【51CTO.com 獨家特稿】企業(yè)網(wǎng)絡及應用層由于網(wǎng)絡的開發(fā)性、網(wǎng)絡協(xié)議等自身設計的薄弱和脆弱性以及由于經(jīng)濟利益驅動而導致的黑客技術的攻擊性和目標性的不斷增強等原因，經(jīng)受著來自網(wǎng)絡和應用等多層次、多方面的網(wǎng)絡威脅和攻擊?？梢哉f，企業(yè)網(wǎng)絡信息安全能否得以保障，在絕大程度上取決于這個層次的安全防護技術的部署，本文將從企業(yè)網(wǎng)絡及應用層面臨的網(wǎng)絡威脅出發(fā)，闡述該層所必需的一些安全防護技術。

1、企業(yè)網(wǎng)絡及應用層面臨的網(wǎng)絡威脅

最近的研究表明，安全問題是企業(yè)目前面臨的最大挑戰(zhàn)。來自企業(yè)內(nèi)部和外部的動態(tài)變化的安全威脅隨時會給企業(yè)運營帶來巨大的災難，并最終影響企業(yè)的盈利能力和客戶滿意度。此外，中小型企業(yè)還要注意遵從為了保護消費者隱私和保障電子信息安全而制定的各種法律法規(guī)。

1.蠕蟲和病毒

計算機蠕蟲和病毒是最常見的一類安全威脅。調(diào)查顯示，去年有75%的中小型企業(yè)感染過一種以上的病毒。蠕蟲和病毒會嚴重破壞業(yè)務的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性，其傳播速度也更快，甚至能在片刻間感染整個辦公場所，而要清除被感染計算機中的病毒所要耗費的時間也更長。可能造成的嚴重后果包括遺失訂單、破壞數(shù)據(jù)庫和降低客戶滿意度。雖然企業(yè)可以通過給計算機安裝防病毒軟件和升級操作系統(tǒng)補丁來加以防范，但是新病毒仍會隨時突破這些防線。同時，公司員工也可能通過訪問惡意網(wǎng)站、下載不可靠的資料或打開含有病毒代碼的電子郵件附件在不經(jīng)意間傳播病毒和間諜軟件，進而給企業(yè)造成巨大的經(jīng)濟損失。網(wǎng)絡安全系統(tǒng)必須能夠在網(wǎng)絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。

2.信息竊取

信息竊取是一個大問題。網(wǎng)絡黑客通過入侵企業(yè)網(wǎng)絡盜取客戶的信用卡和社會保障號碼而牟利。相對于大型企業(yè)，中小型企業(yè)的防范措施較弱因而更易遭受攻擊。僅僅在物理周邊加強防范還遠遠不夠，因為黑客可能會伙同公司內(nèi)部人員，如員工或承包商，一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響，因為它會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。此外，沒能采取充分措施保障信息安全的企業(yè)也可能會面臨負面報道、政府罰金和法律訴訟等問題。例如，美國加利福尼亞州在新出臺的消費者權益保護法中規(guī)定，任何企業(yè)在發(fā)現(xiàn)自己的客戶信息泄漏給非授權人員后必須馬上通知所有的客戶。任何安全策略必須能夠在企業(yè)內(nèi)部和外部對敏感的電子信息進行保護。

3.業(yè)務有效性

計算機蠕蟲和病毒會嚴重影響企業(yè)網(wǎng)絡的可靠性，進而影響企業(yè)對客戶請求的響應速度。然而，蠕蟲和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)運營與網(wǎng)絡越來越密不可分，網(wǎng)絡恐怖分子以破壞公司網(wǎng)站和電子商務運行為威脅，對企業(yè)進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網(wǎng)絡攻擊會占用關鍵網(wǎng)絡組件的大量帶寬，使其無法正常處理用戶的服務請求。結果是災難性的：數(shù)據(jù)和訂單丟失，客戶請求被拒絕。而當被攻擊的消息公之于眾后，企業(yè)的聲譽也會受到影響。雖然見諸報端的DoS攻擊主要發(fā)生在銀行和全球500強企業(yè)，但實際上中小型企業(yè)由于自身較弱的防范能力而更易遭到攻擊。此外，其他攻擊形式也會影響中小型企業(yè)的業(yè)務有效性，并進而影響企業(yè)的盈利能力和客戶滿意度。例如，資源竊取攻擊會入侵企業(yè)的計算機和網(wǎng)絡，并利用這些設備進行非法的文件(如音樂、電影和軟件)交換服務。然而企業(yè)很難發(fā)現(xiàn)這種安全漏洞，它們的計算機和網(wǎng)絡響應客戶請求的速度會大打折扣，而且還會因參與非法的文件交換而面臨法律訴訟的危險。

4.垃圾郵件

2006年最后一個季度垃圾郵件猛增，這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過濾器造成的。由于發(fā)送大量垃圾郵件的成本很低--特別是通過"僵尸網(wǎng)絡"（botnet）。因此，網(wǎng)絡犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。

2、拒絕服務攻擊防護技術

DoS的英文全稱是Denial of Service，也就是"拒絕服務"的意思。從網(wǎng)絡攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS是一種很簡單但又很有效的進攻方式。其目的就是拒絕你的服務訪問，破壞服務器的正常運行，最終會使用戶的部分Internet連接和網(wǎng)絡系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DoS攻擊的基本過程是：首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求，服務器發(fā)送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發(fā)送偽地址請求的情況下，服務器資源最終會被耗盡。#p#

DDoS（分布式拒絕服務），其英文全稱為Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，像商業(yè)公司、搜索引擎和政府部門的站點。通常，DoS攻擊只要一臺單機和一個MODEM就可實現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

拒絕服務攻擊攻擊很難解決。首先，被用來探測DDoS和DoS擊的網(wǎng)絡流沒有統(tǒng)一的特征；其次，DDoS布式特性使得它們極難被抵抗或追蹤；再次，配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到，攻擊者也可以使用IP偽裝技術來隱藏他們的真實身份，這就導致拒絕服務攻擊的追蹤更加困難。當前，較為成熟和可用的決絕服務攻擊防護技術包括：

（1）入侵預防：對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經(jīng)發(fā)動的DoS攻擊，有許多DoS防御機制試圖使系統(tǒng)免遭DoS攻擊：

I）入口過濾：設置一個路由器來禁止帶有非法源地址的包進入網(wǎng)絡；

II）出口過濾：確定了離開網(wǎng)絡的分配的地址空間；

III）基于歷史的IP地址過濾：可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫根據(jù)路由器之前的連接歷史來允許包進入。

（2）關閉不使用的服務：通常如果網(wǎng)絡服務不需要或沒有使用，則可以關閉這些服務來阻止攻擊發(fā)生的可能。

（3）應用安全補丁。

（4）負載平衡：使網(wǎng)絡提供方在重要的連接上增加帶寬，并防止萬一攻擊發(fā)生時帶寬下降。

（5）使用蜜罐：是具有一定安全性的系統(tǒng)，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。

3、垃圾郵件防護技術

隨著Internet的發(fā)展，電子郵件作為一種通信方式逐漸普及。當前電子郵件的用戶已經(jīng)從科學和教育行業(yè)發(fā)展到了普通家庭中的用戶，電子郵件傳遞的信息也從普通文本信息發(fā)展到包含聲音、圖像在內(nèi)的多媒體信息。電子郵件的廉價和操作簡便在給人們帶來巨大便利的同時，也誘使有些人將之作為大量散發(fā)自己信息的工具，最終導致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。垃圾郵件問題已經(jīng)極大地消耗了網(wǎng)絡資源，并給人們帶來了極大的不便。據(jù)中國互聯(lián)網(wǎng)協(xié)會（ISC）2005年第一次反垃圾郵件狀況調(diào)查顯示，中國郵件用戶2005年4月平均每人每天收到郵件16.8封，占收到郵件總數(shù)的60.87%。

（1）SMTP用戶認證

這是目前最常見、最簡單并且十分有效的方法。在郵件傳送代理（Mail Transport Agent，MTA）上對來自本地網(wǎng)絡以外的互聯(lián)網(wǎng)的發(fā)信用戶進行SMTP認證，僅允許通過認證的用戶進行遠程轉發(fā)。這樣既能夠有效避免郵件傳送代理服務器為垃圾郵件發(fā)送者所利用，又為出差在外或在家工作的員工提供了便利。如果不采取SMTP認證，則在不犧牲安全的前提下，設立面向互聯(lián)網(wǎng)的Web郵件網(wǎng)關也是可行的。此外，如果SMTP服務和POP3服務集成在同一服務器上，在用戶試圖發(fā)信之前對其進行POP3訪問驗證就是一種更加安全的方法，目前，新浪等大型網(wǎng)站都相繼采用了該功能，使得這些大型服務商的服務器被利用來發(fā)送垃圾郵件的概率大大降低，同時，在應用的時0候當前支持這種認證方式的郵件客戶端程序比較出色的是FoxMail。#p#

（2）逆向DNS解析

無論哪一種認證，其目的都是避免郵件傳送代理服務器被垃圾郵件發(fā)送者所利用，但對于發(fā)送到本地的垃圾郵件仍然無可奈何。要解決這個問題，最簡單有效的方法是對發(fā)送者的IP地址進行逆向名字解析，即通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致，例如，其聲稱的名字為pc.sina.com，而其連接地址為120.20.96.68，與其DNS記錄不符，則予以拒收。這種方法可以有效過濾掉來自動態(tài)IP的垃圾郵件，對于某些使用動態(tài)域名的發(fā)送者，也可以根據(jù)實際情況進行屏蔽。但是上面這種方法對于借助Open Relay的垃圾郵件依然無效。對此，更進一步的技術是假設合法的用戶只使用本域具有合法互聯(lián)網(wǎng)名稱的郵件傳送代理服務器發(fā)送電子郵件。需要指出的是，逆向名字解析需要進行大量的DNS查詢。這樣，在網(wǎng)絡中將會出現(xiàn)大量的UDP數(shù)據(jù)包。

（3）黑名單過濾

黑名單服務是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫，最著名的是RBL、DCC和Razor等。這些數(shù)據(jù)庫保存了頻繁發(fā)送垃圾郵件的主機名字或IP地址，供MTA進行實時查詢以決定是否拒收相應的郵件。簡單地說，即數(shù)據(jù)庫中保存的IP地址或者域名都應該是非法的，都應該被阻斷。但是，目前各種黑名單數(shù)據(jù)庫難以保證其正確性和及時性，一般該名單的形成需要一段時間的積累。例如，曾經(jīng)一段時期，北美的RBL和DCC包含了我國大量的主機名字和IP地址，其中有些是早期的Open Relay造成的，有些則是由于誤報造成的。但這些遲遲得不到糾正，在一定程度上阻礙了我國與北美地區(qū)的郵件聯(lián)系，也妨礙了我國的用戶使用這些黑名單服務。

（4）白名單過濾

白名單過濾是相對于上述的黑名單過濾來說的。它建立的數(shù)據(jù)庫的內(nèi)容和黑名單的一樣，但是其性質(zhì)是：庫中存在的都是合法的，不應該被阻斷。同樣，該過濾方法存在的缺點與黑名單類似，也是更新和維護難以達到實時，一些正常的、不為系統(tǒng)白名單所收集的郵件有可能被阻斷。從應用的角度來說，在小范圍內(nèi)使用白名單是比較成功的，可以通過在企業(yè)或者是公司的網(wǎng)關處通過一段時間內(nèi)獲取由內(nèi)部發(fā)出的郵件的相關信息的辦法來生成白名單。

（5）內(nèi)容過濾

即使使用了前面諸多環(huán)節(jié)中的技術，仍然會有相當一部分垃圾郵件漏網(wǎng)。對此情況，目前最有效、最根本的方法是基于郵件標題或正文的內(nèi)容過濾。其中比較簡單的方法是，結合內(nèi)容掃描引擎，根據(jù)垃圾郵件的常用標題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進行過濾。更加復雜但同時更具智能性的方法是，基于貝葉斯概率理論的統(tǒng)計方法、支持向量機（SVM）方法、人工神經(jīng)網(wǎng)絡、Winnow等方法所進行的內(nèi)容過濾，這些方法的理論基礎是通過對大量垃圾郵件中常見關鍵詞等采用上述方法進行機器學習后分析后得出其分布的統(tǒng)計模型，并由此推算目標郵件是垃圾郵件的可能性。這些方法具有一定的自適應、自學習能力，目前已經(jīng)得到了廣泛的應用。最有名的垃圾郵件內(nèi)容過濾是Spamassassin，它使用Perl語言實現(xiàn)，集成了以上兩種過濾方法，可以與當前各種主流的MTA集成使用。內(nèi)容過濾是以上所有各種方法中耗費計算資源最多、最有效的辦法，在郵件流量較大的場合，需要配合高性能服務器使用。

4、病毒防護技術

對于當今網(wǎng)絡來說，病毒和蠕蟲成為了一對"孿生兄弟"，兩者幾乎總會同時出現(xiàn)，而且對企業(yè)網(wǎng)絡及其應用系統(tǒng)造成的危害也是非常致命的。從病毒的發(fā)展過程我們可以看出病毒有如下的發(fā)展趨勢：

◆病毒向有智能和有目的的方向發(fā)展

◆未來凡能造成重大危害的，一定是"蠕蟲"。"蠕蟲"的特征是快速地不斷復制自身，以求在最短的時間內(nèi)傳播到最大范圍。

◆病毒開始與黑客技術結合，他們的結合將會為世界帶來無可估量的損失#p#

◆從Sircam、"尼姆達"、"求職信"、"中文求職信"到"中國黑客"，這類病毒越來越向輕感染文件、重復制自身的方向發(fā)展。

◆病毒的大面積傳播與網(wǎng)絡的發(fā)展密不可分

◆基于分布式通信的病毒很可能在不久即將出現(xiàn)

◆未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應和處理速度，將成為反病毒廠商的核心競爭力之一。

當今有幾種典型反病毒技術：

◆特征值技術：所謂特征值查毒法，就是在獲取病毒樣本后，提取出其特征值，然后通過該特征值對各個文件或內(nèi)存等進行掃描。如果發(fā)現(xiàn)這種特征值，這說明感染了這種病毒，然后針對性地解除病毒；

◆虛擬機技術：隨著病毒技術的發(fā)展，加密技術漸漸成熟起來，很多病毒的特征都在那么容易提取。這樣，虛擬機殺毒技術出現(xiàn)，所謂虛擬機技術，就是用軟件先虛擬一套運行環(huán)境，讓病毒先在該虛擬環(huán)境下運行，看看他的執(zhí)行效果。由于加密的病毒在執(zhí)行時最終還是要解密的。這樣，在其解密之后我們可以通過特征值查毒法對其進行查殺；

◆啟發(fā)式掃描技術：新病毒不斷出現(xiàn)，傳統(tǒng)的特征值查毒法完全不可能查出新出現(xiàn)的病毒。啟發(fā)式掃描技術產(chǎn)生了。一個病毒總存在其與普通程序不一般的地方，譬如他會格式化硬盤，重定位，改回文件時間，修改文件大小，能夠傳染等等，通過在各個層面進行病毒屬性的確定和加權，就能發(fā)現(xiàn)新的病毒；

◆計算機病毒疫苗："計算機病毒免疫"發(fā)源于生物免疫技術，就象為動物注射某種病毒的免疫疫苗后可以對此病毒產(chǎn)生自然抵抗能力一樣。"計算機病毒免疫"就是一種具有類似特點的技術，它的設計目標是不依賴于病毒庫的更新而讓電腦具有對所有病毒的抵抗能力。普通防毒軟件的最大缺點是總要等到病毒出現(xiàn)后才能制定出清除它的辦法，并且還要用戶及時的升級到新的病毒庫。這就讓病毒有更多的機會去蔓延傳播，而病毒免疫則完全打破這種思路，它可以讓電腦具有自然抵抗新病毒的能力，當有新病毒感染計算機系統(tǒng)時不用升級病毒庫而同樣可以偵測出它。

5、密碼技術和PKI技術

隨著計算機網(wǎng)絡和計算機通訊技術的發(fā)展，計算機密碼學得到前所未有的重視并迅速普及和發(fā)展起來。在國外，它已成為計算機安全主要的研究方向。密碼學是一門古老而深奧的學科，對一般人來說是非常陌生的。長期以來，只在很小的范圍內(nèi)使用，如軍事、外交、情報等部門。計算機密碼學是研究計算機信息加特別是20世紀70年代后期，由于計算機、電子通信的廣泛使用，現(xiàn)代密碼學得到了空前的發(fā)展。

除了提供機密性外，密碼學可以為企業(yè)安全需要提供三方面的功能：鑒別、完整性和抗抵賴性。這些功能是通過計算機進行社會交流，至關重要的需求。

鑒別：消息的接收者應該能夠確認消息的來源；入侵者不可能偽裝成他人。

完整性：消息的接收者應該能夠驗證在傳送過程中消息沒有被修改；入侵者不可能用假消息代替合法消息。

抗抵賴性：發(fā)送消息者事后不可能虛假地否認他發(fā)送的消息。

基于密鑰的算法通常有兩類：對稱算法和公開密鑰算法（非對稱算法）。對稱算法有時又叫傳統(tǒng)密碼算法，加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數(shù)對稱算法中，加解密的密鑰是相同的。對稱算法要求發(fā)送者和接收者在安全通信之前，協(xié)商一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加解密。公開密鑰算法（非對稱算法）的加密的密鑰和解密的密鑰不同，而且解密密鑰不能根據(jù)加密密鑰計算出來，或者至少在可以計算的時間內(nèi)不能計算出來。之所以叫做公開密鑰算法，是因為加密密鑰能夠公開，即陌生者能用加密密鑰加密信息，但只有用相應的解密密鑰才能解密信息。加密密鑰叫做公開密鑰（簡稱公鑰），解密密鑰叫做私人密鑰（簡稱私鑰）。#p#

對稱加密系統(tǒng)最著名的是美國數(shù)據(jù)加密標準DES、AES(高級加密標準)和歐洲數(shù)據(jù)加密標準IDEA。而自公鑰加密問世以來，學者們提出了許多種公鑰加密方法，它們的安全性都是基于復雜的數(shù)學難題。

根據(jù)所基于的數(shù)學難題來分類，有以下三類系統(tǒng)目前被認為是安全和有效的：大整數(shù)因子分解系統(tǒng)(代表性的有RSA)、橢園曲線離散對數(shù)系統(tǒng)(ECC)和離散對數(shù)系統(tǒng)(代表性的有DSA)。當前最著名、應用最廣泛的公鑰系統(tǒng)RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統(tǒng))，它的安全性是基于大整數(shù)素因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統(tǒng)是公鑰系統(tǒng)的最具有典型意義的方法，大多數(shù)使用公鑰密碼進行加密和數(shù)字簽名的產(chǎn)品和標準使用的都是RSA算法。

PKI是一種新的安全技術，它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系，是一種基礎設施，網(wǎng)絡通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。

PKI（Public Key Infrastructure）公鑰基礎設施是提供公鑰加密和數(shù)字簽名服務的系統(tǒng)或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡環(huán)境。X.509格式的證書和證書廢除列表(CRL)；CA/RA操作協(xié)議；CA管理協(xié)議；CA政策制定。

從廣義上講，所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便的使用加密和數(shù)字簽名技術，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性，數(shù)據(jù)的機密性是指數(shù)據(jù)在傳輸過程中，不能被非授權者偷看，數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改，數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認。一個有效的PKI系統(tǒng)必須是安全的和透明的，用戶在獲得加密和數(shù)字簽名服務時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應用系統(tǒng)至少應具有以下部分：

◆公鑰密碼證書管理。

◆黑名單的發(fā)布和管理。

◆密鑰的備份和恢復。

◆自動更新密鑰。

◆自動管理歷史密鑰。

◆支持交叉認證。

6、IPSec技術

在網(wǎng)絡層實現(xiàn)安全服務有很多的優(yōu)點。首先，由于多種傳送協(xié)議和應用程序可以共享由網(wǎng)絡層提供的密鑰管理架構，密鑰協(xié)商的開銷被大大地削減了。其次，若安全服務在較低層實現(xiàn)，那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。目前公認的網(wǎng)絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。IPSec 針對攻擊原型的安全措施。IPsec提供三項主要的功能：認證功能(AH)，認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數(shù)據(jù)源認證和可選的抗重傳服務；ESP分為兩部分，其中ESP頭提供數(shù)據(jù)機密性和有限抗流量分析服務，在ESP尾中可選地提供無連接完整性、數(shù)據(jù)源認證和抗重傳服務。#p#

IPSec提供了一種標準的、健壯的以及包容廣泛的機制，可用它為IP及上層協(xié)議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法，以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網(wǎng)關(如路由器或防火墻)之間或主機與安全網(wǎng)關之間的數(shù)據(jù)包的安全。IPSec是一個工業(yè)標準網(wǎng)絡安全協(xié)議，為IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。IPSec有兩個基本目標：保護IP數(shù)據(jù)包安全；為抵御網(wǎng)絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協(xié)議組和動態(tài)密鑰管理，三者共同實現(xiàn)上述兩個目標，IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過加密，而掌握加解密方法的只有

IPSec提供三種不同的形式來保護通過公有或私有IP網(wǎng)絡來傳送的私有數(shù)據(jù)。

◆驗證：通過認證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。

◆數(shù)據(jù)完整驗證：通過驗證保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。

◆保密：使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無關的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。

7、訪問控制技術

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。

（1）入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網(wǎng)絡。 對網(wǎng)絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網(wǎng)絡管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡的時間和方式。用戶賬號應只有系統(tǒng)管理員才能建立。用戶口令應是每用戶訪問網(wǎng)絡所必須提交的"證件"、用戶可以修改自己的口令，但系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網(wǎng)絡應能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當用戶對交費網(wǎng)絡的訪問"資費"用盡時，網(wǎng)絡還應能對用戶的賬號加以限制，用戶此時應無法進入網(wǎng)絡訪問網(wǎng)絡資源。網(wǎng)絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

（2）權限控制

網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（irm）可作為兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據(jù)訪問權限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限可以用訪問控制表來描述。

（3）目錄級安全控制

網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網(wǎng)絡管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網(wǎng)絡和服務器的安全性。#p#

（4）屬性安全控制

當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力。屬性設置可以覆蓋已經(jīng)指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。

（5）服務器安全控制

網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

8、防火墻技術

防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護企業(yè)內(nèi)部網(wǎng)絡，就是依據(jù)這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業(yè)內(nèi)部網(wǎng)絡的安全策略，使允許的通信不受影響，而不允許的通信全部被拒絕于內(nèi)部網(wǎng)絡之外。

隨著新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也有一些新的發(fā)展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。

◆防火墻包過濾技術

◆用戶身份驗證防火墻：一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

◆多級過濾技術：所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關（應用層）一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術發(fā)展打下基礎。

◆病毒防火墻：使防火墻具有病毒防護功能。現(xiàn)在通常被稱之為病毒防火墻，當然目前主要還是在個人防火墻中體現(xiàn)，因其為純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少企業(yè)的損失。

◆防火墻的體系結構

隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC（特殊應用集成電路，Application Specific Integrated Circuit）的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，需要在很大程度上依賴于軟件的性能；但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。#p#

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得其缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

◆防火墻的系統(tǒng)管理

總體說來，防火墻的系統(tǒng)管理有如下幾種發(fā)展趨勢：

◆集中式管理：集中式管理可以降低管理成本，并保證在大型網(wǎng)絡中安全策略的一致性?？焖夙憫涂焖俜烙惨蟛捎眉惺焦芾硐到y(tǒng)。

◆強大的審計功能和自動日志分析功能：這兩點的應用可以更早地發(fā)現(xiàn)潛在的威脅并預防攻擊的發(fā)生。日志功能還可讓管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調(diào)整安全策略等。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。

◆網(wǎng)絡安全產(chǎn)品的系統(tǒng)化：隨著網(wǎng)絡安全技術的發(fā)展，現(xiàn)在有一種體系結構的提法，叫做"建立以防火墻為核心的網(wǎng)絡安全體系"。因為實踐表明，僅使用現(xiàn)有的防火墻技術難以滿足當前網(wǎng)絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡系統(tǒng)部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

9、入侵檢測技術

Intrusion Detection System（入侵檢測系統(tǒng)）顧名思義，便是對入侵行為的發(fā)覺，其通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。通常說來，其具有如下幾個功能：

◆監(jiān)控、分析用戶和系統(tǒng)的活動。

◆核查系統(tǒng)配置和漏洞。

◆評估關鍵系統(tǒng)和數(shù)據(jù)文件的完整性。

◆識別攻擊的活動模式并向網(wǎng)管人員報警。

◆對異?；顒拥慕y(tǒng)計分析。

操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。

按照技術以及功能來劃分，入侵檢測系統(tǒng)可以分為如下幾類：

◆基于主機的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主機上發(fā)生的入侵。

◆基于網(wǎng)絡的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于網(wǎng)絡的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵。

◆采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)：能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結構，由多個部件組成。#p#

10、統(tǒng)一威脅管理技術

UTM是與企業(yè)防火墻、入侵檢測和防御以及防病毒等結合為一體的設備，將成為未來的應用趨勢。IDC同時預測，UTM市場到2008年將占整個信息安全市場的半壁江山，達到57.6%。UTM的一個特點是可以只用到該產(chǎn)品的某一個專門用途，比如用于網(wǎng)關防病毒或是用于內(nèi)部的入侵檢測，也可以全面應用所有功能。當UTM作為一種單點產(chǎn)品來應用時，企業(yè)能獲得統(tǒng)一管理的優(yōu)勢，并且也能在不增加新設備的情況下開啟自身需要的任何功能。UTM產(chǎn)品為網(wǎng)絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統(tǒng)一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產(chǎn)品聯(lián)動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設備，也可以根據(jù)自己的需要選擇某幾個方面的功能。更加可貴的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能。

UTM技術可以進行改良的信息包檢查，識別應用層信息，命令入侵檢測和阻斷，蠕蟲病毒防護以及高級的數(shù)據(jù)包驗證機制。這些特性和技術使得IT管理人員可以很容易地控制如Instant Message信息傳輸，BT多線程動態(tài)應用下載，Skype等新型軟件的應用，并且阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。同時，設備可以支持動態(tài)的行為特征庫更新，更具備7層的數(shù)據(jù)包檢測能力。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內(nèi)容效果明顯。但UTM技術必須要有強大的硬件平臺支撐，否則，難以適應當前的網(wǎng)絡性能要求。

UTM的應用優(yōu)勢在于：

◆降低安全管理復雜度

◆集成的維護平臺

◆單一服務體系結構

◆集中的安全日志管理

◆組合式的安全保護

◆應用的靈活性

◆良好的可擴展性

◆進一步降低成本

UTM設備可以減少與安全功能相關的采集，安裝，管理支出，確保企業(yè)網(wǎng)絡的連續(xù)性，和可用性，為目前流行的安全威脅提供有效的防御。

【51CTO.com獨家特稿，非經(jīng)授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. 變廢為寶：將舊電腦改造成強勁的防火墻和路由器
2. Web應用層防火墻真的像宣傳的那般好用嗎？
3. DDoS攻擊：網(wǎng)絡戰(zhàn)爭的尖頭兵
4. 下一代防火墻已經(jīng)到來 你做好準備了嗎？
5. DDoS攻擊原理以及對其實際應用工具的描述