用权限设置216网络安全的现状与展望216.1现阶段网络安全技术的局限性216.2 防火墙技术发展趋势226.3 入侵检测技术发展趋势226.4 防病毒技术发展趋势23结论23致谢24参考文献25防火墙技术在企业网中的网络安全摘要安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。本课题主要研究的是针对不同企业的的安全需求，制定不同的网络安全解决方案，以保障网络的安全性。关键词：防火墙 网络安全 企业AbstractSecurity is a problem can not be ignored, when people enjoy the convenience and fast networks to the same time, we must always face the network data security and opening of new challenges and new dangers. In order to protect network security, LAN and external network when connected, you can join in the middle of one or more intermediate systems, to prevent the illegal intruder attacks through the network, unauthorized access, and to provide data reliability, integrity and confidentiality, etc. safety and review of control, these intermediate systems is a firewall (Firewall) technology. Keywords: Firewall Network security Enterprise1绪论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。因此网络的安全变得尤为重要，防火墙的出现使得这一局面开始变得更加稳定，各种各样的攻击开始被防火墙阻止在外，以保证网络的安全性。但是随着网络攻击的日益复杂，防火墙的防攻击手段越来越多，因此对于防火本身的处理复杂数据的能力出现了隐患。1.1网络安全体系介绍每个网络都必须建立起自己的网络安全体系结构(NSA，Network Security Architecture)，包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等。一个安全系统的建设涉及的因素很多，是一个庞大的系统工程。一般情况下，采取以下需要措施。(1)物理措施例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火等措施。(2)访问控制对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。(3)数据加密加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。(4)防止计算机网络病毒病毒对计算机网络的危害越来越严重，必须引起高度重视。1988年11月3日，美国康乃尔大学一年级研究生罗特?莫里斯编制的称为“蠕虫”的计算机病毒通过Internet网大面积传播，致使6000多台主机被感染，直接经济损失超过6000万美元。(5)其他措施其他措施包括容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用倍息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。1.2网络安全与防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。2防火墙的概念2.1 什么是防火墙？防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。2.2 防火墙的实质防火墙包含着一对矛盾( 或 称 机 制)：一方面它限制数据流通，另一方面它又允许数据流通。由于网络的管理机制及安全策略(security policy)不同，因此这对矛盾呈现出不同的表现形式。 存在两种极端的情形：第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。 这里所谓的好用或不好用主要指跨越防火墙的访问效率。在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。2.3 防火墙的功能 2.3.1防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.3.2防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 2.3.3对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 2.3.4防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网的重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。2.4防火墙的技术分类防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。2.4.1数据包过滤型防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。 所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2.4.2 应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 2.4.3 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接，由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 2.4.4 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。3防火墙在企业网中的应用3.1企业网面临的安全风险3.1.1内部窃密和破坏企业网络上同时接入了所有部门的网络系统，因此容易出现部门内不怀好意的人员（或外部非法人员利用公司内某部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络帐号和口令、重要文件等）3.1.2网络窃听攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。3.1.3假冒企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。3.1.4完整性破坏信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。3.1.5其它网络的攻击企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。3.1.6管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。3.1.7雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。3.2企业防火墙选购三要素防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络,它使企业的网络规划清晰明了，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。它既可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。 在市场上，防火墙的售价极为悬殊，从几万元到数十万元，甚至到百万元。因为各企业用户使用的安全程度不尽相同，因此厂商所推出的产品也有所区分，甚至有些公司还推出类似模块化的功能产品，以符合各种不同企业的安全要求。 当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后，下一步要做的事情就是选择一个安全、实惠、合适的防火墙。那么面对种类如此繁多的防火墙产品，用户需要考虑的因素有哪些？应该如何进行取舍呢？3.2.1第一要素：防火墙的基本功能防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能： 防火墙的设计策略应遵循安全防范的基本原则“除非明确允许，否则就禁止” 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。 防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。3.2.2第二要素：企业的特殊要求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下： l 网络地址转换功能(NAT) 进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 l 双重DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 l 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 l 扫毒功能 大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。 l 特殊控制需求 有时候企业会有特别的控制需求，如限制特定使用者才能发送Email，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。3.2.3第三要素：与用户网络结合l 管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。 l 自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。 l 完善的售后服务我们认为，用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。 l 完整的安全检查好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 4企业网网络安全总体设计根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：l 网络系统安全；l 应用系统安全；l 物理安全；l 安全管理；4.1安全设计总体考虑根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑：l 网络传输保护主要是数据加密保护l 主要网络安全隔离通用措施是采用防火墙l 网络病毒防护采用网络防病毒系统l 广域网接入部分的入侵检测采用入侵检测系统l 系统漏洞分析采用漏洞分析设备l 定期安全审计主要包括两部分：内容审计和网络通信审计l 重要数据的备份重要信息点的防电磁泄露l 网络安全结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展网络防雷4.2网络安全作为企业应用业务系统的承载平台，由于许多重要的信息都通过网络进行交换，网络系统的安全显得尤为重要。4.2.1网络传输由于企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据企业三级网络结构，VPN设置如下图所示：图3-1 三级 VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：l 网络传输数据保护；由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输l 网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问l 集中统一管理，提高网络安全性；l 降低成本（设备成本和维护成本）；其中，在各级中心网络的VPN设备设置如下图：图3-2 中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的VPN设备放置如下图所示：图3-3 下级单位VPN设置图从图3-3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。4.2.2访问控制企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求：l 控制外部合法用户对内部网络的网络访问；l 控制外部合法用户对服务器的访问；l 禁止外部非法用户对内部网络的访问；l 控制内部用户对外部网络的网络；l 阻止外部用户对内部的网络攻击；l 防止内部主机的IP欺骗；l 对外隐藏内部IP地址和网络拓扑结构；l 网络监控；l 网络日志审计；详细配置拓扑图见图3-1、图3-2、图3-3。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：l 管理、维护简单、方便；l 安全性高（可有效降低在安全设备使用上的配置漏洞）；l 硬件成本和维护成本低；l 网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。4.2.3入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图：从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。4.2.4漏洞扫描为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。4.3应用系统安全策略4.3.1系统平台安全企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。3.4.2应用平台安全企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。4.3.3病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。4.3.4系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求：l 采用世界最先进的防毒产品与网络网络系统的实际需要相结合，确保网络系统具有最佳的病毒防护能力的情况下综合成本最少。l 贯彻“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。l 充分考虑网络的系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。l 应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。l 所选用产品具备对多种压缩格式文件的病毒检测。l 所选用产品易于安装、操作简便、便于管理和维护，具有友好的用户界面。l 应用经由ICSA（国际电脑安全协会）技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率，除对已知病毒具备全面的侦防能力，对未知病毒亦有良好的侦测能力。强调在网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。l 完全自动化的日常维护，便于进行病毒码及扫描引擎的更新。l 提供良好的售后服务及技术支持。l 具有良好的可扩充性，充分保护用户的现有投资，适应网络系统的今后发展需要4.3.5产品应用根据企业网络系统的结构和应用特点，病毒防御可采取多种措施：l 网关防毒；l 服务器防毒；l 客户端防毒；l 邮件防毒；应用拓扑如下图：图4-1病毒应用拓扑图在网络骨干接入处，安装防毒墙（即安装有网关杀毒软件的独立网关设备），由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理（SMTP、FTP、HTTP）。在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品（客户端杀毒软件的工作模式是服务器端、客户端的方式）的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。对邮件系统，可采取安装专用邮件杀毒产品，通过在邮件服务器上安装邮件杀毒程序，实现对内部邮件的杀毒，保证邮件在收、发时都是经过检查的，确保邮件无毒。通过这种方法，可以达到层层设防的作用，最终实现病毒防护。4.3.6数据备份作为国家机关，企业内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点：l 存储介质安全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。l 数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。l 备份过程安全确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。l 备份数据的保管对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份（避免类似美国911事件为各公司产生的影响）4.3.7安全审计作为一个良好的安全系统，安全审计必不可少。由于企业网是一个非常庞大的网络系统，因而对整个网络（或重要网络部分）运行进行记录、分析是非常重要的，它可以让用户通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提供依据。4.3.8认证、鉴别、数字签名、抗抵赖由于企业网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的发展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅；对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。5如何建立企业网安全体系一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。全方位打造安全高效的上网环境，以下介绍几点。5.1 提升边界防御 防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。然而，在应用内容及其格式以爆炸速度增长的今天，许多互联网危害隐患存在于应用层中，仅仅依照第三层信息决定其是否准入，根本无法满足安全的要求，我们还需要细粒度的应用层。5.2 上网终端管理网络边缘的外围设备再先进也无法保护内部网络，来自局域网内部的滥用、破坏也是威胁上网安全的重要因素。比如，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此缺乏安全措施的单机，比如使用陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，都将成为局域网安全中一颗颗隐藏的定时炸弹。 为上网终端配置网络准入规则，通过对单点的安全评估和访问策略列表是实现客户端全方位安全防护的最佳手段。对终端的安全策略列表应该包括操作系统、运行程序、系统进程、注册表等。5.3 Web访问控制管理 互联网是一个不可控的黑洞，无数不怀好意的网站使你上网冲浪时如履薄冰：隐藏蠕虫病毒、木马插件的非法网站，各类层出不穷的钓鱼网站都会让组织在分享互联网便利的同时带来巨大的隐患。 针对这些有害内容，URL库过滤技术近年来得到广泛采纳，采用该技术将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一，当然，还应该考虑到一些钓鱼网站采用的是SSL加密页面，所以还需要结合证书验证、链接黑白名单等措施。对文件下载传输行为进行规范也是必要的，将关键字、文件类型、网络服务与IP地址组进行关联，规范下载策略，可以控制大部分由主动下载造成的损害。5.4 带宽资源管理 不管采取什么方式上网，带宽终究是有限的，在无法改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须解决的问题。但现实的问题是，网管员对自己单位内部的带宽有效利用情况无从获知，就更谈不上改善了。 要做到优化带宽资源，首先要考察内网网络使用情况，并形成可供决策的报表，有些厂商提供的数据中心就已经可以提供丰富的报表分析功能。另外，针对网内一些重要的网络服务，也有必要启用QOS技术，从而保证重要的服务先行，避免垃圾流量挤占重要服务的带宽。5.5 信息收发控制管理 全球每天有120亿条消息通过即时通讯工具（Instant Messaging，IM）被发送，这些IM应用也许是员工在和同事、客户讨论工作，但更多的聊天对象却是家人、朋友甚至是陌生人。此外，网络上还有其它大量的和工作无关网络应用存在，包括网络游戏、在线炒股、P2P下载等，这些工作时间内的“丰富应用”造成了组织生产效率的巨大浪费。有些组织靠封端口、封服务器地址等方法在一定程度上有效，但由于服务器地址和端口会经常变换，这导致封服务器地址和端口成为一项持续的高成本工作，只能是治标不治本。 在全面应用管理上更有效的封堵方法主要有两种，一种是基于应用协议和数据包的智能分析，另一种是针对流量进行检测。前者是通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分，能够更好的发现特定服务。后者则可以针对特定用户的网络连接情况进行分析，当网络流量和网络连接超出规定的阀值时，用户的行为将被限制流量。4.6 互联网活动信息审计管理互联网对企业还有一个重要的危害是信息的过度流动。由于它是一个开放系统，只要使用者轻点鼠标，企业与组织的机密信息就能瞬间以光的速度到达竞争对手那里。而一些攻击性、侮辱性的网络漫骂/谣言，则可能会导致组织不必要的内部纠纷。另外，内部员工通过组织网络随意发表的言论，也可能给组织带来法律上的风险。 要防范这些风险，应该从IM、HTTP、FTP、EMAIL等各个可能的出口，对外发信息进行审计和监控。所采取的措施应该包括记录与保存，对关键字的审计，甚至对一些关键的信息进行延迟审计。5.7 应用权限设置以上多种手段基本上可以满足一个安全高效的上网环境的建设，然而，一个组织内部，不同部门，不同人员，倘若对网络应用都拥有同样权限，注定会使网络出于低效、危险的境地。所以在这里我们有必要再介绍一下应用权限方面的管理。 对网络用户进行权限设置是一种很好的分级管理的措施。就流量优化而言，传统的带宽管理只能对特定服务分配相应的百分比带宽，属于“一刀切”行为。更具效力的网络流量优化方式是基于用户的流量控制技术，再结合各种不同应用的角色分配，可以有更好效果。具体说来，在广域网的访问中，有些部门的特殊应用是应该而且必须获得独占性资源的，例如总部的管理层同各分公司主管召开的视频会议，而有些部门的非工作相关服务则不应获得那么高的带宽，例如采购部门的P2P下载。通过分组流量控制，你可以对不同用户组使用的服务进行精细的带宽分配，保障重要部门的重要服务得到足够带宽。购买这些不同的IT设备，一方面动辄几十万甚至上百万的费用投入对于大部分的用户来说都是难以接受的，另一方面由于这些设备分别来自不同厂商，管理界面各异，对IT维护和管理也是个巨大的挑战和难题。6网络安全的现状与展望6.1现阶段网络安全技术的局限性 谈及网络安全技术，就必须提到网络安全技术的三大主流防火墙技术、入侵检测技术以及防病毒技术。 任何一个用户，在刚刚开始面对安全问题的时候，考虑的往往就是这“老三样”。可以说，这三种网络安全技术为整个网络安全建设起到了功不可没的作用，但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。 (1) 从用户角度来看，虽然系统中安装了防火墙，但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。 (2) 未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足，且在精确定位和全局管理方面还有很大的空间。 (3) 虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合理管理等方面。 所以说，虽然“老三样”已经立下了赫赫战功，且仍然发挥着重要作用，但是用户已渐渐感觉到其不足之处。其次，从网络安全的整体技术框架来看，网络安全技术同样面临着很大的问题，“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全，需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。 6.2 防火墙技术发展趋势 在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一的组件化管理技术。(1) 网络安全协议层防御。防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进行防护和控制，但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用，实现七层协议的保护，而不仅限于第二到第四层。(2) 通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高，将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出，但是目前全世界对IPS的部署非常有限，影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率，针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等，从而显著降低误报率。(3) 有高可靠性、高性能的硬件平台支撑。(4) 一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进行组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络安全。6.3 入侵检测技术发展趋势 入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS（IntrusionManagementSystem，入侵管理系统）具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将逐