2023年2月28日發(作者:初次約會)
?總體安全性:全面有效的保護企業網絡系統的安全,保護計算機硬件���、軟
件���、數據���、網絡不因偶然的或惡意破壞的原因遭到更改���、泄漏和丟失�����,
確保數據的完整性,大幅度地提高系統的安全性和保密性���。
?可控與可管理性:可自動和手動分析網絡安全狀況,適時檢測并及時發現
記錄潛在的安全威脅,制定安全策略,及時報警��、阻斷不良攻擊行為,具有
?系統可用性:保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好
的透明性���;盡量不影響原網絡拓撲結構�����,便于系統及系統功能的擴展;
易于操作����、維護,并便于自動化管理�,而不增加或少增加附加操作.
?可擴展特性:滿足成都酒店的業務需求和企業可持續發展的要求,具有
很強的可擴展性和柔韌性���;安全保密系統具有較好的性能價格比,一次性
?合法性:安全與密碼產品具有合法性,并便于安全管理單位與密碼管理
作為一種有效的保護計算機網絡安全技術性措施���,防火墻是一種隔離控制
技術�����,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對
信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸
出����。防火墻是一種被動防衛技術�,它假設了網絡的邊界和服務,因此��,防火墻最
適合于部署在相對獨立的企業內部網絡與公網(主要為Internet)之間.
作為對企業內網的安全性保護設備/節點,防火墻已經得到廣泛的應用��。通常企業
為了維護內部的信息系統安全���,在企業內網和Internet間安裝防火墻�����。企業信息
系統對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具
體的IP地址訪問����,也可以接收或拒絕TCP/IP上的某一類具體的應用����。
防火墻是企業網安全問題的流行方案�����,即把公共數據和服務置于防火墻外,
使其對防火墻內部資源的訪問受到限制��。作為一種網絡安全技術��,防火墻具有簡
單實用的特點����,并且透明度高���,可以在不修改原有網絡應用系統的情況下達到一
數據加密技術從技術上的實現分為在軟件和硬件兩方面���。按作用不同����,數
據加密技術主要分為數據傳輸����、數據存儲、數據完整性的鑒別以及密鑰管理技術
在網絡應用中一般采取兩種加密形式:對稱密鑰和非對稱/公開密鑰�����,采用
何種加密算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來作
出判斷。因為除了加密算法本身之外,密鑰合理分配���、加密效率與現有系統的結
對于對稱密鑰加密.其常見加密標準為DES等,當使用DES時,用戶和接
受方采用64位密鑰對報文加密和解密,當對安全性有特殊要求時���,則要采取IDEA
和三重DES等.作為傳統企業網絡廣泛應用的加密技術,秘密密鑰效率高,它采用
KDC來集中管理和分發密鑰并以此為基礎驗證身份,但是并不適合Internet環境。
在Internet中使用更多的是公鑰系統����。即公開密鑰加密,它的加密密鑰和解
密密鑰是不同的。一般對于每個用戶生成一對密鑰后,將其中一個作為公鑰公開,
另外一個則作為私鑰由屬主保存���。常用的公鑰加密算法是RSA算法,加密強度很
高。具體作法是將數字簽名和數據加密結合起來�。發送方在發送數據時必須加上
數據簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然
后與發送數據一起用接收方密鑰加密���。當這些密文被接收方收到后�,接收方用自
己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然后�,用發布方公布
的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的.數字簽名每次
還與被傳送的數據和時間等因素有關。由于加密強度高,而且并不要求通信雙方
事先要建立某種信任關系或共享某種秘密,因此十分適合Internet網上使用���。
僅僅加密是不夠的,全面的保護還要求認證和識別。它確保參與加密對話的
人確實是其本人。用戶認證可以依靠許多機制來實現,從安全卡到身份鑒別���。前
一個安全保護能確保只有經過授權的用戶才能通過可靠終端進行公網/私網的交
互式訪問;后者則提供一種方法,用它生成某種形式的口令或數字簽名,被訪問
的一方(通常是準入設備)據此來認證來自訪問者的請求。用戶管理的口令通常
是前一種安全措施;硬件/軟件解決方案則不僅正逐步成為數字身份認證的手段�����,
同時它也可以被可信第三方用來完成用戶數字身份(ID)的相關確認。
隨著Internet開拓性的發展,病毒可能為網絡帶來災難性后果。Internet帶
來了兩種不同的安全威脅��。一種威脅是來自文件下載�����。這些被瀏覽的或是通過
FTP下載的文件中可能存在病毒����。而共享軟件(publicshareware)和各種可執行
的文件���,如格式化的介紹性文件(formattedprentation)已經成為病毒傳播的重
要途徑.并且,Internet上還出現了Java和ActiveX形式的惡意小程序.
另一種主要威脅來自于電子郵件.大多數的Internet郵件系統提供了在網絡
間傳送附帶格式化文檔郵件的功能.只要簡單地敲敲鍵盤,郵件就可以發給一個或
一組收信人�����。因此,受病毒感染的文檔或文件就可能通過網關和郵件服務器涌入
另一種網絡化趨勢也加重了病毒的威脅.這種趨勢是向群件應用程序發展的���,
如LotusNotes,MicrosoftExchange,NovellGroupwi和NetscapeColabra.由于
群件的核心是在網絡內共享文檔��,那么這就為病毒的發展提供了豐富的基礎�。而
群件不僅僅是共享文檔的儲藏室,它還提供合作功能,能夠在相關工作組之間同
步傳輸文檔����。這就大大提高了病毒傳播的機會.因此群件系統的安全保護顯得格
在企業中,重要的數據往往保存在位于整個網絡中心結點的文件服務器上,
這也是病毒攻擊的首要目標.為保護這些數據����,網絡管理員必須在網絡的多個層
?集成性:所有的保護措施必須在邏輯上是統一的和相互配合的��。
?單點管理:作為一個集成的解決方案,最基本的一條是必須有一個安全管
?自動化:系統需要有能自動更新病毒特征碼數據庫和其它相關信息的功能.
?多層分布:這個解決方案應該是多層次的����,適當的防毒部件在適當的位置
分發出去�����,最大限度地發揮作用,而又不會影響網絡負擔���。一般情況下,
防毒軟件至少應該安裝在服務器工作站和郵件系統上���。
計算機網絡是一個分層次的拓撲結構,因此網絡的安全防護也需采用分層
次的拓撲防護措施�。即一個完整的網絡信息安全解決方案應該覆蓋網絡的各個層
次,并且與安全管理相結合。以該思想為出發點,提出如下的"網絡信息安全解決
根據客戶網絡規模大、用戶眾多的特點�,對Intranet信息安全實施分級管理
的解決方案�,將對它的控制點分為三級實施安全管理.
第一級:數據中心級網絡�����,主要實現內外網隔離��;內外網用戶的訪問控制;
內部網的監控�����;內部網傳輸數據的備份與稽查��。
第二級:部門級,主要實現不同用戶分配的虛擬網絡間的訪問控制�;同用戶
虛擬網絡不同地點間的訪問控制����;以及用戶虛擬網絡內部的安全審計。
第三級:終端/個人用戶級,實現用戶內部主機的訪問控制�;數據庫及終端信
對任何網絡,絕對安全難以達到,也不一定是必要的��。對一個網絡進行實際額
研究(包括任務����、性能、結構��、可靠性��、可維護性等),并對網絡面臨的威脅及
可能承擔的風險進行定性與定量相結合的分析����,然后制定規范和措施,確定本系
應用系統工程的觀點�、方法,分析網絡的安全及具體措施.安全措施主要包括:
行政法律手段、各種管理制度(人員審查��、工作流程����、維護保障制度等)以及專
業措施(識別技術、存取控制�����、密碼�����、低輻射����、容錯��、防病毒��、采用高安全產品
等)。一個較好的安全措施往往是多種方法適當綜合的應用結果��。一個計算機網
絡�,包括個人、設備����、軟件、數據等。這些環節在網絡中的地位和影響作用���,也
只有從系統綜合整體的角度去看待、分析,才能取得有效�、可行的措施.即計算
機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全
安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低
了安全性�,如密鑰管理就有類似的問題�����。其次,措施的采用不能影響系統的正常
運行�����,如不采用或少采用極大地降低運行速度的密碼算法��。
由于網絡系統及其應用擴展范圍廣闊�,隨著網絡規模的擴大及應用的增加���,
網絡脆弱性也會不斷增加���。一勞永逸地解決網絡安全問題是不現實的��。同時由于
實施信息安全措施需相當的費用支出�。因此分步實施,即可滿足網絡系統及信息
由于網絡安全的目的是保障用戶的重要信息的安全���,因此限制直接接觸十
分重要。如果用戶的網絡連入Internet,那么最好盡可能地把與Internet連接的機
器與網絡的其余部分隔離開來.實現這個目標的最安全的方法是將Internet服務
器與網絡劃分不同的領域,建立不同的安全策略。如此一來,如果有人闖入隔離開
安全區域的規劃核心點是訪問控制,訪問控制是網絡安全防范和保護的主
要策略���,它的主要任務是保證網絡資源不被非法使用和非常訪問�。它也是維護網
絡系統安全、保護網絡資源的重要手段���。各種安全策略必須相互配合才能真正起
到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一��。
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施���。用戶和
用戶組被賦予一定的權限.網絡控制用戶和用戶組可以訪問哪些目錄�����、子目錄�、
文件和其他資源����。可以指定用戶對這些文件����、目錄�、設備能夠執行哪些操作�����。用
戶對網絡資源的訪問權限可以用一個訪問控制表來描述.
防火墻是最主流也是最重要的安全產品��,是邊界安全解決方案的核心。它
可以對整個網絡進行區域分割�,提供基于IP地址和TCP/IP服務端口等的訪問
控制;對常見的網絡攻擊,如拒絕服務攻擊���、端口掃描�、IP欺騙���、IP盜用等進行
有效防護;并提供NAT地址轉換���、流量限制���、用戶認證����、IP與MAC綁定���、智
ARP欺騙:在同一個IP子網內,數據包根據目標機器的MAC地址進行尋
址,而目標機器的MAC地址是通過ARP協議由目標機器的IP地址獲得的���。每
臺主機(包括網關)都有一個ARP緩存表,在正常情況下這個緩存表能夠有效維護
IP地址對MAC地址的一對一對應關系.但是在ARP緩存表的實現機制和ARP
請求應答的機制中存在一些不完善的地方,容易造成ARP欺騙的情況發生。
對于ARP欺騙攻擊來說,單獨針對任何一臺設備做防護配置都是微薄的���,解決
ARP欺騙需要對整體網絡的進行有效的規劃,在每一臺網絡設備,每一臺終端設
把網絡劃分多個網段��,ARP詢問不會超出你的VLAN,超出VLAN的IP和
MAC地址表由網關來控制.這樣危急的范圍會變小�����,易于故障處理
在每一臺網絡設備/終端設備上做IP和MAC靜態綁定�,在網內把主機和網
關都做IP和MAC綁定�����。欺騙是通過ARP的動態實時的規則欺騙內網機器���,所
以我們把ARP全部設置為靜態可以解決對內網PC的欺騙,同時在網關也要進行
通過對防火墻進行設置也是防御ARP攻擊的好方法�,通過防火墻的ARP
嚴格限制可以使網關��、服務器等重要的設備地址不被冒用,能夠有效地解決針對
在接入層/匯聚層的交換機等設備上啟動ARP防護也是行之有效的辦法�,包
括使用DHCP認證����、ARP—Guard等安全功能,能夠限制ARP包在網絡間傳輸,
有效過濾虛假ARP信息,保持網絡的真實性����。
基于VPN隧道的加密數據傳輸能夠提供安全可靠的網絡互聯,在無法保證
電路安全�����、信道安全、網絡安全、應用安全的情況下,或者也不相信其他安全措
施的情況下,一種行之有效的辦法就是加密�,而加密就是必須考慮加密算法和密
碼的問題��。考慮到我國對密碼管理的體制情況,密碼是一個單獨的領域�����。對防火
墻而言����,是否防火墻支持對其他密碼體制的支持,支持提供API來調用第三方
對于VPN業務�,企業比較關心的一個問題能是傳輸的安全性�。在這個問題
上,BMC的企業級防火墻能夠提供全面的安全性保證。企業級防火墻可以應用
戶的要求,在VPN用戶撥入時對他的身份進行驗證���,然后才建立隧道,將用戶交由
VPN服務器進行再次驗證。其次,企業級防火墻對用戶數據包進行完整轉發,
并不讀取數據包的內容�����。因此�,用戶可以對它的數據進行加密�,而不會影響防火
墻本身的工作,而且此時即使是防火墻本身也無法讀取用戶數據。最后,企業級防
火墻支持自身到VPN服務器間隧道的數據加密�����。這樣�,即使撥入用戶不對其數
據加密,Internet上的其他用戶也無法讀取VPN用戶的私有數據.
通過在6509—E交換機上安裝防火墻模塊實現防火墻的集成。根據“橫向
隔離��、縱向加密”的理念�,對酒店網絡實行安全區域劃分,包括實驗室���、培訓教
室、辦公室等接入層網絡定義為同級別、同安全等級的單獨區域�、即為橫向�,要
匯聚層網絡對于接入層網絡則處于更高的級別,更高的安全等級,即為縱向�����,
要求數據流在匯聚層轉發時具有可控��、可加密等特性�����;同時,匯聚層設備的管理
要求盡量使用本地管理��、SSL/SSH安全管理或SNMP加密方式管理����,對telnet
核心層設備以數據轉發效率為主要工作,不進行特別的安全防護措施,對于
安全管理同樣要求盡量使用本地管理、SSL/SSH安全管理或SNMP加密方式管
理�����,對telnet等不安全的管理方式,拒絕使用;
另外����,接入層設備開啟ARP防護能力����,以及DHCP驗證能力;匯聚層延長
