網絡安(ān)全
網絡系統安(ān)全綜合解決方案
局域網安(ān)全解決方案
由于局域網中(zhōng)采用(yòng)廣播方式,因此,若在某個廣播域中(zhōng)可(kě)以偵聽到所有(yǒu)的信息包,黑客就可(kě)以對信息包進行分(fēn)析,那麽本廣播域的信息傳遞都會暴露在黑客面前。
網絡分(fēn)段
網絡分(fēn)段是保證安(ān)全的一項重措施,同時也是一項基本措施,其指導思想在于将非法用(yòng)戶與網絡資源相互隔離,從而達到限制用(yòng)戶非法訪問的目的。
網絡分(fēn)段可(kě)分(fēn)為(wèi)物(wù)理(lǐ)分(fēn)段和邏輯分(fēn)段兩種方式:物(wù)理(lǐ)分(fēn)段通常是指将網絡從物(wù)理(lǐ)層和數據鏈路層(ISO/OSI模型中(zhōng)的第一層和第二層)上分(fēn)為(wèi)若幹網段,各網段相互之間無法進行直接通訊。目前,許多(duō)交換機都有(yǒu)一定的訪問控制能(néng)力,可(kě)實現對網絡的物(wù)理(lǐ)分(fēn)段。
邏輯分(fēn)段則是指将整個系統在網絡層(ISO/OSI模型中(zhōng)的第三層)上進行分(fēn)段。例如,對于TCP/IP網絡,可(kě)把網絡分(fēn)成若幹IP子網,各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接,利用(yòng)這些中(zhōng)間設備(含軟件、硬件)的安(ān)全機制來控制各子網間的訪問。
在實際應用(yòng)過程中(zhōng),通常采取物(wù)理(lǐ)分(fēn)段與邏輯分(fēn)段相結合的方法來實現對網絡系統的安(ān)全性控制。
VLAN的實現
虛拟網技(jì )術主要基于近年發展的局域網交換技(jì )術(ATM和以太網交換)。交換技(jì )術将傳統的基于廣播的局域網技(jì )術發展為(wèi)面向連接的技(jì )術。因此,網管系統有(yǒu)能(néng)力限制局域網通訊的範圍而無需通過開銷很(hěn)大的路由器。以太網從本質(zhì)上基于廣播機制,但應用(yòng)了交換機和VLAN技(jì )術後,實際上轉變為(wèi)點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
由以上運行機制帶來的網絡安(ān)全的好處是顯而易見的:信息隻到達應該到達的地點。因此,防止了大部分(fēn)基于網絡監聽的入侵手段。通過虛拟網設置的訪問控制,使在虛拟網外的網絡節點不能(néng)直接訪問虛拟網内節點。但是,虛拟網技(jì )術也帶來了新(xīn)的問題:執行虛拟網交換的設備越來越複雜,從而成為(wèi)被攻擊的對象。基于網絡廣播原理(lǐ)的入侵監控技(jì )術在高速交換網絡内需要特殊的設置。基于MAC的VLAN不能(néng)防止MAC欺騙攻擊。采用(yòng)基于MAC的VLAN劃分(fēn)将面臨假冒MAC地址的攻擊。因此,VLAN的劃分(fēn)最好基于交換機端口。但這要求整個網絡桌面使用(yòng)交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。
VLAN之間的劃分(fēn)原則
VLAN的劃分(fēn)方式的目的是保證系統的安(ān)全性。因此,可(kě)以按照系統的安(ān)全性來劃分(fēn)VLAN:可(kě)以将總部中(zhōng)的服務(wù)器系統單獨劃作(zuò)一個VLAN,如數據庫服務(wù)器、電(diàn)子郵件服務(wù)器等。也可(kě)以按照機構的設置來劃分(fēn)VLAN,如将領導所在的網絡單獨作(zuò)為(wèi)一個Leader VLAN(LVLAN),其它司局(或下級機構)分(fēn)别作(zuò)為(wèi)一個VLAN,并且控制LVLAN與其它VLAN之間的單向信息流向,即允許LVLAN查看其他(tā)VLAN的相關信息,其他(tā)VLAN不能(néng)訪問LVLAN的信息。VLAN之内的連接采用(yòng)交換技(jì )術實現,VLAN與VLAN之間采用(yòng)路由實現。由于路由控制的能(néng)力有(yǒu)限,不能(néng)實現LVLAN與其他(tā)VLAN之間的單向信息流動,需要在LVLAN與其他(tā)VLAN之間設置一個NetScreen防火牆作(zuò)為(wèi)安(ān)全隔離設備,控制VLAN與VLAN之間的信息交換。
廣域網安(ān)全解決方案
由于廣域網采用(yòng)公(gōng)網傳輸數據,因而在廣域網上進行傳輸時信息也可(kě)能(néng)會被不法分(fēn)子截取。如分(fēn)支機構從異地發一個信息到總部時,這個信息包就可(kě)能(néng)被人截取和利用(yòng)。因此在廣域網上發送和接收信息時要保證:
除了發送方和接收方外,其他(tā)人是不可(kě)知悉的(隐私性);
傳送過程中(zhōng)不被篡改(真實性);
發送方能(néng)确信接收方不是假冒的(非僞裝(zhuāng)性);
發送方不能(néng)否認自己的發送行為(wèi)(非否認)。
如果沒有(yǒu)專門的軟件對數據進行控制,所有(yǒu)的廣域網通信都将不受限制地進行傳輸,因此任何一個對通信進行監測的人都可(kě)以對通信數據進行截取。這種形式的"攻擊"是相對比較容易成功的,隻要使用(yòng)現在可(kě)以很(hěn)容易得到的"包檢測"軟件即可(kě)。如果從一個聯網的UNIX工(gōng)作(zuò)站上使用(yòng)"跟蹤路由"命令的話,就可(kě)以看見數據從客戶機傳送到服務(wù)器要經過多(duō)少種不同的節點和系統,所有(yǒu)這些都被認為(wèi)是最容易受到黑客攻擊的目标。一般地,一個監聽攻擊隻需通過在傳輸數據的末尾獲取IP包的信息即可(kě)以完成。這種辦(bàn)法并不需要特别的物(wù)理(lǐ)訪問。如果對網絡用(yòng)線(xiàn)具(jù)有(yǒu)直接的物(wù)理(lǐ)訪問的話,還可(kě)以使用(yòng)網絡診斷軟件來進行竊聽。對付這類攻擊的辦(bàn)法就是對傳輸的信息進行加密,或者是至少要對包含敏感數據的部分(fēn)信息進行加密。
加密技(jì )術
加密型網絡安(ān)全技(jì )術的基本思想是不依賴于網絡中(zhōng)數據路徑的安(ān)全性來實現網絡系統的安(ān)全,而是通過對網絡數據的加密來保障網絡的安(ān)全可(kě)靠性,因而這一類安(ān)全保障技(jì )術的基石是使用(yòng)放大數據加密技(jì )術及其在分(fēn)布式系統中(zhōng)的應用(yòng)。
數據加密技(jì )術可(kě)以分(fēn)為(wèi)三類,即對稱型加密、不對稱型加密和不可(kě)逆加密。 對稱型加密使用(yòng)單個密鑰對數據進行加密或解密,其特點是計算量小(xiǎo)、加密效率高。但是此類算法在分(fēn)布式系統上使用(yòng)較為(wèi)困難,主要是密鑰管理(lǐ)困難,從而使用(yòng)成本較高,保安(ān)性能(néng)也不易保證。這類算法的代表是在計算機專網系統中(zhōng)廣泛使用(yòng)的DES算法(Digital Encryption Standard)。
不對稱型加密算法也稱公(gōng)用(yòng)密鑰算法,其特點是有(yǒu)二個密鑰(即公(gōng)用(yòng)密鑰和私有(yǒu)密鑰),隻有(yǒu)二者搭配使用(yòng)才能(néng)完成加密和解密的全過程。由于不對稱算法擁有(yǒu)二個密鑰,它特别适用(yòng)于分(fēn)布式系統中(zhōng)的數據加密,在Internet中(zhōng)得到廣泛應用(yòng)。其中(zhōng)公(gōng)用(yòng)密鑰在網上公(gōng)布,為(wèi)數據對數據加密使用(yòng),而用(yòng)于解密的相應私有(yǒu)密鑰則由數據的接收方妥善保管。
不對稱加密的另一用(yòng)法稱為(wèi)"數字簽名(míng)"(digital signature),即數據源使用(yòng)其私有(yǒu)密鑰對數據的求校驗和(checksum)或其它與數據内容有(yǒu)關的變量進行加密,而數據接收方則用(yòng)相應的公(gōng)用(yòng)密鑰解讀"數字簽名(míng)",并将解讀結果用(yòng)于對數據完整性的檢驗。在網絡系統中(zhōng)得到應用(yòng)的不對稱加密算法有(yǒu)RSA算法和美國(guó)國(guó)家标準局提出的DSA算法(Digital Signature Algorithm)。不對稱加密法在分(fēn)布式系統中(zhōng)應用(yòng)需注意的問題是如何管理(lǐ)和确認公(gōng)用(yòng)密鑰的合法性。
不可(kě)逆加密算法的特征是加密過程不需要密鑰,并且經過加密 的數據無法被解密,隻有(yǒu)同樣的輸入數據經過同樣的不可(kě)逆加密算法才能(néng)得到相同的加密數據。不可(kě)逆加密算法不存在密鑰保管和分(fēn)發問題,适合于分(fēn)布式網絡系統上使用(yòng),但是其加密計算工(gōng)作(zuò)量相當可(kě)觀,所以通常用(yòng)于數據量有(yǒu)限的情形下的加密,例如計算機系統中(zhōng)的口令就是利用(yòng)不可(kě)逆算法加密的。近來随着計算機系統性能(néng)的不斷改善,不可(kě)逆加密的應用(yòng)逐漸增加。在計算機網絡中(zhōng)應用(yòng)較多(duō)的有(yǒu)RSA公(gōng)司發明的MD5算法和由美國(guó)國(guó)家标準局建議的可(kě)靠不可(kě)逆加密标準(SHS-Secure Hash Standard)。
加密技(jì )術用(yòng)于網絡安(ān)全通常有(yǒu)二種形式,即面向網絡或面向應用(yòng)服務(wù)。前者通常工(gōng)作(zuò)在網絡層或傳輸層,使用(yòng)經過加密的數據包傳送、認證網絡路由及其他(tā)網絡協議所需的信息,從而保證網絡的連通性和可(kě)用(yòng)性不受損害。在網絡層上實現的加密技(jì )術對于網絡應用(yòng)層的用(yòng)戶通常是透明的。此外,通過适當的密鑰管理(lǐ)機制,使用(yòng)這一方法還可(kě)以在公(gōng)用(yòng)的互聯網絡上建立虛拟專用(yòng)網絡并保障虛拟專用(yòng)網上信息的安(ān)全性。SKIP協議即是近來IETF在這方面的努力之一。面向網絡應用(yòng)服務(wù)的加密技(jì )術使用(yòng)則是目前較為(wèi)流行的加密技(jì )術的使用(yòng)方法,例如使用(yòng)Kerberos服務(wù)的telnet、NFS、rlogion等,以及用(yòng)作(zuò)電(diàn)子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這一類加密技(jì )術的優點在于實現相對較為(wèi)簡單,不需要對電(diàn)子信息(數據包)所經過的網絡的安(ān)全性能(néng)提出特殊要求,對電(diàn)子郵件數據實現了端到端的安(ān)全保障。
數字簽名(míng)和認證技(jì )術
認證技(jì )術主要解決網絡通訊過程中(zhōng)通訊雙方的身份認可(kě),數字簽名(míng)作(zuò)為(wèi)身份認證技(jì )術中(zhōng)的一種具(jù)體(tǐ)技(jì )術,同時數字簽名(míng)還可(kě)用(yòng)于通信過程中(zhōng)的不可(kě)抵賴要求的實現。
認證過程通常涉及到加密和密鑰交換。通常,加密可(kě)使用(yòng)對稱加密、不對稱加密及兩種加密方法的混合。
User Name/Password認證
該種認證方式是最常用(yòng)的一種認證方式,用(yòng)于操作(zuò)系統登錄、telnet、rlogin等,但此種認證方式過程不加密,即password容易被監聽和解密。
使用(yòng)摘要算法的認證
Radius(撥号認證協議)、OSPF(路由協議)、SNMP Security Protocol等均使用(yòng)共享的Security Key,加上摘要算法(MD5)進行認證,由于摘要算法是一個不可(kě)逆的過程,因此,在認證過程中(zhōng),由摘要信息不能(néng)技(jì )術出共享的security key,敏感信息不在網絡上傳輸。市場上主要采用(yòng)的摘要算法有(yǒu)MD5和SHA-1。
基于PKI的認證
使用(yòng)公(gōng)開密鑰體(tǐ)系進行認證和加密。該種方法安(ān)全程度較高,綜合采用(yòng)了摘要算法、不對稱加密、對稱加密、數字簽名(míng)等技(jì )術,很(hěn)好地将安(ān)全性和高效性結合起來。這種認證方法目前應用(yòng)在電(diàn)子郵件、應用(yòng)服務(wù)器訪問、客戶認證、防火牆認證等領域。
該種認證方法安(ān)全程度很(hěn)高,但是涉及到比較繁重的證書管理(lǐ)任務(wù)。
數字簽名(míng)
數字簽名(míng)作(zuò)為(wèi)驗證發送者身份和消息完整性的根據。公(gōng)共密鑰系統(如RSA)基于私有(yǒu)/公(gōng)共密鑰對,作(zuò)為(wèi)驗證發送者身份和消息完整性的根據,CA使用(yòng)私有(yǒu)密鑰技(jì )術其數字簽名(míng),利用(yòng)CA提供的公(gōng)共密鑰,任何人均可(kě)驗證簽名(míng)的真實性。僞造數字簽名(míng)從計算機能(néng)力上不可(kě)行的。并且,如果消息随數字簽名(míng)一同發送,對消息的任何修改在驗證數字簽名(míng)時都将會被發現。
通訊雙方通過Diffie-Hellman密鑰系統安(ān)全地獲取共享的保密密鑰,并使用(yòng)該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
基于此種加密模式,需要管理(lǐ)的密鑰數目與通訊者的數量為(wèi)線(xiàn)性關系。而其它的加密模式需要管理(lǐ)的密鑰數目與通訊者數目的平方成正比。
VPN技(jì )術
網絡系統總部和各分(fēn)支機構之間采用(yòng)公(gōng)網網絡進行連接,其最大的弱點在于缺乏足夠的安(ān)全性。企業網絡接入到公(gōng)網中(zhōng),暴露出兩個主要危險:
來自公(gōng)網的未經授權的對企業内部網的存取。
當網絡系統通過公(gōng)網進行通訊時,信息可(kě)能(néng)受到竊聽和非法修改。 完整的集成化的企業範圍的VPN安(ān)全解決方案,提供在公(gōng)網上安(ān)全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
VPN技(jì )術的原理(lǐ):
VPN系統使分(fēn)布在不同地方的專用(yòng)網絡在不可(kě)信任的公(gōng)共網絡上安(ān)全的通信。它采用(yòng)複雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。其處理(lǐ)過程大體(tǐ)是這樣:
要保護的主機發送明文(wén)信息到連接公(gōng)共網絡的VPN設備;
VPN設備根據網管設置的規則,确定是否需要對數據進行加密或讓數據直接通過。
對需要加密的數據,VPN設備對整個數據包進行加密和附上數字簽名(míng)。
VPN設備加上新(xīn)的數據報頭,其中(zhōng)包括目的地VPN設備需要的安(ān)全信息和一些初始化參數。
VPN 設備對加密後的數據、鑒别包以及源IP地址、目标VPN設備IP地址進行重新(xīn)封裝(zhuāng),重新(xīn)封裝(zhuāng)後的數據包通過虛拟通道在公(gōng)網上傳輸。
當數據包到達目标VPN設備時,數據包被解封裝(zhuāng),數字簽名(míng)被核對無誤後,數據包被解密。
IPSec
IPSec作(zuò)為(wèi)在IPv4及IPv6上的加密通訊框架,已為(wèi)大多(duō)數廠商(shāng)所支持。
IPSec主要提供IP網絡層上的加密通訊能(néng)力。該标準為(wèi)每個IP包增加了新(xīn)的包頭格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用(yòng)ISAKMP/Oakley及SKIP進行密鑰交換、管理(lǐ)及加密通訊協商(shāng)(Security Association)。
IPSec包含兩個部分(fēn):
IP security Protocol proper,定義IPSec報頭格式。
ISAKMP/Oakley,負責加密通訊協商(shāng)。
IPSec提供了兩種加密通訊手段:
IPSec Tunnel:整個IP封裝(zhuāng)在Ipsec-gateway之間的通訊。
Ipsec transport:對IP包内的數據進行加密,使用(yòng)原來的源地址和目的地址。
IPsec Tunnel 不要求修改已配備好的設備和應用(yòng),網絡黑客不能(néng)看到實際的通訊源地址和目的地址,并且能(néng)夠提供專用(yòng)網絡通過Internet加密傳輸的通道,因此,絕大多(duō)數廠商(shāng)均使用(yòng)該模式。
ISAKMP/Oakley使用(yòng)X.509數字證書,因此,使VPN能(néng)夠容易地擴大到企業級。(易于管理(lǐ))。
在為(wèi)遠(yuǎn)程撥号服務(wù)的Client端,也能(néng)夠實現IPsec的客戶端,為(wèi)撥号用(yòng)戶提供加密網絡通訊。由于IPsec即将成為(wèi)Internet标準,因此不同廠家提供的防火牆(VPN)産(chǎn)品可(kě)以實現互通。
如何保證遠(yuǎn)程訪問的安(ān)全性
對于從外部撥号訪問總部内部局域網的用(yòng)戶,由于使用(yòng)公(gōng)用(yòng)電(diàn)話網進行數據傳輸所帶來的風險,必須嚴格控制其安(ān)全性。首先,應嚴格限制撥号上網用(yòng)戶所訪問的系統信息和資源,這一功能(néng)可(kě)通過在撥号訪問服務(wù)器後設置NetScreen防火牆來實現。其次,應加強對撥号用(yòng)戶的身份認證,使用(yòng)RADIUS等專用(yòng)身份驗證服務(wù)器。一方面,可(kě)以實現對撥号用(yòng)戶帳号的統一管理(lǐ);另一方面,在身份驗證過程中(zhōng)采用(yòng)加密的手段,避免用(yòng)戶口令洩露的可(kě)能(néng)性。第三,在數據傳輸過程中(zhōng)采用(yòng)加密技(jì )術,防止數據被非法竊取。一種方法是使用(yòng)PGP for Business Security,對數據加密。另一種方法是采用(yòng)NetScreen防火牆所提供的VPN(虛拟專網)技(jì )術。VPN在提供網間數據加密的同時,也提供了針對單機用(yòng)戶的加密客戶端軟件,即采用(yòng)軟件加密的技(jì )術來保證數據傳輸的安(ān)全性。
最新(xīn)客戶案例
聯系方式
客戶服務(wù)熱線(xiàn): 13701352827、
13621320526、18211173256
公(gōng)司聯系總機: 010-82894836
專線(xiàn)聯系電(diàn)話: 010-82894836
服務(wù)信箱:service@hyhtnet.com
-
咨詢電(diàn)話
總機電(diàn)話:010-82894836
專線(xiàn)電(diàn)話: 010-82894836
客戶服務(wù)熱線(xiàn): 18211173256、13621320526、13701352827
- 在線(xiàn)詢價 400--033-4456
-
分(fēn)司電(diàn)話
皖北公(gōng)司電(diàn)話:
0557-2812777 0557-3901161
福建公(gōng)司電(diàn)話:
0592-6029566 15960818198 15960818198(葛總)
煙台公(gōng)司電(diàn)話:
(0535)6020339
山(shān)西辦(bàn)事處電(diàn)話:
13911460188
- 留言咨詢
- 返回頂部
關注宏遠(yuǎn)官方微信
頁(yè)面版權所有(yǒu)@2020 北京宏遠(yuǎn)彙通網絡科(kē)技(jì )有(yǒu)限公(gōng)司 京ICP證000000号 網站建設:中(zhōng)企動力 北京