網絡安全

網絡系統安全綜合解決方案

局域網安全解決方案

由于局域網中采用廣播方式，因此，若在某個廣播域中可(kě)以偵聽到所有的信息包，黑(hēi)客就(jiù)可(kě)以對信息包進行分(fēn)析，那麽本廣播域的信息傳遞都(dōu)會暴露在黑(hēi)客面前。

網絡分(fēn)段

網絡分(fēn)段是保證安全的一項重措施，同時也是一項基本措施，其指導思想在于将非法用戶與網絡資源相(xiàng)互隔離(lí)，從(cóng)而達到限制用戶非法訪問(wèn)的目的。 

網絡分(fēn)段可(kě)分(fēn)爲物理(lǐ)分(fēn)段和邏輯分(fēn)段兩種方式：物理(lǐ)分(fēn)段通常是指将網絡從(cóng)物理(lǐ)層和數據鏈路(lù)層（ISO/OSI模型中的第一層和第二層）上分(fēn)爲若幹網段，各網段相(xiàng)互之間無法進行直接通訊。目前，許多交換機(jī)都(dōu)有一定的訪問(wèn)控制能力，可(kě)實現對網絡的物理(lǐ)分(fēn)段。

邏輯分(fēn)段則是指将整個系統在網絡層（ISO/OSI模型中的第三層）上進行分(fēn)段。例如(rú)，對于TCP/IP網絡，可(kě)把網絡分(fēn)成若幹IP子網，各子網間必須通過路(lù)由器、路(lù)由交換機(jī)、網關或防火(huǒ)牆等設備進行連接，利用這些中間設備（含軟件(jiàn)、硬件(jiàn)）的安全機(jī)制來(lái)控制各子網間的訪問(wèn)。

在實際應用過程中，通常采取物理(lǐ)分(fēn)段與邏輯分(fēn)段相(xiàng)結合的方法來(lái)實現對網絡系統的安全性控制。

VLAN的實現

虛拟網技術(shù)主要基于近年(nián)發展的局域網交換技術(shù)（ATM和以太網交換）。交換技術(shù)将傳統的基于廣播的局域網技術(shù)發展爲面向連接的技術(shù)。因此，網管系統有能力限制局域網通訊的範圍而無需通過開銷很大(dà)的路(lù)由器。以太網從(cóng)本質上基于廣播機(jī)制，但(dàn)應用了交換機(jī)和VLAN技術(shù)後，實際上轉變爲點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問(wèn)題。

由以上運行機(jī)制帶來(lái)的網絡安全的好處是顯而易見(jiàn)的：信息隻到達應該到達的地點。因此，防止了大(dà)部分(fēn)基于網絡監聽的入侵手段。通過虛拟網設置的訪問(wèn)控制，使在虛拟網外的網絡節點不能直接訪問(wèn)虛拟網内節點。但(dàn)是，虛拟網技術(shù)也帶來(lái)了新的問(wèn)題：執行虛拟網交換的設備越來(lái)越複雜，從(cóng)而成爲被攻擊的對象。基于網絡廣播原理(lǐ)的入侵監控技術(shù)在高速交換網絡内需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分(fēn)将面臨假冒MAC地址的攻擊。因此，VLAN的劃分(fēn)最好基于交換機(jī)端口。但(dàn)這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機(jī)器均屬于相(xiàng)同的VLAN。

VLAN之間的劃分(fēn)原則

VLAN的劃分(fēn)方式的目的是保證系統的安全性。因此，可(kě)以按照(zhào)系統的安全性來(lái)劃分(fēn)VLAN：可(kě)以将總部中的服務器系統單獨劃作(zuò)一個VLAN，如(rú)數據庫服務器、電子郵件(jiàn)服務器等。也可(kě)以按照(zhào)機(jī)構的設置來(lái)劃分(fēn)VLAN，如(rú)将領導所在的網絡單獨作(zuò)爲一個Leader VLAN（LVLAN），其它司局（或下級機(jī)構）分(fēn)别作(zuò)爲一個VLAN，并且控制LVLAN與其它VLAN之間的單向信息流向，即允許LVLAN查看(kàn)其他(tā)VLAN的相(xiàng)關信息，其他(tā)VLAN不能訪問(wèn)LVLAN的信息。VLAN之内的連接采用交換技術(shù)實現，VLAN與VLAN之間采用路(lù)由實現。由于路(lù)由控制的能力有限，不能實現LVLAN與其他(tā)VLAN之間的單向信息流動，需要在LVLAN與其他(tā)VLAN之間設置一個NetScreen防火(huǒ)牆作(zuò)爲安全隔離(lí)設備，控制VLAN與VLAN之間的信息交換。

廣域網安全解決方案

由于廣域網采用公網傳輸數據，因而在廣域網上進行傳輸時信息也可(kě)能會被不法分(fēn)子截取。如(rú)分(fēn)支機(jī)構從(cóng)異地發一個信息到總部時，這個信息包就(jiù)可(kě)能被人(rén)截取和利用。因此在廣域網上發送和接收信息時要保證： 

除了發送方和接收方外，其他(tā)人(rén)是不可(kě)知悉的（隐私性）； 

傳送過程中不被篡改（真實性）； 

發送方能确信接收方不是假冒的（非僞裝性）；

發送方不能否認自(zì)己的發送行爲（非否認）。 

如(rú)果沒有專門(mén)的軟件(jiàn)對數據進行控制，所有的廣域網通信都(dōu)将不受限制地進行傳輸，因此任何一個對通信進行監測的人(rén)都(dōu)可(kě)以對通信數據進行截取。這種形式的"攻擊"是相(xiàng)對比較容易成功的，隻要使用現在可(kě)以很容易得(de)到的"包檢測"軟件(jiàn)即可(kě)。如(rú)果從(cóng)一個聯網的UNIX工(gōng)作(zuò)站(zhàn)上使用"跟蹤路(lù)由"命令的話(huà)，就(jiù)可(kě)以看(kàn)見(jiàn)數據從(cóng)客戶機(jī)傳送到服務器要經過多少種不同的節點和系統，所有這些都(dōu)被認爲是較容易受到黑(hēi)客攻擊的目标。一般地，一個監聽攻擊隻需通過在傳輸數據的末尾獲取IP包的信息即可(kě)以完成。這種辦法并不需要特别的物理(lǐ)訪問(wèn)。如(rú)果對網絡用線具有直接的物理(lǐ)訪問(wèn)的話(huà)，還(hái)可(kě)以使用網絡診斷軟件(jiàn)來(lái)進行竊聽。對付這類攻擊的辦法就(jiù)是對傳輸的信息進行加密，或者是至少要對包含敏感數據的部分(fēn)信息進行加密。

加密技術(shù) 

加密型網絡安全技術(shù)的基本思想是不依賴于網絡中數據路(lù)徑的安全性來(lái)實現網絡系統的安全，而是通過對網絡數據的加密來(lái)保障網絡的安全可(kě)靠性，因而這一類安全保障技術(shù)的基石是使用放(fàng)大(dà)數據加密技術(shù)及其在分(fēn)布式系統中的應用。 

數據加密技術(shù)可(kě)以分(fēn)爲三類，即對稱型加密、不對稱型加密和不可(kě)逆加密。 對稱型加密使用單個密鑰對數據進行加密或解密，其特點是計(jì)算量小、加密效率高。但(dàn)是此類算法在分(fēn)布式系統上使用較爲困難，主要是密鑰管理(lǐ)困難，從(cóng)而使用成本較高，保安性能也不易保證。這類算法的代表是在計(jì)算機(jī)專網系統中廣泛使用的DES算法（Digital Encryption Standard）。 

不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰（即公用密鑰和私有密鑰），隻有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有二個密鑰，它特别适用于分(fēn)布式系統中的數據加密，在Internet中得(de)到廣泛應用。其中公用密鑰在網上公布，爲數據對數據加密使用，而用于解密的相(xiàng)應私有密鑰則由數據的接收方妥善保管。

不對稱加密的另一用法稱爲"數字簽名"（digital signature），即數據源使用其私有密鑰對數據的求校(xiào)驗和（checksum）或其它與數據内容有關的變量進行加密，而數據接收方則用相(xiàng)應的公用密鑰解讀(dú)"數字簽名"，并将解讀(dú)結果用于對數據完整性的檢驗。在網絡系統中得(de)到應用的不對稱加密算法有RSA算法和美國(guó)國(guó)家标準局提出的DSA算法（Digital Signature Algorithm）。不對稱加密法在分(fēn)布式系統中應用需注意的問(wèn)題是如(rú)何管理(lǐ)和确認公用密鑰的合法性。

不可(kě)逆加密算法的特征是加密過程不需要密鑰，并且經過加密 的數據無法被解密，隻有同樣的輸入數據經過同樣的不可(kě)逆加密算法才能得(de)到相(xiàng)同的加密數據。不可(kě)逆加密算法不存在密鑰保管和分(fēn)發問(wèn)題，适合于分(fēn)布式網絡系統上使用，但(dàn)是其加密計(jì)算工(gōng)作(zuò)量相(xiàng)當可(kě)觀，所以通常用于數據量有限的情形下的加密，例如(rú)計(jì)算機(jī)系統中的口令就(jiù)是利用不可(kě)逆算法加密的。近來(lái)随着計(jì)算機(jī)系統性能的不斷改善，不可(kě)逆加密的應用逐漸增加。在計(jì)算機(jī)網絡中應用較多的有RSA公司發明的MD5算法和由美國(guó)國(guó)家标準局建議(yì)的可(kě)靠不可(kě)逆加密标準（SHS-Secure Hash Standard）。

加密技術(shù)用于網絡安全通常有二種形式，即面向網絡或面向應用服務。前者通常工(gōng)作(zuò)在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路(lù)由及其他(tā)網絡協議(yì)所需的信息，從(cóng)而保證網絡的連通性和可(kě)用性不受損害。在網絡層上實現的加密技術(shù)對于網絡應用層的用戶通常是透明的。此外，通過适當的密鑰管理(lǐ)機(jī)制，使用這一方法還(hái)可(kě)以在公用的互聯網絡上建立虛拟專用網絡并保障虛拟專用網上信息的安全性。SKIP協議(yì)即是近來(lái)IETF在這方面的努力之一。面向網絡應用服務的加密技術(shù)使用則是目前較爲流行的加密技術(shù)的使用方法，例如(rú)使用Kerberos服務的telnet、NFS、rlogion等，以及用作(zuò)電子郵件(jiàn)加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。這一類加密技術(shù)的優點在于實現相(xiàng)對較爲簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件(jiàn)數據實現了端到端的安全保障。

數字簽名和認證技術(shù) 

認證技術(shù)主要解決網絡通訊過程中通訊雙方的身(shēn)份認可(kě)，數字簽名作(zuò)爲身(shēn)份認證技術(shù)中的一種具體(tǐ)技術(shù)，同時數字簽名還(hái)可(kě)用于通信過程中的不可(kě)抵賴要求的實現。 

認證過程通常涉及到加密和密鑰交換。通常，加密可(kě)使用對稱加密、不對稱加密及兩種加密方法的混合。

User Name/Password認證 

該種認證方式是最常用的一種認證方式，用于操作(zuò)系統登錄、telnet、rlogin等，但(dàn)此種認證方式過程不加密，即password容易被監聽和解密。 

使用摘要算法的認證 

Radius（撥号認證協議(yì)）、OSPF（路(lù)由協議(yì)）、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法（MD5）進行認證，由于摘要算法是一個不可(kě)逆的過程，因此，在認證過程中，由摘要信息不能技術(shù)出共享的security key，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。 

基于PKI的認證

使用公開密鑰體(tǐ)系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術(shù)，很好地将安全性和高效性結合起來(lái)。這種認證方法目前應用在電子郵件(jiàn)、應用服務器訪問(wèn)、客戶認證、防火(huǒ)牆認證等領域。

該種認證方法安全程度很高，但(dàn)是涉及到比較繁重的證書(shū)管理(lǐ)任務。

數字簽名

數字簽名作(zuò)爲驗證發送者身(shēn)份和消息完整性的根據。公共密鑰系統（如(rú)RSA）基于私有/公共密鑰對，作(zuò)爲驗證發送者身(shēn)份和消息完整性的根據，CA使用私有密鑰技術(shù)其數字簽名，利用CA提供的公共密鑰，任何人(rén)均可(kě)驗證簽名的真實性。僞造數字簽名從(cóng)計(jì)算機(jī)能力上不可(kě)行的。并且，如(rú)果消息随數字簽名一同發送，對消息的任何修改在驗證數字簽名時都(dōu)将會被發現。 

通訊雙方通過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。 

基于此種加密模式，需要管理(lǐ)的密鑰數目與通訊者的數量爲線性關系。而其它的加密模式需要管理(lǐ)的密鑰數目與通訊者數目的平方成正比。

VPN技術(shù)

網絡系統總部和各分(fēn)支機(jī)構之間采用公網網絡進行連接，其最大(dà)的弱點在于缺乏足夠的安全性。企業網絡接入到公網中，暴露出兩個主要危險：

來(lái)自(zì)公網的未經授權的對企業内部網的存取。 

當網絡系統通過公網進行通訊時，信息可(kě)能受到竊聽和非法修改。 完整的集成化的企業範圍的VPN安全解決方案，提供在公網上安全的雙向通訊，以及透明的加密方案以保證數據的完整性和保密性。 

VPN技術(shù)的原理(lǐ): 

VPN系統使分(fēn)布在不同地方的專用網絡在不可(kě)信任的公共網絡上安全的通信。它采用複雜的算法來(lái)加密傳輸的信息，使得(de)敏感的數據不會被竊聽。其處理(lǐ)過程大(dà)體(tǐ)是這樣： 

要保護的主機(jī)發送明文信息到連接公共網絡的VPN設備；

VPN設備根據網管設置的規則，确定是否需要對數據進行加密或讓數據直接通過。 

對需要加密的數據，VPN設備對整個數據包進行加密和附上數字簽名。 

VPN設備加上新的數據報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數。 

VPN 設備對加密後的數據、鑒别包以及源IP地址、目标VPN設備IP地址進行重新封裝，重新封裝後的數據包通過虛拟通道在公網上傳輸。 

當數據包到達目标VPN設備時，數據包被解封裝，數字簽名被核對無誤後，數據包被解密。 

IPSec

IPSec作(zuò)爲在IPv4及IPv6上的加密通訊框架，已爲大(dà)多數廠(chǎng)商所支持。

IPSec主要提供IP網絡層上的加密通訊能力。該标準爲每個IP包增加了新的包頭格式，Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理(lǐ)及加密通訊協商（Security Association）。

IPSec包含兩個部分(fēn)：

IP security Protocol proper,定義IPSec報頭格式。

ISAKMP/Oakley，負責加密通訊協商。

IPSec提供了兩種加密通訊手段： 

IPSec Tunnel：整個IP封裝在Ipsec-gateway之間的通訊。

Ipsec transport：對IP包内的數據進行加密，使用原來(lái)的源地址和目的地址。 

IPsec Tunnel 不要求修改已配備好的設備和應用，網絡黑(hēi)客不能看(kàn)到實際的通訊源地址和目的地址，并且能夠提供專用網絡通過Internet加密傳輸的通道，因此，絕大(dà)多數廠(chǎng)商均使用該模式。 

ISAKMP/Oakley使用X.509數字證書(shū)，因此，使VPN能夠容易地擴大(dà)到企業級。（易于管理(lǐ)）。 

在爲遠(yuǎn)程撥号服務的Client端，也能夠實現IPsec的客戶端，爲撥号用戶提供加密網絡通訊。由于IPsec即将成爲Internet标準，因此不同廠(chǎng)家提供的防火(huǒ)牆（VPN）産品可(kě)以實現互通。

如(rú)何保證遠(yuǎn)程訪問(wèn)的安全性

對于從(cóng)外部撥号訪問(wèn)總部内部局域網的用戶，由于使用公用電話(huà)網進行數據傳輸所帶來(lái)的風(fēng)險，必須嚴格控制其安全性。首先，應嚴格限制撥号上網用戶所訪問(wèn)的系統信息和資源，這一功能可(kě)通過在撥号訪問(wèn)服務器後設置NetScreen防火(huǒ)牆來(lái)實現。其次，應加強對撥号用戶的身(shēn)份認證，使用RADIUS等專用身(shēn)份驗證服務器。一方面，可(kě)以實現對撥号用戶帳号的統一管理(lǐ)；另一方面，在身(shēn)份驗證過程中采用加密的手段，避免用戶口令洩露的可(kě)能性。第三，在數據傳輸過程中采用加密技術(shù)，防止數據被非法竊取。一種方法是使用PGP for Business Security，對數據加密。另一種方法是采用NetScreen防火(huǒ)牆所提供的VPN（虛拟專網）技術(shù)。VPN在提供網間數據加密的同時，也提供了針對單機(jī)用戶的加密客戶端軟件(jiàn)，即采用軟件(jiàn)加密的技術(shù)來(lái)保證數據傳輸的安全性。