網絡安全
網絡系統安全綜合解決方案
局域網安全解決方案
由于局域網中采用廣播方式,因此,若在某個(gè)廣播域中可(kě)以偵聽(tīng)到所有(yǒu)的信息包,黑(hēi)客就可(kě)以對信息包進行(xíng)分析,那(nà)麽本廣播域的信息傳遞都會(huì)暴露在黑(hēi)客面前。
網絡分段
網絡分段是保證安全的一項重措施,同時(shí)也是一項基本措施,其指導思想在于将非法用戶與網絡資源相互隔離,從而達到限制(zhì)用戶非法訪問的目的。
網絡分段可(kě)分為(wèi)物理(lǐ)分段和(hé)邏輯分段兩種方式:物理(lǐ)分段通(tōng)常是指将網絡從物理(lǐ)層和(hé)數(shù)據鏈路層(ISO/OSI模型中的第一層和(hé)第二層)上(shàng)分為(wèi)若幹網段,各網段相互之間(jiān)無法進行(xíng)直接通(tōng)訊。目前,許多(duō)交換機都有(yǒu)一定的訪問控制(zhì)能力,可(kě)實現對網絡的物理(lǐ)分段。
邏輯分段則是指将整個(gè)系統在網絡層(ISO/OSI模型中的第三層)上(shàng)進行(xíng)分段。例如,對于TCP/IP網絡,可(kě)把網絡分成若幹IP子網,各子網間(jiān)必須通(tōng)過路由器(qì)、路由交換機、網關或防火(huǒ)牆等設備進行(xíng)連接,利用這些(xiē)中間(jiān)設備(含軟件、硬件)的安全機制(zhì)來(lái)控制(zhì)各子網間(jiān)的訪問。
在實際應用過程中,通(tōng)常采取物理(lǐ)分段與邏輯分段相結合的方法來(lái)實現對網絡系統的安全性控制(zhì)。
VLAN的實現
虛拟網技(jì)術(shù)主要基于近年發展的局域網交換技(jì)術(shù)(ATM和(hé)以太網交換)。交換技(jì)術(shù)将傳統的基于廣播的局域網技(jì)術(shù)發展為(wèi)面向連接的技(jì)術(shù)。因此,網管系統有(yǒu)能力限制(zhì)局域網通(tōng)訊的範圍而無需通(tōng)過開(kāi)銷很(hěn)大(dà)的路由器(qì)。以太網從本質上(shàng)基于廣播機制(zhì),但(dàn)應用了交換機和(hé)VLAN技(jì)術(shù)後,實際上(shàng)轉變為(wèi)點到點通(tōng)訊,除非設置了監聽(tīng)口,信息交換也不會(huì)存在監聽(tīng)和(hé)插入(改變)問題。
由以上(shàng)運行(xíng)機制(zhì)帶來(lái)的網絡安全的好處是顯而易見的:信息隻到達應該到達的地點。因此,防止了大(dà)部分基于網絡監聽(tīng)的入侵手段。通(tōng)過虛拟網設置的訪問控制(zhì),使在虛拟網外的網絡節點不能直接訪問虛拟網內(nèi)節點。但(dàn)是,虛拟網技(jì)術(shù)也帶來(lái)了新的問題:執行(xíng)虛拟網交換的設備越來(lái)越複雜,從而成為(wèi)被攻擊的對象。基于網絡廣播原理(lǐ)的入侵監控技(jì)術(shù)在高(gāo)速交換網絡內(nèi)需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分将面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但(dàn)這要求整個(gè)網絡桌面使用交換端口或每個(gè)交換端口所在的網段機器(qì)均屬于相同的VLAN。
VLAN之間(jiān)的劃分原則
VLAN的劃分方式的目的是保證系統的安全性。因此,可(kě)以按照系統的安全性來(lái)劃分VLAN:可(kě)以将總部中的服務器(qì)系統單獨劃作(zuò)一個(gè)VLAN,如數(shù)據庫服務器(qì)、電(diàn)子郵件服務器(qì)等。也可(kě)以按照機構的設置來(lái)劃分VLAN,如将領導所在的網絡單獨作(zuò)為(wèi)一個(gè)Leader VLAN(LVLAN),其它司局(或下級機構)分别作(zuò)為(wèi)一個(gè)VLAN,并且控制(zhì)LVLAN與其它VLAN之間(jiān)的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內(nèi)的連接采用交換技(jì)術(shù)實現,VLAN與VLAN之間(jiān)采用路由實現。由于路由控制(zhì)的能力有(yǒu)限,不能實現LVLAN與其他VLAN之間(jiān)的單向信息流動,需要在LVLAN與其他VLAN之間(jiān)設置一個(gè)NetScreen防火(huǒ)牆作(zuò)為(wèi)安全隔離設備,控制(zhì)VLAN與VLAN之間(jiān)的信息交換。
廣域網安全解決方案
由于廣域網采用公網傳輸數(shù)據,因而在廣域網上(shàng)進行(xíng)傳輸時(shí)信息也可(kě)能會(huì)被不法分子截取。如分支機構從異地發一個(gè)信息到總部時(shí),這個(gè)信息包就可(kě)能被人(rén)截取和(hé)利用。因此在廣域網上(shàng)發送和(hé)接收信息時(shí)要保證:
除了發送方和(hé)接收方外,其他人(rén)是不可(kě)知悉的(隐私性);
傳送過程中不被篡改(真實性);
發送方能确信接收方不是假冒的(非僞裝性);
發送方不能否認自己的發送行(xíng)為(wèi)(非否認)。
如果沒有(yǒu)專門(mén)的軟件對數(shù)據進行(xíng)控制(zhì),所有(yǒu)的廣域網通(tōng)信都将不受限制(zhì)地進行(xíng)傳輸,因此任何一個(gè)對通(tōng)信進行(xíng)監測的人(rén)都可(kě)以對通(tōng)信數(shù)據進行(xíng)截取。這種形式的"攻擊"是相對比較容易成功的,隻要使用現在可(kě)以很(hěn)容易得(de)到的"包檢測"軟件即可(kě)。如果從一個(gè)聯網的UNIX工作(zuò)站(zhàn)上(shàng)使用"跟蹤路由"命令的話(huà),就可(kě)以看見數(shù)據從客戶機傳送到服務器(qì)要經過多(duō)少(shǎo)種不同的節點和(hé)系統,所有(yǒu)這些(xiē)都被認為(wèi)是最容易受到黑(hēi)客攻擊的目标。一般地,一個(gè)監聽(tīng)攻擊隻需通(tōng)過在傳輸數(shù)據的末尾獲取IP包的信息即可(kě)以完成。這種辦法并不需要特别的物理(lǐ)訪問。如果對網絡用線具有(yǒu)直接的物理(lǐ)訪問的話(huà),還(hái)可(kě)以使用網絡診斷軟件來(lái)進行(xíng)竊聽(tīng)。對付這類攻擊的辦法就是對傳輸的信息進行(xíng)加密,或者是至少(shǎo)要對包含敏感數(shù)據的部分信息進行(xíng)加密。
加密技(jì)術(shù)
加密型網絡安全技(jì)術(shù)的基本思想是不依賴于網絡中數(shù)據路徑的安全性來(lái)實現網絡系統的安全,而是通(tōng)過對網絡數(shù)據的加密來(lái)保障網絡的安全可(kě)靠性,因而這一類安全保障技(jì)術(shù)的基石是使用放大(dà)數(shù)據加密技(jì)術(shù)及其在分布式系統中的應用。
數(shù)據加密技(jì)術(shù)可(kě)以分為(wèi)三類,即對稱型加密、不對稱型加密和(hé)不可(kě)逆加密。 對稱型加密使用單個(gè)密鑰對數(shù)據進行(xíng)加密或解密,其特點是計(jì)算(suàn)量小(xiǎo)、加密效率高(gāo)。但(dàn)是此類算(suàn)法在分布式系統上(shàng)使用較為(wèi)困難,主要是密鑰管理(lǐ)困難,從而使用成本較高(gāo),保安性能也不易保證。這類算(suàn)法的代表是在計(jì)算(suàn)機專網系統中廣泛使用的DES算(suàn)法(Digital Encryption Standard)。
不對稱型加密算(suàn)法也稱公用密鑰算(suàn)法,其特點是有(yǒu)二個(gè)密鑰(即公用密鑰和(hé)私有(yǒu)密鑰),隻有(yǒu)二者搭配使用才能完成加密和(hé)解密的全過程。由于不對稱算(suàn)法擁有(yǒu)二個(gè)密鑰,它特别适用于分布式系統中的數(shù)據加密,在Internet中得(de)到廣泛應用。其中公用密鑰在網上(shàng)公布,為(wèi)數(shù)據對數(shù)據加密使用,而用于解密的相應私有(yǒu)密鑰則由數(shù)據的接收方妥善保管。
不對稱加密的另一用法稱為(wèi)"數(shù)字簽名"(digital signature),即數(shù)據源使用其私有(yǒu)密鑰對數(shù)據的求校(xiào)驗和(hé)(checksum)或其它與數(shù)據內(nèi)容有(yǒu)關的變量進行(xíng)加密,而數(shù)據接收方則用相應的公用密鑰解讀"數(shù)字簽名",并将解讀結果用于對數(shù)據完整性的檢驗。在網絡系統中得(de)到應用的不對稱加密算(suàn)法有(yǒu)RSA算(suàn)法和(hé)美國國家(jiā)标準局提出的DSA算(suàn)法(Digital Signature Algorithm)。不對稱加密法在分布式系統中應用需注意的問題是如何管理(lǐ)和(hé)确認公用密鑰的合法性。
不可(kě)逆加密算(suàn)法的特征是加密過程不需要密鑰,并且經過加密 的數(shù)據無法被解密,隻有(yǒu)同樣的輸入數(shù)據經過同樣的不可(kě)逆加密算(suàn)法才能得(de)到相同的加密數(shù)據。不可(kě)逆加密算(suàn)法不存在密鑰保管和(hé)分發問題,适合于分布式網絡系統上(shàng)使用,但(dàn)是其加密計(jì)算(suàn)工作(zuò)量相當可(kě)觀,所以通(tōng)常用于數(shù)據量有(yǒu)限的情形下的加密,例如計(jì)算(suàn)機系統中的口令就是利用不可(kě)逆算(suàn)法加密的。近來(lái)随着計(jì)算(suàn)機系統性能的不斷改善,不可(kě)逆加密的應用逐漸增加。在計(jì)算(suàn)機網絡中應用較多(duō)的有(yǒu)RSA公司發明(míng)的MD5算(suàn)法和(hé)由美國國家(jiā)标準局建議的可(kě)靠不可(kě)逆加密标準(SHS-Secure Hash Standard)。
加密技(jì)術(shù)用于網絡安全通(tōng)常有(yǒu)二種形式,即面向網絡或面向應用服務。前者通(tōng)常工作(zuò)在網絡層或傳輸層,使用經過加密的數(shù)據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通(tōng)性和(hé)可(kě)用性不受損害。在網絡層上(shàng)實現的加密技(jì)術(shù)對于網絡應用層的用戶通(tōng)常是透明(míng)的。此外,通(tōng)過适當的密鑰管理(lǐ)機制(zhì),使用這一方法還(hái)可(kě)以在公用的互聯網絡上(shàng)建立虛拟專用網絡并保障虛拟專用網上(shàng)信息的安全性。SKIP協議即是近來(lái)IETF在這方面的努力之一。面向網絡應用服務的加密技(jì)術(shù)使用則是目前較為(wèi)流行(xíng)的加密技(jì)術(shù)的使用方法,例如使用Kerberos服務的telnet、NFS、rlogion等,以及用作(zuò)電(diàn)子郵件加密的PEM(Privacy Enhanced Mail)和(hé)PGP(Pretty Good Privacy)。這一類加密技(jì)術(shù)的優點在于實現相對較為(wèi)簡單,不需要對電(diàn)子信息(數(shù)據包)所經過的網絡的安全性能提出特殊要求,對電(diàn)子郵件數(shù)據實現了端到端的安全保障。
數(shù)字簽名和(hé)認證技(jì)術(shù)
認證技(jì)術(shù)主要解決網絡通(tōng)訊過程中通(tōng)訊雙方的身份認可(kě),數(shù)字簽名作(zuò)為(wèi)身份認證技(jì)術(shù)中的一種具體(tǐ)技(jì)術(shù),同時(shí)數(shù)字簽名還(hái)可(kě)用于通(tōng)信過程中的不可(kě)抵賴要求的實現。
認證過程通(tōng)常涉及到加密和(hé)密鑰交換。通(tōng)常,加密可(kě)使用對稱加密、不對稱加密及兩種加密方法的混合。
User Name/Password認證
該種認證方式是最常用的一種認證方式,用于操作(zuò)系統登錄、telnet、rlogin等,但(dàn)此種認證方式過程不加密,即password容易被監聽(tīng)和(hé)解密。
使用摘要算(suàn)法的認證
Radius(撥号認證協議)、OSPF(路由協議)、SNMP Security Protocol等均使用共享的Security Key,加上(shàng)摘要算(suàn)法(MD5)進行(xíng)認證,由于摘要算(suàn)法是一個(gè)不可(kě)逆的過程,因此,在認證過程中,由摘要信息不能技(jì)術(shù)出共享的security key,敏感信息不在網絡上(shàng)傳輸。市場(chǎng)上(shàng)主要采用的摘要算(suàn)法有(yǒu)MD5和(hé)SHA-1。
基于PKI的認證
使用公開(kāi)密鑰體(tǐ)系進行(xíng)認證和(hé)加密。該種方法安全程度較高(gāo),綜合采用了摘要算(suàn)法、不對稱加密、對稱加密、數(shù)字簽名等技(jì)術(shù),很(hěn)好地将安全性和(hé)高(gāo)效性結合起來(lái)。這種認證方法目前應用在電(diàn)子郵件、應用服務器(qì)訪問、客戶認證、防火(huǒ)牆認證等領域。
該種認證方法安全程度很(hěn)高(gāo),但(dàn)是涉及到比較繁重的證書(shū)管理(lǐ)任務。
數(shù)字簽名
數(shù)字簽名作(zuò)為(wèi)驗證發送者身份和(hé)消息完整性的根據。公共密鑰系統(如RSA)基于私有(yǒu)/公共密鑰對,作(zuò)為(wèi)驗證發送者身份和(hé)消息完整性的根據,CA使用私有(yǒu)密鑰技(jì)術(shù)其數(shù)字簽名,利用CA提供的公共密鑰,任何人(rén)均可(kě)驗證簽名的真實性。僞造數(shù)字簽名從計(jì)算(suàn)機能力上(shàng)不可(kě)行(xíng)的。并且,如果消息随數(shù)字簽名一同發送,對消息的任何修改在驗證數(shù)字簽名時(shí)都将會(huì)被發現。
通(tōng)訊雙方通(tōng)過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰,并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行(xíng)驗證。
基于此種加密模式,需要管理(lǐ)的密鑰數(shù)目與通(tōng)訊者的數(shù)量為(wèi)線性關系。而其它的加密模式需要管理(lǐ)的密鑰數(shù)目與通(tōng)訊者數(shù)目的平方成正比。
VPN技(jì)術(shù)
網絡系統總部和(hé)各分支機構之間(jiān)采用公網網絡進行(xíng)連接,其最大(dà)的弱點在于缺乏足夠的安全性。企業網絡接入到公網中,暴露出兩個(gè)主要危險:
來(lái)自公網的未經授權的對企業內(nèi)部網的存取。
當網絡系統通(tōng)過公網進行(xíng)通(tōng)訊時(shí),信息可(kě)能受到竊聽(tīng)和(hé)非法修改。 完整的集成化的企業範圍的VPN安全解決方案,提供在公網上(shàng)安全的雙向通(tōng)訊,以及透明(míng)的加密方案以保證數(shù)據的完整性和(hé)保密性。
VPN技(jì)術(shù)的原理(lǐ):
VPN系統使分布在不同地方的專用網絡在不可(kě)信任的公共網絡上(shàng)安全的通(tōng)信。它采用複雜的算(suàn)法來(lái)加密傳輸的信息,使得(de)敏感的數(shù)據不會(huì)被竊聽(tīng)。其處理(lǐ)過程大(dà)體(tǐ)是這樣:
要保護的主機發送明(míng)文信息到連接公共網絡的VPN設備;
VPN設備根據網管設置的規則,确定是否需要對數(shù)據進行(xíng)加密或讓數(shù)據直接通(tōng)過。
對需要加密的數(shù)據,VPN設備對整個(gè)數(shù)據包進行(xíng)加密和(hé)附上(shàng)數(shù)字簽名。
VPN設備加上(shàng)新的數(shù)據報頭,其中包括目的地VPN設備需要的安全信息和(hé)一些(xiē)初始化參數(shù)。
VPN 設備對加密後的數(shù)據、鑒别包以及源IP地址、目标VPN設備IP地址進行(xíng)重新封裝,重新封裝後的數(shù)據包通(tōng)過虛拟通(tōng)道(dào)在公網上(shàng)傳輸。
當數(shù)據包到達目标VPN設備時(shí),數(shù)據包被解封裝,數(shù)字簽名被核對無誤後,數(shù)據包被解密。
IPSec
IPSec作(zuò)為(wèi)在IPv4及IPv6上(shàng)的加密通(tōng)訊框架,已為(wèi)大(dà)多(duō)數(shù)廠商所支持。
IPSec主要提供IP網絡層上(shàng)的加密通(tōng)訊能力。該标準為(wèi)每個(gè)IP包增加了新的包頭格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進行(xíng)密鑰交換、管理(lǐ)及加密通(tōng)訊協商(Security Association)。
IPSec包含兩個(gè)部分:
IP security Protocol proper,定義IPSec報頭格式。
ISAKMP/Oakley,負責加密通(tōng)訊協商。
IPSec提供了兩種加密通(tōng)訊手段:
IPSec Tunnel:整個(gè)IP封裝在Ipsec-gateway之間(jiān)的通(tōng)訊。
Ipsec transport:對IP包內(nèi)的數(shù)據進行(xíng)加密,使用原來(lái)的源地址和(hé)目的地址。
IPsec Tunnel 不要求修改已配備好的設備和(hé)應用,網絡黑(hēi)客不能看到實際的通(tōng)訊源地址和(hé)目的地址,并且能夠提供專用網絡通(tōng)過Internet加密傳輸的通(tōng)道(dào),因此,絕大(dà)多(duō)數(shù)廠商均使用該模式。
ISAKMP/Oakley使用X.509數(shù)字證書(shū),因此,使VPN能夠容易地擴大(dà)到企業級。(易于管理(lǐ))。
在為(wèi)遠程撥号服務的Client端,也能夠實現IPsec的客戶端,為(wèi)撥号用戶提供加密網絡通(tōng)訊。由于IPsec即将成為(wèi)Internet标準,因此不同廠家(jiā)提供的防火(huǒ)牆(VPN)産品可(kě)以實現互通(tōng)。
如何保證遠程訪問的安全性
對于從外部撥号訪問總部內(nèi)部局域網的用戶,由于使用公用電(diàn)話(huà)網進行(xíng)數(shù)據傳輸所帶來(lái)的風險,必須嚴格控制(zhì)其安全性。首先,應嚴格限制(zhì)撥号上(shàng)網用戶所訪問的系統信息和(hé)資源,這一功能可(kě)通(tōng)過在撥号訪問服務器(qì)後設置NetScreen防火(huǒ)牆來(lái)實現。其次,應加強對撥号用戶的身份認證,使用RADIUS等專用身份驗證服務器(qì)。一方面,可(kě)以實現對撥号用戶帳号的統一管理(lǐ);另一方面,在身份驗證過程中采用加密的手段,避免用戶口令洩露的可(kě)能性。第三,在數(shù)據傳輸過程中采用加密技(jì)術(shù),防止數(shù)據被非法竊取。一種方法是使用PGP for Business Security,對數(shù)據加密。另一種方法是采用NetScreen防火(huǒ)牆所提供的VPN(虛拟專網)技(jì)術(shù)。VPN在提供網間(jiān)數(shù)據加密的同時(shí),也提供了針對單機用戶的加密客戶端軟件,即采用軟件加密的技(jì)術(shù)來(lái)保證數(shù)據傳輸的安全性。
最新客戶案例
聯系方式
客戶服務熱線: 13701352827、
13621320526、18211173256
公司聯系總機: 010-82894836
專線聯系電(diàn)話(huà): 010-82894836
服務信箱:service@hyhtnet.com
-
咨詢電(diàn)話(huà)
總機電(diàn)話(huà):010-82894836
專線電(diàn)話(huà): 010-82894836
客戶服務熱線: 18211173256、13621320526、13701352827
- 在線詢價 400--033-4456
-
分司電(diàn)話(huà)
皖北公司電(diàn)話(huà):
0557-2812777 0557-3901161
福建公司電(diàn)話(huà):
0592-6029566 15960818198 15960818198(葛總)
煙台公司電(diàn)話(huà):
(0535)6020339
山(shān)西辦事處電(diàn)話(huà):
13911460188
- 留言咨詢
- 返回頂部
關注宏遠官方微信
頁面版權所有(yǒu)@2020 北京中瑞天鴻網絡科技有限公司 網站(zhàn)建設:中企動力 北京