解決方案
新聞動(dòng)態(tài)
發(fā)布時(shí)間 : 2021-03-18 10:31:00
發(fā)布時(shí)間 : 2021-03-18 10:30:48
發(fā)布時(shí)間 : 2021-03-18 10:29:56
發(fā)布時(shí)間 : 2021-03-18 10:28:28
發(fā)布時(shí)間 : 2021-03-18 10:26:21
發(fā)布時(shí)間 : 2021-03-18 10:24:08
快速按鈕
網(wǎng)絡(luò )安全
網(wǎng)絡(luò )安全
網(wǎng)絡(luò )系統安全綜合解決方案
局域網(wǎng)安全解決方案
由于局域網(wǎng)中采用廣播方式,因此,若在某個(gè)廣播域中可以偵聽(tīng)到所有的信息包,黑客就可以對信息包進(jìn)行分析,那么本廣播域的信息傳遞都會(huì )暴露在黑客面前。
網(wǎng)絡(luò )分段
網(wǎng)絡(luò )分段是保證安全的一項重措施,同時(shí)也是一項基本措施,其指導思想在于將非法用戶(hù)與網(wǎng)絡(luò )資源相互隔離,從而達到限制用戶(hù)非法訪(fǎng)問(wèn)的目的。
網(wǎng)絡(luò )分段可分為物理分段和邏輯分段兩種方式:物理分段通常是指將網(wǎng)絡(luò )從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段相互之間無(wú)法進(jìn)行直接通訊。目前,許多交換機都有一定的訪(fǎng)問(wèn)控制能力,可實(shí)現對網(wǎng)絡(luò )的物理分段。
邏輯分段則是指將整個(gè)系統在網(wǎng)絡(luò )層(ISO/OSI模型中的第三層)上進(jìn)行分段。例如,對于TCP/IP網(wǎng)絡(luò ),可把網(wǎng)絡(luò )分成若干IP子網(wǎng),各子網(wǎng)間必須通過(guò)路由器、路由交換機、網(wǎng)關(guān)或防火墻等設備進(jìn)行連接,利用這些中間設備(含軟件、硬件)的安全機制來(lái)控制各子網(wǎng)間的訪(fǎng)問(wèn)。
在實(shí)際應用過(guò)程中,通常采取物理分段與邏輯分段相結合的方法來(lái)實(shí)現對網(wǎng)絡(luò )系統的安全性控制。
VLAN的實(shí)現
虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此,網(wǎng)管系統有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開(kāi)銷(xiāo)很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機制,但應用了交換機和VLAN技術(shù)后,實(shí)際上轉變?yōu)辄c(diǎn)到點(diǎn)通訊,除非設置了監聽(tīng)口,信息交換也不會(huì )存在監聽(tīng)和插入(改變)問(wèn)題。
由以上運行機制帶來(lái)的網(wǎng)絡(luò )安全的好處是顯而易見(jiàn)的:信息只到達應該到達的地點(diǎn)。因此,防止了大部分基于網(wǎng)絡(luò )監聽(tīng)的入侵手段。通過(guò)虛擬網(wǎng)設置的訪(fǎng)問(wèn)控制,使在虛擬網(wǎng)外的網(wǎng)絡(luò )節點(diǎn)不能直接訪(fǎng)問(wèn)虛擬網(wǎng)內節點(diǎn)。但是,虛擬網(wǎng)技術(shù)也帶來(lái)了新的問(wèn)題:執行虛擬網(wǎng)交換的設備越來(lái)越復雜,從而成為被攻擊的對象?;诰W(wǎng)絡(luò )廣播原理的入侵監控技術(shù)在高速交換網(wǎng)絡(luò )內需要特殊的設置?;贛AC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但這要求整個(gè)網(wǎng)絡(luò )桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機器均屬于相同的VLAN。
VLAN之間的劃分原則
VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來(lái)劃分VLAN:可以將總部中的服務(wù)器系統單獨劃作一個(gè)VLAN,如數據庫服務(wù)器、電子郵件服務(wù)器等。也可以按照機構的設置來(lái)劃分VLAN,如將領(lǐng)導所在的網(wǎng)絡(luò )單獨作為一個(gè)Leader VLAN(LVLAN),其它司局(或下級機構)分別作為一個(gè)VLAN,并且控制LVLAN與其它VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關(guān)信息,其他VLAN不能訪(fǎng)問(wèn)LVLAN的信息。VLAN之內的連接采用交換技術(shù)實(shí)現,VLAN與VLAN之間采用路由實(shí)現。由于路由控制的能力有限,不能實(shí)現LVLAN與其他VLAN之間的單向信息流動(dòng),需要在LVLAN與其他VLAN之間設置一個(gè)NetScreen防火墻作為安全隔離設備,控制VLAN與VLAN之間的信息交換。
廣域網(wǎng)安全解決方案
由于廣域網(wǎng)采用公網(wǎng)傳輸數據,因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息也可能會(huì )被不法分子截取。如分支機構從異地發(fā)一個(gè)信息到總部時(shí),這個(gè)信息包就可能被人截取和利用。因此在廣域網(wǎng)上發(fā)送和接收信息時(shí)要保證:
除了發(fā)送方和接收方外,其他人是不可知悉的(隱私性);
傳送過(guò)程中不被篡改(真實(shí)性);
發(fā)送方能確信接收方不是假冒的(非偽裝性);
發(fā)送方不能否認自己的發(fā)送行為(非否認)。
如果沒(méi)有專(zhuān)門(mén)的軟件對數據進(jìn)行控制,所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸,因此任何一個(gè)對通信進(jìn)行監測的人都可以對通信數據進(jìn)行截取。這種形式的"攻擊"是相對比較容易成功的,只要使用現在可以很容易得到的"包檢測"軟件即可。如果從一個(gè)聯(lián)網(wǎng)的UNIX工作站上使用"跟蹤路由"命令的話(huà),就可以看見(jiàn)數據從客戶(hù)機傳送到服務(wù)器要經(jīng)過(guò)多少種不同的節點(diǎn)和系統,所有這些都被認為是較容易受到黑客攻擊的目標。一般地,一個(gè)監聽(tīng)攻擊只需通過(guò)在傳輸數據的末尾獲取IP包的信息即可以完成。這種辦法并不需要特別的物理訪(fǎng)問(wèn)。如果對網(wǎng)絡(luò )用線(xiàn)具有直接的物理訪(fǎng)問(wèn)的話(huà),還可以使用網(wǎng)絡(luò )診斷軟件來(lái)進(jìn)行竊聽(tīng)。對付這類(lèi)攻擊的辦法就是對傳輸的信息進(jìn)行加密,或者是至少要對包含敏感數據的部分信息進(jìn)行加密。
加密技術(shù)
加密型網(wǎng)絡(luò )安全技術(shù)的基本思想是不依賴(lài)于網(wǎng)絡(luò )中數據路徑的安全性來(lái)實(shí)現網(wǎng)絡(luò )系統的安全,而是通過(guò)對網(wǎng)絡(luò )數據的加密來(lái)保障網(wǎng)絡(luò )的安全可靠性,因而這一類(lèi)安全保障技術(shù)的基石是使用放大數據加密技術(shù)及其在分布式系統中的應用。
數據加密技術(shù)可以分為三類(lèi),即對稱(chēng)型加密、不對稱(chēng)型加密和不可逆加密。 對稱(chēng)型加密使用單個(gè)密鑰對數據進(jìn)行加密或解密,其特點(diǎn)是計算量小、加密效率高。但是此類(lèi)算法在分布式系統上使用較為困難,主要是密鑰管理困難,從而使用成本較高,保安性能也不易保證。這類(lèi)算法的代表是在計算機專(zhuān)網(wǎng)系統中廣泛使用的DES算法(Digital Encryption Standard)。
不對稱(chēng)型加密算法也稱(chēng)公用密鑰算法,其特點(diǎn)是有二個(gè)密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過(guò)程。由于不對稱(chēng)算法擁有二個(gè)密鑰,它特別適用于分布式系統中的數據加密,在Internet中得到廣泛應用。其中公用密鑰在網(wǎng)上公布,為數據對數據加密使用,而用于解密的相應私有密鑰則由數據的接收方妥善保管。
不對稱(chēng)加密的另一用法稱(chēng)為"數字簽名"(digital signature),即數據源使用其私有密鑰對數據的求校驗和(checksum)或其它與數據內容有關(guān)的變量進(jìn)行加密,而數據接收方則用相應的公用密鑰解讀"數字簽名",并將解讀結果用于對數據完整性的檢驗。在網(wǎng)絡(luò )系統中得到應用的不對稱(chēng)加密算法有RSA算法和美國國家標準局提出的DSA算法(Digital Signature Algorithm)。不對稱(chēng)加密法在分布式系統中應用需注意的問(wèn)題是如何管理和確認公用密鑰的合法性。
不可逆加密算法的特征是加密過(guò)程不需要密鑰,并且經(jīng)過(guò)加密 的數據無(wú)法被解密,只有同樣的輸入數據經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題,適合于分布式網(wǎng)絡(luò )系統上使用,但是其加密計算工作量相當可觀(guān),所以通常用于數據量有限的情形下的加密,例如計算機系統中的口令就是利用不可逆算法加密的。近來(lái)隨著(zhù)計算機系統性能的不斷改善,不可逆加密的應用逐漸增加。在計算機網(wǎng)絡(luò )中應用較多的有RSA公司發(fā)明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準(SHS-Secure Hash Standard)。
加密技術(shù)用于網(wǎng)絡(luò )安全通常有二種形式,即面向網(wǎng)絡(luò )或面向應用服務(wù)。前者通常工作在網(wǎng)絡(luò )層或傳輸層,使用經(jīng)過(guò)加密的數據包傳送、認證網(wǎng)絡(luò )路由及其他網(wǎng)絡(luò )協(xié)議所需的信息,從而保證網(wǎng)絡(luò )的連通性和可用性不受損害。在網(wǎng)絡(luò )層上實(shí)現的加密技術(shù)對于網(wǎng)絡(luò )應用層的用戶(hù)通常是透明的。此外,通過(guò)適當的密鑰管理機制,使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò )上建立虛擬專(zhuān)用網(wǎng)絡(luò )并保障虛擬專(zhuān)用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來(lái)IETF在這方面的努力之一。面向網(wǎng)絡(luò )應用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法,例如使用Kerberos服務(wù)的telnet、NFS、rlogion等,以及用作電子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這一類(lèi)加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現相對較為簡(jiǎn)單,不需要對電子信息(數據包)所經(jīng)過(guò)的網(wǎng)絡(luò )的安全性能提出特殊要求,對電子郵件數據實(shí)現了端到端的安全保障。
數字簽名和認證技術(shù)
認證技術(shù)主要解決網(wǎng)絡(luò )通訊過(guò)程中通訊雙方的身份認可,數字簽名作為身份認證技術(shù)中的一種具體技術(shù),同時(shí)數字簽名還可用于通信過(guò)程中的不可抵賴(lài)要求的實(shí)現。
認證過(guò)程通常涉及到加密和密鑰交換。通常,加密可使用對稱(chēng)加密、不對稱(chēng)加密及兩種加密方法的混合。
User Name/Password認證
該種認證方式是最常用的一種認證方式,用于操作系統登錄、telnet、rlogin等,但此種認證方式過(guò)程不加密,即password容易被監聽(tīng)和解密。
使用摘要算法的認證
Radius(撥號認證協(xié)議)、OSPF(路由協(xié)議)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)進(jìn)行認證,由于摘要算法是一個(gè)不可逆的過(guò)程,因此,在認證過(guò)程中,由摘要信息不能技術(shù)出共享的security key,敏感信息不在網(wǎng)絡(luò )上傳輸。市場(chǎng)上主要采用的摘要算法有MD5和SHA-1。
基于PKI的認證
使用公開(kāi)密鑰體系進(jìn)行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱(chēng)加密、對稱(chēng)加密、數字簽名等技術(shù),很好地將安全性和高效性結合起來(lái)。這種認證方法目前應用在電子郵件、應用服務(wù)器訪(fǎng)問(wèn)、客戶(hù)認證、防火墻認證等領(lǐng)域。
該種認證方法安全程度很高,但是涉及到比較繁重的證書(shū)管理任務(wù)。
數字簽名
數字簽名作為驗證發(fā)送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對,作為驗證發(fā)送者身份和消息完整性的根據,CA使用私有密鑰技術(shù)其數字簽名,利用CA提供的公共密鑰,任何人均可驗證簽名的真實(shí)性。偽造數字簽名從計算機能力上不可行的。并且,如果消息隨數字簽名一同發(fā)送,對消息的任何修改在驗證數字簽名時(shí)都將會(huì )被發(fā)現。
通訊雙方通過(guò)Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰,并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進(jìn)行驗證。
基于此種加密模式,需要管理的密鑰數目與通訊者的數量為線(xiàn)性關(guān)系。而其它的加密模式需要管理的密鑰數目與通訊者數目的平方成正比。
VPN技術(shù)
網(wǎng)絡(luò )系統總部和各分支機構之間采用公網(wǎng)網(wǎng)絡(luò )進(jìn)行連接,其最大的弱點(diǎn)在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò )接入到公網(wǎng)中,暴露出兩個(gè)主要危險:
來(lái)自公網(wǎng)的未經(jīng)授權的對企業(yè)內部網(wǎng)的存取。
當網(wǎng)絡(luò )系統通過(guò)公網(wǎng)進(jìn)行通訊時(shí),信息可能受到竊聽(tīng)和非法修改。 完整的集成化的企業(yè)范圍的VPN安全解決方案,提供在公網(wǎng)上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
VPN技術(shù)的原理:
VPN系統使分布在不同地方的專(zhuān)用網(wǎng)絡(luò )在不可信任的公共網(wǎng)絡(luò )上安全的通信。它采用復雜的算法來(lái)加密傳輸的信息,使得敏感的數據不會(huì )被竊聽(tīng)。其處理過(guò)程大體是這樣:
要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡(luò )的VPN設備;
VPN設備根據網(wǎng)管設置的規則,確定是否需要對數據進(jìn)行加密或讓數據直接通過(guò)。
對需要加密的數據,VPN設備對整個(gè)數據包進(jìn)行加密和附上數字簽名。
VPN設備加上新的數據報頭,其中包括目的地VPN設備需要的安全信息和一些初始化參數。
VPN 設備對加密后的數據、鑒別包以及源IP地址、目標VPN設備IP地址進(jìn)行重新封裝,重新封裝后的數據包通過(guò)虛擬通道在公網(wǎng)上傳輸。
當數據包到達目標VPN設備時(shí),數據包被解封裝,數字簽名被核對無(wú)誤后,數據包被解密。
IPSec
IPSec作為在IPv4及IPv6上的加密通訊框架,已為大多數廠(chǎng)商所支持。
IPSec主要提供IP網(wǎng)絡(luò )層上的加密通訊能力。該標準為每個(gè)IP包增加了新的包頭格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進(jìn)行密鑰交換、管理及加密通訊協(xié)商(Security Association)。
IPSec包含兩個(gè)部分:
IP security Protocol proper,定義IPSec報頭格式。
ISAKMP/Oakley,負責加密通訊協(xié)商。
IPSec提供了兩種加密通訊手段:
IPSec Tunnel:整個(gè)IP封裝在Ipsec-gateway之間的通訊。
Ipsec transport:對IP包內的數據進(jìn)行加密,使用原來(lái)的源地址和目的地址。
IPsec Tunnel 不要求修改已配備好的設備和應用,網(wǎng)絡(luò )黑客不能看到實(shí)際的通訊源地址和目的地址,并且能夠提供專(zhuān)用網(wǎng)絡(luò )通過(guò)Internet加密傳輸的通道,因此,絕大多數廠(chǎng)商均使用該模式。
ISAKMP/Oakley使用X.509數字證書(shū),因此,使VPN能夠容易地擴大到企業(yè)級。(易于管理)。
在為遠程撥號服務(wù)的Client端,也能夠實(shí)現IPsec的客戶(hù)端,為撥號用戶(hù)提供加密網(wǎng)絡(luò )通訊。由于IPsec即將成為Internet標準,因此不同廠(chǎng)家提供的防火墻(VPN)產(chǎn)品可以實(shí)現互通。
如何保證遠程訪(fǎng)問(wèn)的安全性
對于從外部撥號訪(fǎng)問(wèn)總部?jì)炔烤钟蚓W(wǎng)的用戶(hù),由于使用公用電話(huà)網(wǎng)進(jìn)行數據傳輸所帶來(lái)的風(fēng)險,必須嚴格控制其安全性。首先,應嚴格限制撥號上網(wǎng)用戶(hù)所訪(fǎng)問(wèn)的系統信息和資源,這一功能可通過(guò)在撥號訪(fǎng)問(wèn)服務(wù)器后設置NetScreen防火墻來(lái)實(shí)現。其次,應加強對撥號用戶(hù)的身份認證,使用RADIUS等專(zhuān)用身份驗證服務(wù)器。一方面,可以實(shí)現對撥號用戶(hù)帳號的統一管理;另一方面,在身份驗證過(guò)程中采用加密的手段,避免用戶(hù)口令泄露的可能性。第三,在數據傳輸過(guò)程中采用加密技術(shù),防止數據被非法竊取。一種方法是使用PGP for Business Security,對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN(虛擬專(zhuān)網(wǎng))技術(shù)。VPN在提供網(wǎng)間數據加密的同時(shí),也提供了針對單機用戶(hù)的加密客戶(hù)端軟件,即采用軟件加密的技術(shù)來(lái)保證數據傳輸的安全性。
聯(lián)系方式
掃一掃二維碼
添加微信咨詢(xún)詳細