网络安全最佳解决方案（网络安全整体解决方案）

网络安全整体解决方案

第一部分 网络安全概述

第一章 网络安全体系的基本认识

自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元。

（一）安全威胁

由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面：

(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。

(2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。

(3) 来自内部网用户的安全威胁。

(4) 缺乏有效的手段监视、评估网络系统的安全性。

(5) 采用的TCP/IP协议族软件，本身缺乏安全性。

(6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。

图2-1 入侵检测系统的基本模型

上述模型由四个部分组成：

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

(3) countermeasure执行规定的动作。

(4) Storage保存分析结果及相关数据。

基于主机的安全监控系统具备如下特点：

(1) 精确，可以精确地判断入侵事件。

(2) 高级，可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不同操作系统特点。

(5) 占用主机宝贵资源。

基于网络的安全监控系统具备如下特点：

(1) 能够监视经过本网段的任何活动。

(2) 实时网络监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换网络环境难于配置。

基于主机及网络的入侵监控系统通常均可配置为分布式模式：

(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

选择入侵监视系统的要点是：

(1) 协议分析及检测能力。

(2) 解码效率(速度)。

(3) 自身安全的完备性。

(4) 精确度及完整度，防欺骗能力。

(5) 模式更新速度。

五. 安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

安全扫描工具通常也分为基于服务器和基于网络的扫描器。

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：

(1) 速度。在网络内进行安全扫描非常耗时。

(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

(3) 能够发现的漏洞数量。

(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。

(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。

(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证技术将应用到企业网络中的以下方面：

(1) 路由器认证，路由器和交换机之间的认证。

(2) 操作系统认证。操作系统对用户的认证。

(3) 网管系统对网管设备之间的认证。

(4) VPN网关设备之间的认证。

(5) 拨号访问服务器与客户间的认证。

(6) 应用服务器(如Web Server)与客户的认证。

(7) 电子邮件通讯双方的认证。

数字签名技术主要用于：

(1) 基于PKI认证体系的认证过程。

(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。

UserName/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证

Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

七. VPN技术

1、 企业对VPN 技术的需求

企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。

因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：

来自internet的未经授权的对企业内部网的存取。

当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。

完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。

企业网络的全面安全要求保证：

保密-通讯过程不被窃听。

通讯主体真实性确认-网络上的计算机不被假冒。

2、数字签名

数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。

并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。

通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。

表1 加密模式使用的密钥技术

基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。

3、IPsec

IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。

IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。

Ipsec包含两个部分：

(1) IP security Protocol proper，定义Ipsec报文格式。

(2) ISAKMP/Oakley，负责加密通讯协商。

Ipsec提供了两种加密通讯手段：

Ipsec Tunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。

Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。

Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。

ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。

在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。

由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。

八. 应用系统的安全技术

由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。

1、域名服务

Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。

但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。

同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。

因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有：

(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。

(2) 域名服务器及域名查找应用安装相应的安全补丁。

(3) 对付Denial-of-Service攻击，应设计备份域名服务器。

2、Web Server应用安全

Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。

Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。

但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：

(1) Web服务器置于防火墙保护之下。

(2) 在Web服务器上安装实时安全监控软件。

(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。

(4) 经常审查Web服务器配置情况及运行日志。

(5) 运行新的应用前，先进行安全测试。如新的CGI应用。

(6) 认证过程采用加密通讯或使用X.509证书模式。

(7) 小心设置Web服务器的访问控制表。

3、 电子邮件系统安全

电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。

加强电子邮件系统的安全性，通常有如下办法：

(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。

(2) 同样为该服务器安装实施监控系统。

(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。

(4) 升级到最新的安全版本。

4、 操作系统安全

市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：

(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。

(2) 基于系统的安全监控系统。

,