企業(yè)網(wǎng)絡(luò)安全防范有哪些
企業(yè)網(wǎng)絡(luò)安全防范有哪些
今天學(xué)習(xí)啦小編就要跟大家講解下企業(yè)網(wǎng)絡(luò)安全防范有哪些~那么對(duì)此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!
企業(yè)網(wǎng)絡(luò)安全防范一:
網(wǎng)絡(luò)安全涉及到的問題非常多,如防病毒、防入侵破壞、防信息盜竊、用戶身份驗(yàn)證等,這些都不是由單一產(chǎn)品來完成,也不可能由單一產(chǎn)品來完成,因此網(wǎng)絡(luò)安全也必須從整體策略來考慮。網(wǎng)絡(luò)安全防護(hù)體系必須是一個(gè)動(dòng)態(tài)的防護(hù)體系,需要不斷監(jiān)測(cè)與更新,只有這樣才能保障網(wǎng)絡(luò)安全。從安全角度看,企業(yè)接入Internet網(wǎng)絡(luò)前的檢測(cè)與評(píng)估是保障網(wǎng)絡(luò)安全的重要措施。但大多數(shù)企業(yè)沒有這樣做,就把企業(yè)接入了Internet?;诖饲闆r,企業(yè)應(yīng)從以下幾個(gè)方面對(duì)網(wǎng)絡(luò)安全進(jìn)行檢測(cè)與評(píng)估,從而制定有針對(duì)性的防范措施。
1 檢測(cè)排除硬件、軟件系統(tǒng)
1.1 網(wǎng)絡(luò)設(shè)備
重點(diǎn)檢測(cè)與評(píng)估連接不同網(wǎng)段的設(shè)備和連接廣域網(wǎng)(WAN)的設(shè)備,如Switch、網(wǎng)橋和路由器等。這些網(wǎng)絡(luò)設(shè)備都有一些基本的安全功能,如密碼設(shè)置、存取控制列表、VLAN等,首先應(yīng)充分利用這些設(shè)備的功能。
1.2 數(shù)據(jù)庫及應(yīng)用軟件
數(shù)據(jù)庫在信息系統(tǒng)中的應(yīng)用越來越廣泛,其重要性也越來越強(qiáng),銀行用戶賬號(hào)信息、網(wǎng)站的登記用戶信息、企業(yè)財(cái)務(wù)信息、企業(yè)庫存及銷售信息等都存在各種數(shù)據(jù)庫中。數(shù)據(jù)庫也具有許多安全特性,如用戶的權(quán)限設(shè)置、數(shù)據(jù)表的安全性、備份特性等,利用好這些特性也是同網(wǎng)絡(luò)安全系統(tǒng)很好配合的關(guān)鍵。
1.3 E-mail系統(tǒng)
E-mail系統(tǒng)比數(shù)據(jù)庫應(yīng)用還要廣泛,而網(wǎng)絡(luò)中的絕大部分病毒是由E-mail帶來的,因此,其檢測(cè)與評(píng)估也變得十分重要。
1.4 Web站點(diǎn)
許多Web Server軟件(如IIS等)有許多安全漏洞,相應(yīng)的產(chǎn)品供應(yīng)商也在不斷解決這些問題。通過檢測(cè)與評(píng)估,進(jìn)行合理的設(shè)置與安全補(bǔ)丁程序,可以把不安全危險(xiǎn)盡量降低。
2 建立安全體系結(jié)構(gòu),有針對(duì)性的解決網(wǎng)絡(luò)安全問題
2.1 物理安全
物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù),是網(wǎng)絡(luò)信息安全的基本保障。建立物理安全體系結(jié)構(gòu)應(yīng)從3個(gè)方面考慮:一是自然災(zāi)害(地震、火災(zāi)、洪水)、物理損壞(硬盤損壞、設(shè)備使用到期、外力損壞)和設(shè)備故障(停電斷電、電磁干擾);二是電磁輻射、乘機(jī)而入、痕跡泄漏等;三是操作失誤(格式硬盤、線路拆除)、意外疏漏等。
2.2 操作系統(tǒng)安全
網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心,其安全性占據(jù)十分重要的地位。根據(jù)美國的“可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則”,把計(jì)算機(jī)系統(tǒng)的安全性從高到低分為4個(gè)等級(jí):A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等屬于D級(jí),即最不安全的。Windows NT/2000/XP、Unix、Netware等則屬于C2級(jí),一些專用的操作系統(tǒng)可能會(huì)達(dá)到B級(jí)。C2級(jí)操作系統(tǒng)已經(jīng)有了許多安全特性,但必須對(duì)其進(jìn)行合理的設(shè)置和管理,才能使其發(fā)揮作用。如在Windows NT下設(shè)置共享權(quán)限時(shí),缺省設(shè)置是所有用戶都是“Full Control”權(quán)限,必須對(duì)其進(jìn)行更改。
2.3 使用ACL封堵常見病毒端口
大多數(shù)病毒都是通過TCP的135(Microsoft RPC),136-139(NetBIOS),445(Microsoft DS),1068,555,9996,2046,4444,1434,UDP的135,136,137,138,139,445,5554,9996,2046,4444,1434端口進(jìn)行傳播的。利用Extended access-list禁用某些病毒的傳播端口,并將IP訪問列表應(yīng)用到相應(yīng)的VLAN和端口可以有效防止病毒的傳播。
Extended ACL 配置
access-list 102 deny tcp any anyeq 135
access-list 102 deny tcp any anyeq 136
access-list 102 deny tcp any anyeq 137
access-list 102 deny tcp any anyeq 138
access-list 102 deny tcp any anyeq 139
access-list 102 deny tcp any anyeq 445
access-list 102 deny tcp any anyeq 1068
access-list 102 deny udp any anyeq 135
access-list 102 deny udp any anyeq 136
access-list 102 deny udp any anyeq 137
access-list 102 deny udp any anyeq 138
access-list 102 deny udp any anyeq 139
access-list 102 deny udp any anyeq 445
access-list 102 deny tcp any anyeq 5554
access-list 102 deny udp any anyeq 5554
access-list 102 deny tcp any anyeq 9996
access-list 102 deny udp any anyeq 9996
access-list 102 deny tcp any anyeq 2046 access-list 102 deny udp any anyeq 2046
access-list 102 deny tcp any anyeq 4444
access-list 102 deny udp any anyeq 4444
access-list 102 deny tcp any anyeq 1434
access-list 102 deny udp any anyeq 1434
access-list 102 permit ip any any
access-list 102 permit tcp any any
access-list 102 permit udp any any
將ACL應(yīng)用到各VLAN,配置命令如下(vlan1-10可以根據(jù)實(shí)際情況改變)
interface range vlan 1 - 10
ip access-group 102 in
ip access-group 102 out
exit
配置命令后在路由器上使用show access-list查看ACL的配置。
2.4 封堵p2p端口
企業(yè)將自己的內(nèi)網(wǎng)與其外網(wǎng)相連,雖然這樣可以從網(wǎng)上得到很多對(duì)公司有利的商機(jī),但是有些企業(yè)內(nèi)部員工,還要使用P2P軟件非法占用公共的網(wǎng)絡(luò)資源,從而影響到了其他人員的辦公。由于雇員濫用對(duì)等(P2P)網(wǎng)絡(luò)技術(shù)共享音樂和視頻,這項(xiàng)技術(shù)已經(jīng)直接影響到企業(yè)的利益。由于目前國內(nèi)企業(yè)一般只有有限的帶寬,而P2P的出現(xiàn)在給你帶來好處的同時(shí),也給網(wǎng)絡(luò)帶寬帶來了巨大的壓力,尤其在用來進(jìn)行大量數(shù)據(jù)下載的時(shí)候,很容易導(dǎo)致企業(yè)的其他業(yè)務(wù)無法正常進(jìn)行。
我們可以在出口路由上利用Extended access-list 控制列表限制p2p端口。
Router (config)#access-list 110 deny tcp any any range 6881 6890
Router (config)#access-list 110 permit ip any any
Router (config)#interface fastethernet0/0
Router (config-if)#ip access-group 111 in
另外,如果需要保證網(wǎng)絡(luò)的絕對(duì)安全性,則可以利用ACL只開放常用的端口,其他所有端口全部禁用。由于這樣做很大限度地限制了通信端口,故沒有在實(shí)際試驗(yàn)中使用,因?yàn)闀?huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的通訊受到影響,該規(guī)則只適合用于對(duì)網(wǎng)絡(luò)通信要求非常嚴(yán)格的網(wǎng)絡(luò)環(huán)境下。
Router(config)#access-list 112 permit tcp any anyeq 25
Router(config)#access-list 112 permit tcp any anyeq 53
Router(config)#access-list 112 permit tcp any anyeq 80
Router(config)#access-list 112 permit tcp any anyeq 110
Router(config)#access-list 112 deny ip any any
企業(yè)網(wǎng)絡(luò)安全防范二:
1 企業(yè)網(wǎng)絡(luò)威脅分析
許多企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)前所面臨的威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)中資源的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有,歸結(jié)起來,針對(duì)網(wǎng)絡(luò)安全的威脅主要有以下幾點(diǎn):
1.1 人為的無意失誤 如用戶對(duì)計(jì)算機(jī)安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),密碼口令設(shè)置較弱,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。
1.2 人為的惡意攻擊 這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。
1.3 網(wǎng)絡(luò)軟件的漏洞和系統(tǒng)后門 網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外,系統(tǒng)后門都是軟件公司的設(shè)計(jì)編程人員為了自己方便而設(shè)置的,一般不為外人所知,但一旦后門洞開,其造成的后果將不堪設(shè)想。
1.4 病毒是網(wǎng)絡(luò)安全的一大隱患 目前,全球已發(fā)現(xiàn)四萬余種病毒,并且以每月新增300多種的速度繼續(xù)破壞著網(wǎng)絡(luò)上寶貴的信息資源。計(jì)算機(jī)病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復(fù)制或產(chǎn)生變種,其速度之快令人難以預(yù)防。
2 企業(yè)網(wǎng)絡(luò)脆弱性分析
2.1 難以抵制針對(duì)系統(tǒng)自身缺陷的攻擊 此類攻擊手段包括特洛伊木馬、口令猜測(cè)、緩沖區(qū)溢出等。利用系統(tǒng)固有的或系統(tǒng)配置及管理過程中的安全漏洞,穿透或繞過安全設(shè)施的防護(hù)策略,達(dá)到非法訪問直至控制系統(tǒng)的目的,并以此為跳板,繼續(xù)攻擊其它系統(tǒng)。
2.2 安全監(jiān)控手段不多 許多企業(yè)沒有部署有效的流量管理措施,不能對(duì)企業(yè)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控。當(dāng)網(wǎng)絡(luò)中垃圾數(shù)據(jù)包大量產(chǎn)生,P2P、BT下載猖獗,會(huì)嚴(yán)重阻塞網(wǎng)絡(luò),拖慢網(wǎng)絡(luò)中重要業(yè)務(wù)應(yīng)用,并最終導(dǎo)致系統(tǒng)癱瘓。
2.3 防病毒系統(tǒng)難以應(yīng)對(duì)復(fù)雜多變的病毒環(huán)境 現(xiàn)在很多病毒為利用操作系統(tǒng)漏洞進(jìn)行傳播的蠕蟲病毒,這種類型的病毒整合了傳統(tǒng)病毒傳播和黑客攻擊的技術(shù),以多種方式進(jìn)行傳播和攻擊。它不需要人工干預(yù),能夠自動(dòng)發(fā)現(xiàn)和利用系統(tǒng)漏洞,并自動(dòng)對(duì)有系統(tǒng)漏洞的計(jì)算機(jī)進(jìn)行傳播和攻擊,其傳播和感染速度極快,破壞性也更強(qiáng),受感染的系統(tǒng)通常伴隨著木馬程序種植。這種類型的病毒除了破壞被感染的機(jī)器,在傳播過程中也會(huì)形成DOS攻擊,阻塞網(wǎng)絡(luò)。
2.4 網(wǎng)絡(luò)設(shè)計(jì)不合理 網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇、配置等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。企業(yè)的網(wǎng)絡(luò)架構(gòu)簡(jiǎn)單,交換機(jī)配置不合理,都會(huì)對(duì)網(wǎng)絡(luò)造成威脅。
2.5 缺少嚴(yán)格合理的安全管理制度 政策的不完善、落實(shí)不徹底、安全管理制度的不健全、措施不得力和缺乏有效的動(dòng)態(tài)管理網(wǎng)絡(luò)系統(tǒng)安全策略的能力等都可能形成對(duì)系統(tǒng)安全的威脅。
3 防范措施
3.1 防火墻部署 防火墻是建立在內(nèi)部專有網(wǎng)絡(luò)和外部公有網(wǎng)絡(luò)之間的。所有來自公網(wǎng)的傳輸信息或從內(nèi)網(wǎng)發(fā)出的信息都必須穿過防火墻。網(wǎng)絡(luò)訪問的安全一方面我們要配置防火墻禁止對(duì)內(nèi)訪問,以防止互聯(lián)網(wǎng)上黑客的非法入侵;另一方面對(duì)允許對(duì)內(nèi)訪問的合法用戶設(shè)立安全訪問區(qū)域。防火墻是在系統(tǒng)內(nèi)部和外部之間的隔離層,可保護(hù)內(nèi)部系統(tǒng)不被外部系統(tǒng)攻擊。
通過配置安全訪問控制策略,可確保與外界可靠、安全連接。防火墻的功能是對(duì)訪問用戶進(jìn)行過濾,通過防火墻的設(shè)置,對(duì)內(nèi)網(wǎng)、公網(wǎng)、DMZ區(qū)進(jìn)行劃分,并實(shí)施安全策略,防止外部用戶或內(nèi)部用戶彼此之間的惡性攻擊。同時(shí)防火墻支持功能,對(duì)經(jīng)常出差的領(lǐng)導(dǎo)、員工支持遠(yuǎn)程私有網(wǎng)絡(luò),用戶通過公網(wǎng)可以象訪問本地內(nèi)部局域網(wǎng)一樣任意進(jìn)行訪問。此外,防火墻還可以收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息,為流量監(jiān)控和入侵檢測(cè)提供可靠的數(shù)據(jù)支持。
3.2 防病毒系統(tǒng) 在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有不可估量的威脅性和破壞力,因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。
通過部署防病毒系統(tǒng),做到實(shí)現(xiàn)集中病毒管理,在中心控制臺(tái)可監(jiān)視所有部署防病毒客戶端的計(jì)算機(jī)和服務(wù)器。并可據(jù)具體需要制定出相應(yīng)的防范和救治措施,如刪除,隔離,殺毒等;能夠?qū)M(jìn)入系統(tǒng)的病毒做實(shí)時(shí)的響應(yīng)。自動(dòng)由中心控制臺(tái)向其它計(jì)算機(jī)和服務(wù)器更新病毒庫??梢灶A(yù)先設(shè)定對(duì)某些重要文件進(jìn)行實(shí)時(shí)掃描監(jiān)控。
3.3 流量監(jiān)控系統(tǒng) 什么是流量監(jiān)控?眾所周知,網(wǎng)絡(luò)通信是通過數(shù)據(jù)包來完成的,所有信息都包含在網(wǎng)絡(luò)通信數(shù)據(jù)包中。兩臺(tái)計(jì)算機(jī)通過網(wǎng)絡(luò)“溝通”,是借助發(fā)送與接收數(shù)據(jù)包來完成的。所謂流量監(jiān)控,實(shí)際上就是針對(duì)這些網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行管理與控制,同時(shí)進(jìn)行優(yōu)化與限制。流量監(jiān)控的目的是允許并保證有用數(shù)據(jù)包的高效傳輸,禁止或限制非法數(shù)據(jù)包傳輸,一保一限是流量監(jiān)控的本質(zhì)。在P2P技術(shù)廣泛應(yīng)用的今天,企業(yè)部署流量監(jiān)控是非常有必要的。
3.4 合理的配置策略 通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全。
3.4.1 增加了網(wǎng)絡(luò)連接的靈活性 借助VLAN技術(shù),能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后,這部分管理費(fèi)用大大降低。
3.4.2 控制網(wǎng)絡(luò)上的廣播 VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN,可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī),在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播的產(chǎn)生。
3.4.3 增加網(wǎng)絡(luò)的安全性 因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。
3.5 安全管理制度 面對(duì)網(wǎng)絡(luò)安全的脆弱性,除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理,制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。對(duì)于安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無關(guān)的區(qū)域。出入管理可安裝自動(dòng)識(shí)別登記系統(tǒng),采用指紋鎖、身份卡等手段,對(duì)人員進(jìn)行識(shí)別、登記管理。
4 結(jié)束語
總之,網(wǎng)絡(luò)安全是需要綜合的部署和完善的策略來做保證的。企業(yè)的網(wǎng)絡(luò)安全是一項(xiàng)綜合性很強(qiáng)的工作,并且持續(xù)的時(shí)間將隨著整個(gè)拓?fù)浜蛻?yīng)用的周期而擴(kuò)展。網(wǎng)絡(luò)管理人員必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則,根據(jù)規(guī)定的安全策略制定出合理靈活的部署,這樣才能真正做到整個(gè)網(wǎng)絡(luò)的安全。
企業(yè)網(wǎng)絡(luò)安全防范三:
1.企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析
公司的發(fā)展壯大使其企業(yè)布局發(fā)生了巨大的變化。隨著公司發(fā)展,需要重新規(guī)劃:其網(wǎng)絡(luò)結(jié)構(gòu)。存在著遠(yuǎn)端數(shù)據(jù)收集困難,病毒威脅、黑客入侵、垃圾和病毒郵件威脅,帶寬利用率低等
問題。
(1)病毒威脅,病毒是網(wǎng)絡(luò)安全最大威脅,每年給各種企業(yè)帶來的損失巨大,使所有企業(yè)都對(duì)病毒“談毒色變”。
(2)ARP攻擊威脅,ARP本是網(wǎng)絡(luò)體系結(jié)構(gòu)中的一個(gè)協(xié)議,這個(gè)協(xié)議關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)通信必不可少的兩個(gè)地址IP與MAC地址的轉(zhuǎn)換功能。
(3)通過網(wǎng)絡(luò)方式泄露企業(yè)機(jī)密,造成企業(yè)損失。網(wǎng)絡(luò)在成為羲要交流工具的同時(shí)也成了重要的泄密渠道。
2.企業(yè)局域網(wǎng)安全防范方案
(1) 防火墻技術(shù)安全配置。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。
防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過濾防火墻工作在網(wǎng)絡(luò)層上,有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾,能根據(jù)企業(yè)的安全政策來控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、審記與實(shí)時(shí)告警等功能。
代理服務(wù)防火墻也有一定功效,是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān),位于internet和intranet之間,自動(dòng)截取內(nèi)部用戶訪問internet的請(qǐng)求,驗(yàn)證其有效性,代表用戶建立訪問外部網(wǎng)絡(luò)的連接。代理服務(wù)器在很大程度上對(duì)用戶是透明的,如果外部網(wǎng)絡(luò)個(gè)站點(diǎn)之間的連接被切斷了,必須通過代理服務(wù)器方可相互連通。
(2)攻擊檢測(cè)技術(shù)及方法。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),所以要及時(shí)發(fā)現(xiàn)并修正網(wǎng)絡(luò)中存在的弱點(diǎn)和漏洞。網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件,其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,建議補(bǔ)救措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
這樣,防火墻將得到合理配置,內(nèi)外WEB站點(diǎn)的安全漏洞減為最低,網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性,對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng),保護(hù)重要應(yīng)用系統(tǒng)(如財(cái)務(wù)系統(tǒng))數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄,并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail),一般包括控制臺(tái)和探測(cè)器,也不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。
(3)審計(jì)與監(jiān)控技術(shù)實(shí)施。由于企業(yè)需要的是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng),因而對(duì)整個(gè)網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的,它可以讓用戶通過對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較,找出發(fā)生的網(wǎng)絡(luò)安全問題的原因,并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。
審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程,它是提高安全性的重要工具。它不僅能夠識(shí)別誰訪問了系統(tǒng),還能看出系統(tǒng)正被怎樣的使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況,審計(jì)信息對(duì)于去定問題和攻擊源很重要。同時(shí),系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)的識(shí)別問題,并且它是后面階段事故處理的重要依據(jù)。
另外,通過對(duì)安全事件的不斷收集與積累并且加以分析,有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤,以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。
(4) 企業(yè)局域網(wǎng)防病毒設(shè)置。隨著網(wǎng)絡(luò)病毒的泛濫,對(duì)于一個(gè)局域網(wǎng)來說,以前各掃門前雪的防病毒方式經(jīng)顯得力不從心了,如果僅靠局域網(wǎng)中部分計(jì)算機(jī)的單機(jī)版防病毒軟件,根本不可能做到對(duì)病毒的及時(shí)防御。
因此,在局域網(wǎng)中構(gòu)建一個(gè)完整的防病毒體系己經(jīng)成為當(dāng)務(wù)之急,網(wǎng)絡(luò)防病毒軟件也應(yīng)運(yùn)而生。主要面向MAIL、Web服務(wù)器,以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。
支持對(duì)網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時(shí)病毒監(jiān)控;能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件,并監(jiān)視多個(gè)目標(biāo)的病毒防治情況;
支持多種平臺(tái)的病毒防范;能夠識(shí)別廣泛的已知和未知病毒,包括宏病毒;支持對(duì)Internet/ Intranet服務(wù)器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;
支持對(duì)電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對(duì)壓縮文件的病毒檢測(cè);支持廣泛的病毒處理選項(xiàng),如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒,移出,重新命名等;
支持病毒隔離,當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí),服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接;提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù);支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子郵件等)等。
為了保護(hù)網(wǎng)絡(luò)的安全性,除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。
3.結(jié)束語
在信息化時(shí)代,網(wǎng)絡(luò)的安全應(yīng)用是非常必要的,它將有效防止?jié)撛跀橙撕筒环ǚ肿拥钠茐?,有效保護(hù)企業(yè)機(jī)密,降低企業(yè)的辦公成本。網(wǎng)絡(luò)安全的發(fā)展過程中,我們必須更進(jìn)一步的開展企業(yè)信息安全應(yīng)用研究。