close
硬碟資料救援,RAID快速急救
網址:www.fubjj.com
揭密企業網路安全重點
1.網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施
。其目的就是將非法使用者與敏感的網路資源相互隔離,從而防止可能的非法偵聽,網路分段可分為物理分
段和邏輯分段兩種方式。
目前,一般的局域網大多採用以交換機為中心、路由器為邊界的網路格局,應重點挖掘中心交換機的
存取控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例
如:普遍使用的DEC
MultiSwitch
900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上
述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入
往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用
户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast
Packet)还是会被同一台集线器上
的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能
,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听
。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast
Packet)和多播包(Multicast
Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变
为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机[wiki]端口[/wiki]的VLAN、基于节点MAC地址的VLAN和基于应用协议的
VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址
的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上
非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任
何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划
分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(
包括普遍采用的DEC
MultiSwitch
900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,
必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器
来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效
,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这
样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPort
Analyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上
的入侵监控设备或协议分析设备。笔者在一次外部网设计中,就选用了Cisco公司的具备SPAN功能的
Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪"英雄有用武之地"。
广域网安全
可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1.加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通
过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加
密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可
观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年
来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国
家标准局的SHS。在一些系统中广泛使用的CISCO路由器,有两种口令加密方式:Enable
Secret和Enable
Password。其中,Enable
Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字
典攻击法)。而Enable
Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运
算),目前至少已有两种破解软件。因此,最好不用Enable
Password。
2.VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进
行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业
通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可
管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技
术一经推出,便红遍全球。
但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得
不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎
重选择VPN服务提供商和VPN设备。
3.身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加
严格控制其a安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登
录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在上文中提到
过的那次外部网设计中,就选用了Cisco公司的CiscoSecure
ACS
V2.3软件进行RADIUS身份认证。
外部网安全
笔者所说的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网
,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组
网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以
及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。
对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行
、利用网络传播病毒、线路窃听等。
外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设
计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。NAI公司最新版本的三
宿主自适应动态防火墙GauntletActive
Firewall。该防火墙产品集成了Gauntlet
Firewall、CyberCop
Scanner、CyberCop
Monitor、WebShield
for
Firewall等套件,将防火墙技术、入侵检测技术与网络防
病毒技术融为一体,紧密结合,相得益彰,性价比比较高。基隆市,台北市,台北縣,桃園縣,新竹縣,新竹市,苗栗縣,台中縣,台中市,彰化縣,南投縣,雲林縣,嘉義縣,嘉義市,台南縣,台南市,高雄縣,高雄市,屏東縣,澎湖,金門,馬祖,中國大陸,From InToHard
網址:www.fubjj.com
揭密企業網路安全重點
1.網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施
。其目的就是將非法使用者與敏感的網路資源相互隔離,從而防止可能的非法偵聽,網路分段可分為物理分
段和邏輯分段兩種方式。
目前,一般的局域網大多採用以交換機為中心、路由器為邊界的網路格局,應重點挖掘中心交換機的
存取控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例
如:普遍使用的DEC
MultiSwitch
900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上
述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入
往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用
户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast
Packet)还是会被同一台集线器上
的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能
,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听
。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast
Packet)和多播包(Multicast
Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变
为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机[wiki]端口[/wiki]的VLAN、基于节点MAC地址的VLAN和基于应用协议的
VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址
的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上
非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任
何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划
分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(
包括普遍采用的DEC
MultiSwitch
900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,
必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器
来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效
,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这
样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPort
Analyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上
的入侵监控设备或协议分析设备。笔者在一次外部网设计中,就选用了Cisco公司的具备SPAN功能的
Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪"英雄有用武之地"。
广域网安全
可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1.加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通
过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加
密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可
观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年
来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国
家标准局的SHS。在一些系统中广泛使用的CISCO路由器,有两种口令加密方式:Enable
Secret和Enable
Password。其中,Enable
Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字
典攻击法)。而Enable
Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运
算),目前至少已有两种破解软件。因此,最好不用Enable
Password。
2.VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进
行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业
通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可
管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技
术一经推出,便红遍全球。
但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得
不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎
重选择VPN服务提供商和VPN设备。
3.身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加
严格控制其a安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登
录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在上文中提到
过的那次外部网设计中,就选用了Cisco公司的CiscoSecure
ACS
V2.3软件进行RADIUS身份认证。
外部网安全
笔者所说的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网
,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组
网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以
及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。
对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行
、利用网络传播病毒、线路窃听等。
外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设
计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。NAI公司最新版本的三
宿主自适应动态防火墙GauntletActive
Firewall。该防火墙产品集成了Gauntlet
Firewall、CyberCop
Scanner、CyberCop
Monitor、WebShield
for
Firewall等套件,将防火墙技术、入侵检测技术与网络防
病毒技术融为一体,紧密结合,相得益彰,性价比比较高。基隆市,台北市,台北縣,桃園縣,新竹縣,新竹市,苗栗縣,台中縣,台中市,彰化縣,南投縣,雲林縣,嘉義縣,嘉義市,台南縣,台南市,高雄縣,高雄市,屏東縣,澎湖,金門,馬祖,中國大陸,From InToHard
全站熱搜
留言列表