摘要 隨著INTERNET在中國的進(jìn)一步發(fā)展,上網(wǎng)對(duì)于許多人已經(jīng)成為生活中必不可少的一部分,新老網(wǎng)民們通過網(wǎng)絡(luò)來查找資料、交流信息。對(duì)于企業(yè)而言,網(wǎng)絡(luò)更是占有舉足輕重的地位,電子商務(wù)已經(jīng)有逐步取代傳統(tǒng)企業(yè)經(jīng)營方式的趨勢。但網(wǎng)絡(luò)在給我們極大便利的同時(shí),也給我們另外一個(gè)棘手問題,就是“黑客”。
由于INTERNET的本身設(shè)計(jì)缺陷及其開放性,使其極易受到黑客的攻擊。根據(jù)美國有關(guān)安全部門統(tǒng)計(jì),因特網(wǎng)上98%的計(jì)算機(jī)受到過黑客的攻擊分析,50%的機(jī)器被黑客成功入侵,而被入侵機(jī)器有20%的管理員尚未發(fā)現(xiàn)自己被入侵。網(wǎng)絡(luò)的安全性已成為阻礙因特網(wǎng)在全球發(fā)展的重要因素之一。最近,大量病毒大肆橫行,給世界許多國家造成巨大的損失。所以越來越多的人認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。本文先是介紹了網(wǎng)絡(luò)信息安全的涵義和黑客的一般攻擊手段,然后通過一個(gè)具體的企業(yè)網(wǎng)實(shí)例詳盡闡述了如何合理布置網(wǎng)絡(luò)架構(gòu)來進(jìn)行有效的防護(hù)。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全 網(wǎng)絡(luò)安全架構(gòu) 黑客 NETEYE VLAN TRUNK
一.網(wǎng)絡(luò)信息安全的涵義
網(wǎng)絡(luò)信息既有存儲(chǔ)于網(wǎng)絡(luò)節(jié)點(diǎn)上信息資源,即靜態(tài)信息,又有傳播于網(wǎng)絡(luò)節(jié)點(diǎn)間的信息,即動(dòng)態(tài)信息。而這些靜態(tài)信息和動(dòng)態(tài)信息中有些是開放的,如廣告、公共信息等,有些是保密的,如:私人間的通信、政府及軍事部門、商業(yè)機(jī)密等。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及真實(shí)性(Authenticity)。網(wǎng)絡(luò)信息的機(jī)密性是指網(wǎng)絡(luò)信息的內(nèi)容不會(huì)被未授權(quán)的第三方所知。網(wǎng)絡(luò)信息的完整性是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞,不出現(xiàn)信息包的丟失、亂序等,即不能為未授權(quán)的第三方修改。信息的完整性是信息安全的基本要求,破壞信息的完整性是影響信息安全的常用手段。當(dāng)前,運(yùn)行于互聯(lián)網(wǎng)上的協(xié)議(如TCP/IP)等,能夠確保信息在數(shù)據(jù)包級(jí)別的完整性,即做到了傳輸過程中不丟信息包,不重復(fù)接收信息包,但卻無法制止未授權(quán)第三方對(duì)信息包內(nèi)部的修改。網(wǎng)絡(luò)信息的可用性包括對(duì)靜態(tài)信息的可得到和可操作性及對(duì)動(dòng)態(tài)信息內(nèi)容的可見性。網(wǎng)絡(luò)信息的真實(shí)性是指信息的可信度,主要是指對(duì)信息所有者或發(fā)送者的身份的確認(rèn)。
前不久,美國計(jì)算機(jī)安全專家又提出了一種新的安全框架,包括:機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實(shí)性(Authenticity)、實(shí)用性(Utility)、占有性(Possession), 即在原來的基礎(chǔ)上增加了實(shí)用性、占有性,認(rèn)為這樣才能解釋各種網(wǎng)絡(luò)安全問題:網(wǎng)絡(luò)信息的實(shí)用性是指信息加密密鑰不可丟失(不是泄密),丟失了密鑰的信息也就丟失了信息的實(shí)用性,成為垃圾。網(wǎng)絡(luò)信息的占有性是指存儲(chǔ)信息的節(jié)點(diǎn)、磁盤等信息載體被盜用,導(dǎo)致對(duì)信息的占用權(quán)的喪失。保護(hù)信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性,提供物理和邏輯的存取限制方法;維護(hù)和檢查有關(guān)盜竊文件的審記記錄、使用標(biāo)簽等。
二.攻擊網(wǎng)絡(luò)安全性的類型
對(duì)互聯(lián)網(wǎng)絡(luò)的攻擊包括對(duì)靜態(tài)數(shù)據(jù)的攻擊和對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊.對(duì)靜態(tài)數(shù)據(jù)的攻擊主要有: 1. 口令猜測:通過窮舉方式搜索口令空間,逐一測試,得到口令,進(jìn)而非法入侵系統(tǒng)。 2. IP地址欺騙:攻擊者偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包,這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址,冒名他人,竊取信息。 3. 指定路由:發(fā)送方指定一信息包到達(dá)目的站點(diǎn)的路由,而這條路由是經(jīng)過精心設(shè)計(jì)的、繞過設(shè)有安全控制的路由。
根據(jù)對(duì)動(dòng)態(tài)信息的攻擊形式不同,可以將攻擊分為主動(dòng)攻擊和被動(dòng)攻擊兩種。 被動(dòng)攻擊主要是指攻擊者監(jiān)聽網(wǎng)絡(luò)上傳遞的信息流,從而獲取信息的內(nèi)容(interception),或僅僅希望得到信息流的長度、傳輸頻率等數(shù)據(jù),稱為流量分析(traffic analysis)。被動(dòng)攻擊和竊聽示意圖如圖1、圖2所示: 
除了被動(dòng)攻擊的方式外,攻擊者還可以采用主動(dòng)攻擊的方式。主動(dòng)攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復(fù)制、插入數(shù)據(jù)流或數(shù)據(jù)流的一部分以達(dá)到其非法目的。主動(dòng)攻擊可以歸納為中斷、篡改、偽造三種(見圖3)。中斷是指阻斷由發(fā)送方到接收方的信息流,使接收方無法得到該信息,這是針對(duì)信息可用性的攻擊(如圖4)。篡改是指攻擊者修改、破壞由發(fā)送方到接收方的信息流,使接收方得到錯(cuò)誤的信息,從而破壞信息的完整性(如圖5)。偽造是針對(duì)信息的真實(shí)性的攻擊,攻擊者或者是首先記錄一段發(fā)送方與接收方之間的信息流,然后在適當(dāng)時(shí)間向接收方或發(fā)送方重放(playback)這段信息,或者是完全偽造一段信息流,冒充接收方可信任的第三方,向接收方發(fā)送。(如圖6)
作為一個(gè)企業(yè)網(wǎng),不管他是什么性質(zhì)的公司,通常能見到如WEB、MAIL、FTP、DNS、 TELNET等,當(dāng)然,也有一些非通用,在某些領(lǐng)域、行業(yè)中自主開發(fā)的網(wǎng)絡(luò)應(yīng)用服務(wù)。我們通常所說的服務(wù)器,既是具有網(wǎng)絡(luò)服務(wù)的主機(jī)。網(wǎng)絡(luò)應(yīng)用服務(wù)安全,指的是主機(jī)上運(yùn)行的網(wǎng)絡(luò)應(yīng)用服務(wù)是否能夠穩(wěn)定、持續(xù)運(yùn)行,不會(huì)受到非法的數(shù)據(jù)破壞及運(yùn)行影響。網(wǎng)絡(luò)安全的威脅來自多個(gè)方面,主要包括:操作系統(tǒng)安全、應(yīng)用服務(wù)安全、網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)傳輸安全等等,以下我們就網(wǎng)絡(luò)應(yīng)用服務(wù)與其它安全問題做一比較.
操作系統(tǒng)安全問題
操作系統(tǒng)安全指的是一個(gè)操作系統(tǒng)在其系統(tǒng)管理機(jī)制實(shí)施中的完整性、強(qiáng)制性、計(jì)劃性、可預(yù)期性不受干擾、破壞。如操作系統(tǒng)的用戶等級(jí)管理機(jī)制、文件讀取權(quán)限管理機(jī)制、程序執(zhí)行權(quán)限管理機(jī)制、系統(tǒng)資源分配管理機(jī)制等。操作系統(tǒng)安全問題的來源主要表現(xiàn)在系統(tǒng)管理程序編寫失誤、系統(tǒng)配置失誤等方面。其安全問題主要體現(xiàn)在抵御和防范本地攻擊。攻擊行為通常表現(xiàn)為攻擊者突破以上的一些系統(tǒng)管理機(jī)制,對(duì)系統(tǒng)的越權(quán)訪問和控制。
網(wǎng)絡(luò)設(shè)備安全問題
網(wǎng)絡(luò)設(shè)備的安全指的是網(wǎng)絡(luò)設(shè)備是否能長期、持續(xù)、穩(wěn)定地完成其特定的功能和任務(wù)。由于網(wǎng)絡(luò)設(shè)備提供的功能相對(duì)操作系統(tǒng)而言大大簡化,因此管理程序編寫失誤方面的系數(shù)大大降低,其安全問題主要來自于系統(tǒng)配置方面的失誤。攻擊行為主要表現(xiàn)為突破系統(tǒng)控制權(quán)身份驗(yàn)證機(jī)制,惡意地修改系統(tǒng)配置。
網(wǎng)絡(luò)應(yīng)用服務(wù)安全問題的特點(diǎn)
每一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)都是由一個(gè)或多個(gè)程序構(gòu)成,在討論安全性問題時(shí),不僅要考慮到服務(wù)端程序,也需要考慮客戶端程序。服務(wù)端的安全問題主要表現(xiàn)在非法的遠(yuǎn)程訪問,客戶端的安全問題主要表現(xiàn)在本地越權(quán)使用客戶程序。由于大多數(shù)服務(wù)的進(jìn)程由超級(jí)用戶守護(hù),許多重大的安全漏洞往往出現(xiàn)在一些以超級(jí)用戶守護(hù)的應(yīng)用服務(wù)程序上。
三、網(wǎng)絡(luò)安全的架構(gòu),我們以某公司為例來具體說明:
網(wǎng)絡(luò)安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置,防火墻及檢測預(yù)警、安全掃描、網(wǎng)絡(luò)防病毒等軟、硬件,對(duì)出入口的信息進(jìn)行嚴(yán)格的控制;對(duì)網(wǎng)絡(luò)中所有的裝置(如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等)進(jìn)行檢測、分析和評(píng)估,發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞,評(píng)估安全風(fēng)險(xiǎn),建議補(bǔ)救措施,并有效地防止黑客入侵和病毒擴(kuò)散,并能監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。
為了最大限度地減低公司內(nèi)部網(wǎng)的風(fēng)險(xiǎn),提高其安全性,采用可適應(yīng)安全管理解決方案。
可適應(yīng)性安全管理模型針對(duì)企業(yè)的安全威脅和進(jìn)攻弱點(diǎn),通過通信數(shù)據(jù)加密、系統(tǒng)掃描、實(shí)時(shí)監(jiān)控,檢測和實(shí)時(shí)響應(yīng)、實(shí)施群安全策略,提供端對(duì)端的完整安全解決方案。與之相對(duì)應(yīng),通信數(shù)據(jù)傳輸加密、檢測、響應(yīng)、監(jiān)控等,每個(gè)環(huán)節(jié)都有相應(yīng)的產(chǎn)品,該模型能夠最大限度地減低企業(yè)的風(fēng)險(xiǎn)。我們首先來分析一下“黑客”入侵的手段和途徑,作為一個(gè)入侵者,他的第一步自然是先要找到目標(biāo)企業(yè)在網(wǎng)絡(luò)中的位置,假設(shè)他已經(jīng)知道該企業(yè)沒有使用主機(jī)托管服務(wù),而是和企業(yè)的網(wǎng)絡(luò)放在了一起,那么他只須ping一下該企業(yè)的主頁就能了解到該企業(yè)的IP地址為xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外還有一臺(tái)DNS服務(wù)器,也可以使用nslookup這樣的工具,一下就能查到目標(biāo)企業(yè)的DNS服務(wù)器為地址xxx.xxx.xxx.003,并且他還會(huì)計(jì)劃假設(shè)已經(jīng)進(jìn)入以上三臺(tái)服務(wù)器中的一臺(tái),他就會(huì)馬上分析網(wǎng)絡(luò)結(jié)構(gòu),并且進(jìn)入內(nèi)網(wǎng),獲取內(nèi)部網(wǎng)絡(luò)員工資料,以及很多重要數(shù)據(jù)。從上面看得出來,要保護(hù)這個(gè)網(wǎng)絡(luò),我們需要做很多東西,首先我們可以想辦法對(duì)服務(wù)器之間以及服務(wù)器和內(nèi)部網(wǎng)絡(luò)之間進(jìn)行隔離,但又能應(yīng)用到他們應(yīng)該有的功能,現(xiàn)在對(duì)該企業(yè)的網(wǎng)絡(luò)做如下策劃: 其整體安全策略為:
1、網(wǎng)絡(luò)傳輸安全 保證網(wǎng)絡(luò)傳輸?shù)陌踩?nbsp; 2、網(wǎng)絡(luò)安全性檢測 采用漏洞掃描系統(tǒng)對(duì)系統(tǒng)進(jìn)行漏洞掃描,保證企業(yè)聯(lián)網(wǎng)在最佳的狀態(tài)下運(yùn)行。 3、防攻擊能力 采用入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警保證企業(yè)聯(lián)網(wǎng)防止外界攻擊的能力。 4、防病毒能力 采用網(wǎng)絡(luò)防病毒系統(tǒng)對(duì)網(wǎng)絡(luò)病毒進(jìn)行防治,保證企業(yè)聯(lián)網(wǎng)防病毒能力。 建立分層管理和各級(jí)安全管理中心。
用戶設(shè)備情況:用戶擁有幾百臺(tái)PC機(jī)、一臺(tái)準(zhǔn)備用作DNS SERVER和EMAIL SERVER的服務(wù)器、一臺(tái)CISCO的5500交換機(jī)、和一臺(tái)CISCO的7500路由器。另外,其打算聯(lián)入INTERNET 的電信線路和廣域網(wǎng)路由器.
用戶要求:通過防火墻保證內(nèi)部網(wǎng)的最大安全,并一定程度上保證服務(wù)器的安全;內(nèi)部網(wǎng)各個(gè)PC機(jī)可以上INTERNET。將CISCO的5500交換機(jī)劃分若干VLAN ,并利用CISCO的7500路由器做TRUNK來為各個(gè)VLAN 做路由(7500除此以外,還有其他用途)。
根據(jù)用戶具體情況,可有如下網(wǎng)絡(luò)結(jié)構(gòu): 
網(wǎng)絡(luò)的實(shí)現(xiàn):
該結(jié)構(gòu)基本上說,是防火墻的典型接法,其實(shí)現(xiàn)較為簡單。同時(shí),用戶希望各個(gè)PC機(jī)都能夠?qū)崿F(xiàn)上INTERNET,所以,可以讓防火墻工作在路由模式下,并提供NAT地址轉(zhuǎn)換功能,為內(nèi)部網(wǎng)的客戶機(jī)提供所謂的代理功能。因?yàn)椋脩粢贑ATALYST5500上為底下眾多PC機(jī)劃分不同的VLAN,而同時(shí),又用CISCO7500路由器,在防火墻內(nèi)部做TRUNK為各個(gè)VLAN 做路由。也就是說,真正的TRUNK數(shù)據(jù)包并沒有通過防火墻,所以,防火墻也應(yīng)是屬于其中一個(gè)VLAN ,這樣,才能與其它VLAN 進(jìn)行通信,即:其它VLAN 的機(jī)器可以找到并通過防火墻上INTERNET。當(dāng)然,這時(shí)的CISCO7500路由器就需要有一些必要的設(shè)置和配置;首先,要在接口設(shè)好ISL或802.1Q的封裝,保證VLAN之間的通信, 當(dāng)然,這時(shí),防火墻所在接口也是一個(gè)VLAN;然后,在7500上指定默認(rèn)路由為防火墻所在VLAN的網(wǎng)段,這樣,就保證用戶在上網(wǎng)或要發(fā)郵件時(shí),7500能將客戶端所發(fā)的數(shù)據(jù)包,送到防火墻,進(jìn)而,送到DMZ區(qū)的郵件服務(wù)器或送出到INTERNET上。
安全性的實(shí)現(xiàn):
l. 由于NETEYE防火墻產(chǎn)品自身的強(qiáng)大功能,給該網(wǎng)絡(luò)提供了最大的安全保障。其核心所具有的Stateful 動(dòng)態(tài)包過濾和防Dos 攻擊的功能,可以在基本上給網(wǎng)絡(luò)有一個(gè)安全保證。伴有對(duì)網(wǎng)絡(luò)工作的實(shí)時(shí)監(jiān)控和強(qiáng)大統(tǒng)計(jì)、審計(jì)功能,也使一些不安全因素能夠早發(fā)現(xiàn)早處理。
2. NetEye防火墻支持各種網(wǎng)絡(luò)協(xié)議,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等網(wǎng)絡(luò)協(xié)議,NetEye同時(shí)是國內(nèi)支持多媒體數(shù)據(jù)進(jìn)行實(shí)時(shí)點(diǎn)播最好的防火墻系統(tǒng),支持CISCO、SGI等多媒體點(diǎn)播協(xié)議,例如OSPF、IGMP等廣播協(xié)議。對(duì)各種常用應(yīng)用系統(tǒng)例如Oracle、Notes、SQL Server等完全支持。
3. NetEye防火墻對(duì)遠(yuǎn)程接入用戶提供先進(jìn)的一次性口令身份認(rèn)證過程,可以使用防火墻自身的認(rèn)證系統(tǒng)也支持第三方采用協(xié)議為RADIUS TACACS/TACACS+等認(rèn)證服務(wù)器。
4. 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能是NetEye防火墻完備的功能之一,在大量的實(shí)際應(yīng)用中證明穩(wěn)定可靠。在銀行信息網(wǎng)絡(luò)中通過NAT功能實(shí)現(xiàn)內(nèi)部網(wǎng)用戶訪問外Internet 資源,實(shí)現(xiàn)透明應(yīng)用代理,為內(nèi)部網(wǎng)提供對(duì)外的安全通道。通過NAT功能保證DMZ區(qū)的各種網(wǎng)絡(luò)服務(wù)器對(duì)外提供各種服務(wù),NetEye防火墻的NAT功能作為DMZ區(qū)與外部訪問者之間的橋梁,保證外部訪問者不能直接連接應(yīng)用服務(wù)器,從而保證信息網(wǎng)的安全。
5. NetEye防火墻如同網(wǎng)絡(luò)上的監(jiān)視器,可以輕松記錄內(nèi)部網(wǎng)每一位用戶的訪問情況,同時(shí)可以對(duì)網(wǎng)絡(luò)的各種使用情況進(jìn)行統(tǒng)計(jì)生成各種報(bào)表、統(tǒng)計(jì)圖、趨勢圖等。NetEye具有實(shí)時(shí)入侵檢測系統(tǒng),完全實(shí)現(xiàn)防患于未然。能夠?qū)Ω鞣N網(wǎng)絡(luò)攻擊方式進(jìn)行識(shí)別例如網(wǎng)絡(luò)協(xié)議異常、拒絕服務(wù)攻擊DOS、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)欺騙、地址盜用等,同時(shí)以郵件方式對(duì)系統(tǒng)管理員進(jìn)行報(bào)警。 NetEye防火墻的實(shí)時(shí)監(jiān)控系統(tǒng)能夠了解防火墻當(dāng)前的工作狀態(tài),同時(shí)了解網(wǎng)絡(luò)的通訊情況與攻擊的詳細(xì)信息。
6. NetEye防火墻具有一個(gè)優(yōu)秀的功能,就是能夠?qū)⒁慌_(tái)企業(yè)內(nèi)部終端設(shè)備的網(wǎng)卡MAC地址與它的網(wǎng)絡(luò)IP地址進(jìn)行捆綁,完全實(shí)現(xiàn)兩者的一一對(duì)應(yīng)。當(dāng)信息網(wǎng)內(nèi)部有人私自篡改IP地址妄圖盜用他人上網(wǎng)費(fèi)用時(shí),由于其IP地址與MAC地址不匹配,NetEye防火墻拒絕其通過,禁止其訪問同時(shí)向系統(tǒng)管理員進(jìn)行郵件報(bào)警。
安全性的實(shí)現(xiàn):
由于NETEYE防火墻產(chǎn)品自身的強(qiáng)大功能,給該網(wǎng)絡(luò)提供了最大的安全保障。其核心所具有的Stateful 動(dòng)態(tài)包過濾和防Dos 攻擊的功能,可以在基本上給網(wǎng)絡(luò)有一個(gè)安全保證。伴有對(duì)網(wǎng)絡(luò)工作的實(shí)時(shí)監(jiān)控和強(qiáng)大統(tǒng)計(jì)、審計(jì)功能,也使一些不安全因素能夠早發(fā)現(xiàn)早處理。
在CISCO5500上劃分VLAN 不但可以隔離廣播,減少廣播風(fēng)暴;同時(shí),可以將各個(gè)部門或組織從邏輯上分開,提高了安全性。而此時(shí),防火墻也是其中一個(gè)VLAN。那么可以說,為內(nèi)部網(wǎng)的安全又多提供了一層保護(hù)。
當(dāng)用戶內(nèi)部網(wǎng)的客戶機(jī)具有不同權(quán)限時(shí),需要對(duì)具有高權(quán)限的IP進(jìn)行限制,即:需要進(jìn)行IP和MAC綁定,但由于各VLAN 的數(shù)據(jù)包通過了路由器,其MAC地址已發(fā)生變化,則防火墻的IP和MAC綁定不能實(shí)現(xiàn)。然而,通過用防火墻的客戶端認(rèn)證功能,不但,能替代IP和MAC綁定功能,而且,可以在其他的應(yīng)用上靈活使用。
將為外面提供服務(wù)的EMAIL SERVER 服務(wù)器置于防火墻的DMZ區(qū)(非軍事區(qū)),和內(nèi)部網(wǎng)隔離開這樣,可以保證外界的訪問只有通往DMZ的路徑,而對(duì)于內(nèi)網(wǎng)的訪問,則是絕對(duì)不予許的。另外,在DMZ區(qū)也只將EMAIL服務(wù)器的SMTP 25和POP3 110端口以及DNS的53端口打開。這樣,其安全性將大大增加,同時(shí),對(duì)于防火墻的配置也是簡單、清晰。
需要注意的問題: 由于防火墻的外網(wǎng)接入INTERNET,其包括的IP地址近似無窮多,所以,防火墻上的默認(rèn)網(wǎng)關(guān),自然應(yīng)該指向外網(wǎng)口。
另外,防火墻的外網(wǎng)由于聯(lián)入INTERNET,所以,應(yīng)具有一個(gè)合法IP地址。EMAIL SERVER 和DNS 服務(wù)器由于要為與外界聯(lián)系而提供服務(wù),所以也應(yīng)具有一個(gè)合法IP。又因?yàn)榉阑饓υ诼酚赡J较赂靼踩珔^(qū)應(yīng)在不同網(wǎng)段,那么,DMZ區(qū)和外網(wǎng)就會(huì)帶來一些問題。我們可以通過劃分子網(wǎng)和把DMZ區(qū)的機(jī)器做NAT地址映射來解決這個(gè)問題。
結(jié)束語
網(wǎng)絡(luò)安全是網(wǎng)絡(luò)管理的重要內(nèi)容。對(duì)于一個(gè)企業(yè),我們首先要設(shè)計(jì)好網(wǎng)絡(luò)構(gòu)架,在設(shè)計(jì)的同時(shí)要考慮到各個(gè)服務(wù)器以及內(nèi)部網(wǎng)絡(luò)各放在什么位置。合理的網(wǎng)絡(luò)配置能夠增強(qiáng)網(wǎng)絡(luò)安全。可以預(yù)見到加密技術(shù)和VLAN、VPN、防火墻的合理配置使用,必將使網(wǎng)絡(luò)得到很好的保護(hù)。
參考標(biāo)準(zhǔn)及文獻(xiàn):
1983 美國國防部(DoD)橘皮書:互信任計(jì)算機(jī)系統(tǒng)評(píng)估(TCSEC) 1987 紅皮書:互信任系統(tǒng)評(píng)估標(biāo)準(zhǔn)(TNI)的互信任網(wǎng)絡(luò)詮釋 1988 ISO 7498/2安全體系 1989 IT安全標(biāo)準(zhǔn)目錄(ZSI信息技術(shù)安全標(biāo)準(zhǔn),德國) 1991 TSEC1.2(信息技術(shù)安全評(píng)估標(biāo)準(zhǔn))關(guān)于信息系統(tǒng)安全的歐洲標(biāo)準(zhǔn)目錄 梅杰, 許榕生. Internet防火墻技術(shù)最新發(fā)展. 微電腦世界. 1996, 6:27-30 Computer and Network Security Lecture 1—24 《Security Mechanisms in High-Level Network Protocols》Victor L. Voydock and Stephen T. Kent 水木清華bbs站系統(tǒng)安全版,一網(wǎng)情深bbs站系統(tǒng)安全版
