網(wǎng)絡(luò)安全管理_第1頁
網(wǎng)絡(luò)安全管理_第2頁
網(wǎng)絡(luò)安全管理_第3頁
網(wǎng)絡(luò)安全管理_第4頁
網(wǎng)絡(luò)安全管理_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全管理計算機(jī)網(wǎng)絡(luò)所面臨的安全威脅有3種:硬件安全、軟件安全和數(shù)據(jù)安全。硬件包括網(wǎng)絡(luò)中的各種設(shè)備及其元配件、接插件及電纜;軟件包括網(wǎng)絡(luò)操作系統(tǒng)、各種驅(qū)動程序、通信軟件及其他配件;數(shù)據(jù)包括系統(tǒng)的配置文件、日志文件、用戶資料、各種重要的敏感數(shù)據(jù)庫及其網(wǎng)絡(luò)上兩臺機(jī)器之間的通信內(nèi)容等機(jī)密信息。威脅網(wǎng)絡(luò)安全的主要因素:非人為因素。它包括自然災(zāi)害,如地震、雷電、洪水等;設(shè)備老化、斷電、電磁泄露;硬盤等存儲介質(zhì)破損、靜電效應(yīng)。2.人為因素。無意失誤。表現(xiàn)在網(wǎng)絡(luò)配置不當(dāng)、誤操作、口令丟失、管理過于簡單等。惡意攻擊。往往來自企業(yè)之間的網(wǎng)絡(luò)間諜和網(wǎng)上黑客等,這才是計算機(jī)網(wǎng)絡(luò)安全面臨的最大威脅。一.網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全管理策略指在特定的環(huán)境里,為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。實現(xiàn)網(wǎng)絡(luò)安全,不僅要靠先進(jìn)的技術(shù),而且要靠嚴(yán)格的管理和威嚴(yán)的法律。三者的關(guān)系如同安全平臺的三根支柱,缺一不可。安全基石是建立與信息安全相關(guān)的法律、法規(guī),使網(wǎng)絡(luò)犯罪活動不再處于無序的狀態(tài),使犯罪分子攝于威嚴(yán)的法律,不敢輕舉忘動。安全的根本保證是先進(jìn)的網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)用戶特別是網(wǎng)絡(luò)管理員對自身面臨的威脅進(jìn)行風(fēng)險分析和評估,決定其所需的安全服務(wù)種類,選擇安全機(jī)制,然后建立全方位的安全集成系統(tǒng)。嚴(yán)格的安全管理是以人為本的具體體現(xiàn)。網(wǎng)絡(luò)安全的主要威脅來自人為的無意失誤和惡意攻擊。任何先進(jìn)的安全技術(shù)必須由人掌握和實施。加強(qiáng)內(nèi)部管理,建立審計和跟蹤系統(tǒng);加強(qiáng)網(wǎng)絡(luò)安全教育,提高整體安全意識。制定網(wǎng)絡(luò)安全策略要根據(jù)網(wǎng)絡(luò)資源的職責(zé)對哪些人允許使用哪些設(shè)備、有否修改設(shè)備的配置權(quán)限、有否管理權(quán)限、對用戶該授予什么級別的權(quán)限、用戶應(yīng)當(dāng)承擔(dān)什么責(zé)任等內(nèi)容加以說明。在明確網(wǎng)絡(luò)用戶、系統(tǒng)管理員的安全責(zé)任、正確利用網(wǎng)絡(luò)資源的同時,還要有應(yīng)付系統(tǒng)遭受破壞時的應(yīng)急措施,注意隔離與防護(hù),防止破壞蔓延。每一個網(wǎng)絡(luò)安全問題都應(yīng)有文檔記錄,以便今后進(jìn)一步消除安全隱患??傊?,網(wǎng)絡(luò)的安全管理策略包括:(1)確定安全管理等級和安全管理范圍;(2)制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度;(3)制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。安全管理的落實是實現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵。二.網(wǎng)絡(luò)物理安全管理涉及計算機(jī)網(wǎng)絡(luò)的物理安全管理是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為地操作失誤導(dǎo)致的破壞過程。網(wǎng)絡(luò)物理安全管理主要包括:機(jī)房的安全技術(shù)管理、通信線路的安全管理、設(shè)備安全管理和電源系統(tǒng)的安全管理。機(jī)房的安全技術(shù)管理機(jī)房的安全保衛(wèi)技術(shù)是機(jī)房安全技術(shù)的重要一環(huán),主要的安全技術(shù)措施是:防盜、報警、實時監(jiān)控、安全門禁等。機(jī)房安全等級分為A類、B類和C類三個基本級別:A類:對計算機(jī)機(jī)房有嚴(yán)格要求,有完善的計算機(jī)機(jī)房安全措施。B類:對計算機(jī)機(jī)房有較嚴(yán)格要求,有完善的計算機(jī)機(jī)房安全措施。C類:對計算機(jī)機(jī)房有基本的要求,有基本的計算機(jī)機(jī)房安全措施。對計算機(jī)機(jī)房的安全管理有以下幾方面的要求:機(jī)房的安全要求。電梯和樓梯不能直接進(jìn)入機(jī)房;(b)建筑物的周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進(jìn)入的設(shè)施;外部容易接近的進(jìn)出口應(yīng)有柵欄或監(jiān)控措施,而周邊應(yīng)有物理屏障和監(jiān)視報警系統(tǒng);機(jī)房進(jìn)出口須設(shè)置應(yīng)急電話;機(jī)房供電系統(tǒng)要將照明用電系統(tǒng)和計算機(jī)供電系統(tǒng)分開;機(jī)房建筑物方圓100m內(nèi)不能有危險建筑物;機(jī)房內(nèi)應(yīng)設(shè)置更衣室和換鞋外,機(jī)房的門窗具有良好的封閉性能。對機(jī)房應(yīng)有防盜要求。因為計算機(jī)網(wǎng)絡(luò)的大部分設(shè)備都是放置在計算機(jī)房中的,重要的應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)也都是存放服務(wù)器里。此外,機(jī)房內(nèi)的某些設(shè)備可能是用來進(jìn)行機(jī)密信息處理的。這類設(shè)備本身及其內(nèi)部存儲的信息都非常重要,一旦丟失或被盜,將產(chǎn)生嚴(yán)重的后果。所以,對重要的設(shè)備和存儲媒體應(yīng)采取嚴(yán)格的防盜措施。對機(jī)房的三度要求:溫度應(yīng)保持在18°C—22°C;濕度控制在40%—60%為宜;潔靜度要求機(jī)房塵埃顆粒直徑小于0.5um,平均每升空氣含塵量小于1萬顆。防靜電措施。計算機(jī)系統(tǒng)的CPU、ROM、RAM等關(guān)鍵部件大都采用MOS工藝的大規(guī)模集成電路,對靜電極為敏感,容易因靜電而損壞。為了防靜電,機(jī)房一般要求安裝防靜電地板,并將地板和設(shè)備接地以便將設(shè)備內(nèi)積聚的靜電釋放到大地。接地與防雷要求。接地與防雷是保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)和工作場所安全的重要安全措施。接地是指整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)中各處電位均以大地電位為零參考電位。接地可以為計算機(jī)系統(tǒng)的數(shù)字電路提供一個穩(wěn)定的OV參考電位,從而可以保證設(shè)備和人身的安全,同時也是防止電磁泄漏的有效手段。地線的連接有多種類型,通常有:保護(hù)地、直流地、屏蔽地、靜電地、雷擊地。機(jī)房的防火、防水措施。計算機(jī)機(jī)房的火災(zāi)一般是由電氣原因、人為事故或外部火災(zāi)蔓延引起而水災(zāi)一般是由于機(jī)房內(nèi)有滲水、漏水等原因引起。為避免火災(zāi)、水災(zāi),應(yīng)采取以下措施:隔離、火災(zāi)報警系統(tǒng)、滅火設(shè)施、管理措施;機(jī)房內(nèi)應(yīng)有排水裝置、機(jī)房上部應(yīng)有防水層、下部應(yīng)有防漏層,以避免漏水和滲水。通信線路安全管理如果所有計算機(jī)系統(tǒng)連同所有的計算機(jī)終端都接到同一室內(nèi),并且鎖在室內(nèi),這時通信與計算機(jī)系統(tǒng)是安全的。但是,當(dāng)計算機(jī)的通信系統(tǒng)接到室外,問題就來了。因此,要采取相應(yīng)的安全措施。用一種簡單的高技術(shù)加壓電纜,可以獲取通信線路上的物理安全。將通信電纜密封在塑料套管中,并在線纜的兩端充氣加壓。線上連接了帶有報警系統(tǒng)的監(jiān)示器,用來測量壓力。如果壓力下降,則意味著電纜可能被破壞了,此時,還可以進(jìn)一步檢測出破壞點的位置,以便及時進(jìn)行修復(fù)。光纖通信是極為安全的,因為它不可能使用電磁感應(yīng)線路竊聽。但是,光纖的通信距離受到限制,一般,通信距離到達(dá)100km,光信號就比較弱了,這時需要放大,即加一電和電——光轉(zhuǎn)換的中繼器。雖然,光通信系統(tǒng)安全的薄弱環(huán)節(jié)就在這里,因為信號可能在這一環(huán)節(jié)被子搭線竊聽.有兩個辦法可以解決這一問題:一是距離大于這一長度限制的系統(tǒng)之間不采用光纖通信;二是加強(qiáng)中繼器的安全,例如,采用加壓電纜、報警系統(tǒng)和加強(qiáng)警衛(wèi)等措施。設(shè)備安全管理設(shè)備安全管理包括硬件設(shè)備的維護(hù)和管理、電磁兼容和電磁輻射的防護(hù)、信息媒體的安全管理。硬件設(shè)備的維護(hù)管理。要做好硬件設(shè)備的維護(hù)管理,首先要做好硬件設(shè)備的使用管理,根據(jù)硬件設(shè)備的具體配置情況,制定切實可行的硬件設(shè)備的操作使用規(guī)程,并嚴(yán)格地按操作規(guī)程進(jìn)行操作;其次,要做好常用硬件設(shè)備的維護(hù)和保養(yǎng),例如,對網(wǎng)絡(luò)設(shè)備的HUB、交換機(jī)、路由器、Modem、RJ45接頭、網(wǎng)絡(luò)線纜等的維護(hù)保養(yǎng)。電磁兼容和電磁輻射的防護(hù)。電磁兼容就是電子設(shè)備或系統(tǒng)在一定的電磁環(huán)境下互相兼顧、相容的能力;所謂電磁輻射是電子設(shè)備本產(chǎn)生的電磁波向外傳播成為電磁輻射。為了提高電子設(shè)備抗電磁波干擾的能力,除在芯片、部件上提高抗干擾能力外,主要的措施有屏蔽、隔離、濾波、吸收、接地等。信息存儲媒體的安全管理。人們知道,計算機(jī)的信息存儲在媒體上,媒體主要包括:硬盤、磁帶、紙帶、卡片、打印機(jī)和光盤上。對存儲媒體的安全管理主要包括:對于有價值的磁盤、磁帶或光盤,必須妥善保管,防磁、防潮、防火、防盜,必須垂直放置。對硬盤的數(shù)據(jù),要建立有效的級別、權(quán)限,并嚴(yán)格管理,必要時進(jìn)行加密,確保數(shù)據(jù)安全。存放業(yè)務(wù)數(shù)據(jù)或程序的磁盤、磁帶或光盤,管理必須落實到人,并建立登記簿,作詳細(xì)登記。對存有重要信息的磁盤、磁帶或光盤,要備份兩份并分兩處保管。打印機(jī)業(yè)務(wù)數(shù)據(jù)或程序的打印紙,要視同檔案管理。凡超過數(shù)據(jù)保存期的磁盤、磁帶或光盤必須經(jīng)過特殊的數(shù)據(jù)清除處理。凡不能正常記錄的磁盤、磁帶或光盤,經(jīng)測試確認(rèn)后由專人銷毀。對需要長期保存的有效數(shù)據(jù),應(yīng)在磁盤、磁帶、光盤的保質(zhì)期內(nèi)進(jìn)行轉(zhuǎn)儲,轉(zhuǎn)儲時,應(yīng)確保內(nèi)容正確。安全策略規(guī)定了計算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全方面的技術(shù)要求。規(guī)定了系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置系統(tǒng)的安全性。實施安全策略的責(zé)任主要是系統(tǒng)和網(wǎng)絡(luò)管理員??偠灾?,團(tuán)隊?wèi)?yīng)為客戶白日做夢一個強(qiáng)大的、以事實為依據(jù)的應(yīng)對突發(fā)事件的處理建議。三.網(wǎng)絡(luò)安全保護(hù)1.網(wǎng)絡(luò)訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。目前進(jìn)行網(wǎng)絡(luò)訪問控制的方法主要有:MAC地址過濾、VLAN隔離、IEEE802.1Q身份驗證、基于IP地址的訪問控制列表和防火墻控制等等。2物理隔離首先要明確,物理隔離是網(wǎng)絡(luò)隔離的早期描述,這里沿用物理隔離,而不用網(wǎng)絡(luò)隔離這個概念。物理隔離的指導(dǎo)思想與防火墻截然不同,防火墻是在保證互聯(lián)互通的前提下,盡可能安全;而物理隔離則是保證安全前提下,盡可能互聯(lián)互通,如果不安全,則斷開。邏輯隔離對大多數(shù)機(jī)關(guān)用戶來說,邏輯隔離應(yīng)該是最為經(jīng)濟(jì)實用的方法了。廣泛地來看,我們所知的各種安全技術(shù)都是在使用邏輯隔離。也就是說,在保持網(wǎng)絡(luò)連通(包括直接或者間接)的同時,對網(wǎng)絡(luò)流量有所取舍。包括VLAN(虛擬局域網(wǎng))、訪問控制、VPN(虛擬專用網(wǎng))、防火墻、身份識別、端口綁定等等在內(nèi)的方法都是在某種限定下實現(xiàn)隔離。在這些手段中,在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置防火墻(包括分組過濾與應(yīng)用代理)是保護(hù)內(nèi)部網(wǎng)安全的最常用的措施。防火墻技術(shù)概述為了使網(wǎng)絡(luò)的機(jī)密性、完整性、可用性、真實性、實用性和占有性等方面得到保障,計算機(jī)系統(tǒng)的安全,尤其在Internet環(huán)境中,網(wǎng)絡(luò)安全體系結(jié)構(gòu)的考慮和選擇尤為重要。采用傳統(tǒng)的防火墻網(wǎng)絡(luò)安全體系結(jié)構(gòu)不失為一種簡單有效的選擇方案。隨著安全問題上的失誤和缺陷越來越普遍,對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段,也有可能來自配置上的低級錯誤或不合適的口令選擇。而防火墻的作用就是防止不希望的、未授權(quán)的信息進(jìn)出被保護(hù)的網(wǎng)絡(luò)。因此,防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。入侵檢測技術(shù)入侵檢測技術(shù)已經(jīng)過較長時間的發(fā)展階段,自20世紀(jì)80年代提出以來得到了很大的發(fā)展,國外一些研究機(jī)構(gòu)已經(jīng)開發(fā)出了應(yīng)用于不同操作系統(tǒng)的幾種典型的攻擊檢測系統(tǒng)。典型的IDS通常采用靜態(tài)異常模型和規(guī)則誤用模型來檢測入侵,這些IDS的檢測是基于服務(wù)器或網(wǎng)絡(luò)的。早期的IDS模型設(shè)計用來監(jiān)控單一服務(wù)器,是基于主機(jī)的攻擊檢測系統(tǒng);而近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡(luò)互連的多個服務(wù)器。網(wǎng)絡(luò)安全漏洞防范網(wǎng)絡(luò)安全漏洞所帶來的威脅(1) 什么是漏洞?漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以便攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。(2) 漏洞分析的目的。漏洞分析的目的是發(fā)現(xiàn)目標(biāo)系統(tǒng)中存在安全隱患,分析所使用的安全機(jī)制是否能夠保證系統(tǒng)的機(jī)密性、完整性和可用性。漏洞分析通過對目標(biāo)進(jìn)行穿透測試,進(jìn)而嘗試從中獲取一些有價值的東西,例如,文本文件、口令文件和機(jī)密文檔等。穿透測試可以分為兩類:無光驗知識穿透測試和有光驗知識穿透測試。前者通常從外部實施,測試者對被測試網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)等信息一無所知;在有光驗知識穿透測試中,測試者通常具有被測試網(wǎng)絡(luò)系統(tǒng)的基本訪問權(quán)限,并可以了解網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)等信息。(3) 網(wǎng)絡(luò)安全漏洞的威脅。對于網(wǎng)絡(luò)漏洞的威脅可以按照風(fēng)險等級給予說明。對那些具有低嚴(yán)重度和低影響度的網(wǎng)絡(luò)安全漏洞可以歸納為低級別的安全漏洞;而那些具有高嚴(yán)重度和高影響度的安全漏洞可以歸納有高級別的安全漏洞。防病毒技術(shù)計算機(jī)病毒直接破壞計算機(jī)數(shù)據(jù)信息、占用磁盤空間和對信息的破壞、搶占系統(tǒng)資源、影響計算機(jī)運(yùn)行速度、給用戶造成嚴(yán)重的心理壓力等等危害使人們產(chǎn)生很大的不良影響。因此,要了解計算機(jī)病毒的特征及其發(fā)展趨勢,了解網(wǎng)絡(luò)防病毒的技術(shù),了解網(wǎng)絡(luò)防病毒的方計算機(jī)病毒的特征要防治計算機(jī)病毒,首先要了解計算機(jī)病毒的特征和破壞機(jī)理,為防范和消除計算機(jī)病毒提供充實可靠的依據(jù)。根據(jù)計算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析,計算機(jī)病毒通常具有以下特征:非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、破壞性和可觸發(fā)性。計算機(jī)病毒的發(fā)展趨勢現(xiàn)在流行的病毒在很多地方改變了人們對病毒的看法,而且,它還改變了人們對病毒預(yù)防的看法。過去總是說,只要不用盜版軟件,不隨便使用別人的軟盤,不亂運(yùn)行程序,就不會染毒。而現(xiàn)在呢?有了互聯(lián)網(wǎng)Internet和操作系統(tǒng)的漏洞,就算你坐著不動,病毒也會找上門來。病毒有下列特性:與互聯(lián)網(wǎng)和Internet更加緊密地結(jié)合,利用一切可以利用的方式,例如通過電子郵件、局域網(wǎng)、遠(yuǎn)程管理、即時通信工具進(jìn)行傳播。所有的病毒都具有混合型特征,集文件傳染、蠕蟲、木馬、黑客程序特點于一身,破壞性大大增強(qiáng)。因為其擴(kuò)散極快,不再追求隱藏性,而更加注重欺騙性。利用系統(tǒng)漏洞將成為病毒有力的傳播方式。由于病毒品的迅速發(fā)展,勢必要求反病毒技術(shù)跟上時代發(fā)展的步伐,以保證互聯(lián)網(wǎng)時代的信息系統(tǒng)安全。所以,為了對付新的病毒,必須有新一代反病毒軟件的決策。具體有下列幾點:全面地與互聯(lián)網(wǎng)結(jié)合,不僅有傳染的手動查殺與文件監(jiān)控,還必須對網(wǎng)絡(luò)層、郵件客戶進(jìn)行實時監(jiān)控,防止病毒入侵;快速反應(yīng)的病毒檢測網(wǎng),在病毒爆發(fā)的第一時間即能提供解決方案;完善的在線升級服務(wù),使用戶隨時擁有最新的防病毒能力;對病毒經(jīng)常攻擊的應(yīng)用程序提供重點保護(hù),提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警惕性,盡快地讓用戶了解到新病毒的特點和解決方案。四.網(wǎng)絡(luò)防止病毒的措施1.基于網(wǎng)絡(luò)安全體系的防病毒策略只有建立一個有層次的、立體的防病毒系統(tǒng),才能有效地制止病毒在網(wǎng)絡(luò)上蔓延。下面提供一些網(wǎng)絡(luò)防病毒的措施。(1) 增加安全意識。(2) 小心郵件(3) 挑選網(wǎng)絡(luò)版殺毒軟件。(4) 在計算機(jī)網(wǎng)絡(luò)中,盡量多用無盤工作站,不用或少用有軟驅(qū)的工作站。(5) 在計算機(jī)網(wǎng)絡(luò)中,要保證系統(tǒng)管理員有最高的訪問權(quán)限,避免過多地出現(xiàn)超級用戶。(6) 為工作站上用戶帳號設(shè)置復(fù)雜的密碼。(7) 工作站采用的防病毒芯片,這樣可防止引導(dǎo)型病毒。(8) 正確設(shè)置文件屬性,合理地規(guī)范用戶的訪問權(quán)限。(9) 建立健全網(wǎng)絡(luò)系統(tǒng)安全管理制度,嚴(yán)格操作規(guī)程和規(guī)章制度,定期作文件備份和病毒檢測。即使有了殺毒軟件,也不可掉以輕心,因為沒有一個殺毒軟件可以完全殺掉所有病毒,所以,仍要定期備份,一旦真的遭到病毒的破壞,只要將受損的數(shù)據(jù)恢復(fù)即可。(10)目前預(yù)防病毒入侵的最好辦法,就是在計算機(jī)中安裝具有實時監(jiān)控功能的防病毒軟件,并及時升級。(11)為解決網(wǎng)絡(luò)防病毒的要求,在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)版防病毒軟件和網(wǎng)關(guān)型防病毒系統(tǒng)。2.服務(wù)器的防病毒技術(shù)3.終端用戶防病毒五.網(wǎng)絡(luò)防病毒的選擇面對眾多的網(wǎng)絡(luò)防毒殺毒軟件,如何選擇優(yōu)秀產(chǎn)品?應(yīng)該著重考慮以下諸因素:能查殺病毒的數(shù)量要多,安全可靠性要強(qiáng)。對新病毒的反應(yīng)能力要強(qiáng)。要有實時反病毒的“防火墻”技術(shù)。內(nèi)存開銷要低。要能查殺壓縮文件中的病毒為了減少傳輸?shù)臅r間,因特網(wǎng)上的文件大都是壓縮過的。防火墻使用(一)防火墻概念防火墻不只是一種路由器、主系統(tǒng)或一批向網(wǎng)絡(luò)提供安全性的系統(tǒng)。相反,防火墻是一種獲取安全性的方法;它有助于實施一個比較廣泛的安全性政策,用以確定允許提供的服務(wù)和訪問。就網(wǎng)絡(luò)配置、一個或多個主系統(tǒng)和路由器以及其他安全性措施(如代替靜態(tài)口令的先進(jìn)驗證)來說,防火墻是該政策的具體實施。防火墻系統(tǒng)的主要用途就是控制對受保護(hù)的網(wǎng)絡(luò)(即網(wǎng)點)的往返訪問。它實施網(wǎng)絡(luò)訪問政策的方法就是逼使各連接點通過能得到檢查和評估的防火墻。(二) 采用防火墻的必要性引入防火墻是因為傳統(tǒng)的子網(wǎng)系統(tǒng)會把自身暴露給NFS或NIS等先天不安全的服務(wù),并受到網(wǎng)絡(luò)上其他地方的主系統(tǒng)的試探和攻擊。在沒有Firewall的環(huán)境中,網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)安全性。在一定意義上,所有主系統(tǒng)必須通力協(xié)作來實現(xiàn)均勻一致的高級安全性。子網(wǎng)越大,把所有主系統(tǒng)保持在相同安全性水平上的可管理能力就越小。隨著安全性的失誤和失策越來越普遍,闖入時有發(fā)生,這不是因為受到多方的攻擊,而僅僅是因為配置錯誤、口令不適當(dāng)而造成的。防火墻能提高主機(jī)整體的安全性,因而給站點帶來了眾多的好處。以下是使用防火墻的好處:防止易受攻擊的服務(wù):控制訪問網(wǎng)點系統(tǒng)集中安全性增強(qiáng)的保密、強(qiáng)化私有權(quán)有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計政策執(zhí)行最后,或許最重要的是,防火墻可提供實施和執(zhí)行網(wǎng)絡(luò)訪問政策的工具。(三) 防火墻的構(gòu)成防火墻的主要組成部分有:1*網(wǎng)絡(luò)政策;2*先進(jìn)的驗證工具3*包過濾;4*應(yīng)用網(wǎng)關(guān);(四)防火墻的分類防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為三種基本類型:包過濾型、代理型和監(jiān)測型。1.包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論