畢業(yè)論文----基于部署的軟件應用安全技術研究

1、<p>　　基于部署的軟件應用安全技術研究</p><p><b>　　目錄</b></p><p>　　摘要.........................................................................................................................3<

2、;/p><p>　　Abstract..................................................................................................................4</p><p>　?。很浖玫牟渴鸺夹g............................................

3、................................5</p><p>　　1.1部署技術概述..........................................................................................5</p><p>　　1.1.1 基于部署的硬件配置..........................

4、............................................5</p><p>　　1.1.2 軟件應用安全的網(wǎng)絡環(huán)境..............................................................5</p><p>　　1.1.3 軟件應用的操作系統(tǒng)..................................

5、....................................5</p><p>　　1.2網(wǎng)絡安全現(xiàn)狀及重要性..........................................................................5</p><p>　　1.2.1內(nèi)部網(wǎng)絡安全現(xiàn)狀....................................

6、.......................................5</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問題..........................................................7</p><p>　?。很浖弥谐Ｒ姷陌踩珕栴}及解決辦法.......................................

7、.....7</p><p>　　2.1網(wǎng)絡信息安全的主要威脅......................................................................8</p><p>　　2.2.網(wǎng)絡信息安全的保護措施....................................................................

8、..8</p><p>　　2.2.1物理層及網(wǎng)絡拓撲結構的安全措施...............................................8</p><p>　　2.2.2對操作系統(tǒng)和應用程序的安全措施...............................................8</p><p>　　2.2.3對內(nèi)部網(wǎng)絡系統(tǒng)

9、數(shù)據(jù)的安全措施...................................................8</p><p>　　2.2.4其它保護措施...................................................................................9</p><p>　　2.3網(wǎng)絡面臨的常見攻擊方式......

10、................................................................9</p><p>　　基于部署的軟件應用安全技術.............................................................10</p><p>　　3.1網(wǎng)絡安全隔離與連接.....................

11、........................................................10</p><p>　　3.2入侵檢測系統(tǒng)的部署.............................................................................13</p><p>　　3.3漏洞掃描..................

12、...............................................................................14</p><p>　　3.4網(wǎng)絡防病毒系統(tǒng)部署.............................................................................16</p><p>　　.

13、 3.5優(yōu)化網(wǎng)絡鏈接的部署..............................................................................17</p><p>　?。簩嵶C研究及結論...................................................................................20</p>

14、<p>　?。ㄒ唬瑢嵶C問題概述.................................................................................20</p><p>　?。ǘ?，需要解決的主要問題.....................................................................22</p&

15、gt;<p>　?。ㄈ?，解決方案.........................................................................................22</p><p>　?。ㄋ模?，重點過程描述........................................................................

16、.........23</p><p>　?。ㄎ澹瑢嵶C結論.........................................................................................26</p><p>　　參考文獻............................................................

17、.....................................................</p><p>　　致謝..........................................................................................................................</p><p>

18、;<b>　　摘要</b></p><p>　　隨著網(wǎng)絡技術的發(fā)展和網(wǎng)上各種應用的不斷豐富,網(wǎng)絡安全問題日益成為人們關注的焦點。人們在網(wǎng)絡安全部署策略中更多地注重網(wǎng)絡邊界的安全，防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段，我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲，因此采取了一系列的防范措施，如建立兩套網(wǎng)絡，一套僅用于內(nèi)部員工辦公和資源共享，稱之為內(nèi)部網(wǎng)絡;另一套用于連

19、接互聯(lián)網(wǎng)檢索資料，稱之為外部網(wǎng)絡，同時使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設備等，但據(jù)統(tǒng)計超過50%的網(wǎng)絡及信息安全問題源于內(nèi)部人員所為，其次才是外部黑客的攻擊。由于內(nèi)網(wǎng)是一個由網(wǎng)絡設備與信息系統(tǒng)組成的復雜環(huán)境，連接便捷、應用系統(tǒng)多、重要數(shù)據(jù)多是其顯著特點,如果疏于對內(nèi)網(wǎng)的安全防范,那么就極易出現(xiàn)應用系統(tǒng)被非法使用、數(shù)據(jù)被竊取和被破壞等情況，因此注重內(nèi)網(wǎng)安全系統(tǒng)建設、有效防范源自內(nèi)部的安全問題，其意義較之于外網(wǎng)安全防范更為重大。目

20、前，在我國的各個行業(yè)系統(tǒng)中，無論是涉及科學研究的大型研究所，還是擁有自主知識產(chǎn)權的發(fā)展中企業(yè)，都有大量的技術和業(yè)務機密存儲在計算機和網(wǎng)絡中，如何有效地保護這些機密數(shù)據(jù)信息，已引起各單位的巨大關注!</p><p><b>　　Abstract</b></p><p>　　With the development of network technology and th

21、e Internet continue to enrich a wide range of applications, network security issues are increasingly becoming the focus of attention. Deployed in the network security strategy to focus more on network perimeter security,

22、 anti-virus, anti-hackers, data backup is a commonly used means of data protection, we normally think that hackers, viruses, worms and a variety of most of the attacks from outside therefore taken a series of preventive

23、measures, s</p><p>　?。很浖玫牟渴鸺夹g</p><p>　　簡單的說部署就是把設計好的程序或是硬件放到一定的環(huán)境系統(tǒng)中運行，從而發(fā)揮它的作用，這就是部署。我所要研究的重點是基于部署的軟件應用安全技術，就是在一個環(huán)境中通過部署，從而使所部署的這個系統(tǒng)的軟件更好的發(fā)揮其自身的作用。</p><p>　　1.1 部署技術概述</p>

24、<p>　　1.1.1 基于部署的硬件配置</p><p>　　那么部署在網(wǎng)絡環(huán)境中的硬件都有哪些呢？像防火墻、物理隔離網(wǎng)閘、網(wǎng)關、還原卡、磁盤陣列、LanGate、Win Pass CA 證書服務器、負載均衡器、交換機等等...............</p><p>　　1.1.2 軟件應用安全的網(wǎng)絡環(huán)境</p><p>　　一個安全的計算機網(wǎng)絡應

25、該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡不僅要保護計算機網(wǎng)絡設備安全和計算機網(wǎng)絡系統(tǒng)安全，還要保護數(shù)據(jù)安全等。因此針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全保護方案以確保計算機網(wǎng)絡自身的安全性是每一個計算機網(wǎng)絡都要認真對待的一個重要問題。</p><p>　　1.1.3 軟件應用的操作系統(tǒng)</p><p>　　Windows2000的安全模式使各組織可以與

26、合作伙伴、供應商以及在信任關系之上使用基于Internet技術的消費者安全地交互。Windows 2000的活動目錄對用戶、組及計算機賬戶信息采用分層命名，存儲了所有的域安全策略和賬戶信息。可以利用組策略編輯器設置各種功能，包括軟件設置、應用程序配置選項、腳本、用戶設置、文檔選項及安全設置。Windows2000安全性，又稱為“分布式安全性”，它包括基于Internet標準安全協(xié)議的鑒別，采用Kerberos 5作為默認鑒別協(xié)議。它使用

27、Internet安全協(xié)議IPSec。Windows 2000使用基于Internet技術的虛擬專用網(wǎng)VPN，通過ISP，IIS及VPN服務器來建立Inter—net連接?？衫肰PN通過公共網(wǎng)來傳輸專用網(wǎng)數(shù)據(jù)。此外，可利用Windows 2000提供的加密文件系統(tǒng)EFS對文件進行加密保護。</p><p>　　1.2網(wǎng)絡安全現(xiàn)狀及重要性</p><p>　　1.2.1內(nèi)部網(wǎng)絡安全現(xiàn)狀<

28、;/p><p>　　目前很多企事業(yè)單位都加快了企業(yè)信息化的進程，在網(wǎng)絡平臺上建立了內(nèi)部網(wǎng)絡和外部網(wǎng)絡，并按照國家有關規(guī)定實行內(nèi)部網(wǎng)絡和外部網(wǎng)絡的物理隔離;在應用上從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的應用如財務系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP)，逐步實現(xiàn)企業(yè)信息的高度集成，構成完善的企事業(yè)問題解決鏈。</p><p>　　在網(wǎng)絡安全方面

29、系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關規(guī)定，購置部分網(wǎng)絡安全產(chǎn)品，如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡上的使用雖然針對性強，但往往有很大的局限性。由于內(nèi)部網(wǎng)絡的高性能、多應用、涉密信息分散的特點，各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成

30、一個相互對立的局面，如何在其中尋找到一個平衡點，也是眾多企業(yè)中普遍存在的焦點問題。</p><p>　　由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。</p><p>　　內(nèi)部網(wǎng)絡更易受到

31、攻擊</p><p>　　為什么內(nèi)部網(wǎng)絡更容易受到攻擊呢?主要原因如下：</p><p>　　(1)信息網(wǎng)絡技術的應用正日益普及，應用層次正在深入，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。網(wǎng)絡已經(jīng)是許多企業(yè)不可缺少的重要的組成部分，基于Web的應用在內(nèi)部網(wǎng)正日益普及，典型的應用如財務系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等，這些大規(guī)模系統(tǒng)應用密切依賴于內(nèi)部網(wǎng)絡的暢通。

32、</p><p>　　(2)在對Internet嚴防死守和物理隔離的措施下，對網(wǎng)絡的破壞，大多數(shù)來自網(wǎng)絡內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡安全的重視程度不夠，系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內(nèi)部擁有更多的應用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。</p><p>　　(3)黑客工具在Internet上很容易獲得，這些工具對Internet及內(nèi)部網(wǎng)絡往往具有很大的危害性

33、。這是內(nèi)部人員(包括對計算機技術不熟悉的人)能夠對內(nèi)部網(wǎng)絡造成巨大損害的原因之一。</p><p>　　(4)內(nèi)部網(wǎng)絡更脆弱。由于網(wǎng)絡速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。</p><p>　　(5)為了簡單和易用，在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的，這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。</p><p>　　(6)內(nèi)部網(wǎng)絡的用戶往往直接面對數(shù)據(jù)庫、直接

34、對服務器進行操作，利用內(nèi)網(wǎng)速度快的特性，對關鍵數(shù)據(jù)進行竊取或者破壞。</p><p>　　(7)眾多的使用者所有不同的權限，管理更困難，系統(tǒng)更容易遭到口令和越權操作的攻擊。服務器對使用者的管理也不是很嚴格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。</p><p>　　(8)涉密信息不僅僅限于服務器，同時也分布于各個工作計算機中，目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。

35、</p><p>　　(9)由于人們對口令的不重視，弱口令很容易產(chǎn)生，很多人用諸如生日、姓名等作為口令，在內(nèi)網(wǎng)中，黑客的口令破解程序更易奏效。</p><p>　　1.2.2 因特網(wǎng)的發(fā)展及其安全問題</p><p>　　隨著計算機網(wǎng)絡應用的廣泛深入，網(wǎng)絡安全問題變得日益復雜和突出。網(wǎng)絡的資源共享、信息交換和分布處理提供的良好的環(huán)境，使得網(wǎng)絡深入到社會生活的各個方面

36、，逐步成為國家和政府機構運轉的命脈和社會生活的支柱。這一方面提高了工作效率，另一方面卻由于自身的復雜性和脆弱性，使其受到威脅和攻擊的可能性大大增加。眾所周知，因特網(wǎng)是世界上最大的計算機網(wǎng)絡，它連接了全球不計其數(shù)的網(wǎng)絡與電腦。同時因特網(wǎng)也是世界上最開放的系統(tǒng)，任何地方的電腦，只要遵守共同的協(xié)議即可加入其中川。因特網(wǎng)的特點就是覆蓋的地理范圍廣，資源共享程度高。</p><p>　　由于因特網(wǎng)網(wǎng)絡協(xié)議的開放性，系統(tǒng)的通

37、用性，無政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時，也面臨著不可預測的威脅和攻擊。網(wǎng)絡技術越發(fā)展，對網(wǎng)絡進攻的手段就越巧妙，越多樣性。一方面由于計算機網(wǎng)絡的開放性和信息共享促進了網(wǎng)絡的飛速發(fā)展，另一方面也正是這種開放性以及計算機本身安全的脆弱性，導致了網(wǎng)絡安全方面的諸多漏洞[2]?？梢哉f，網(wǎng)絡安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以，網(wǎng)絡的安全性同網(wǎng)絡的性能、可靠性和可用性一起，成為組建、運行網(wǎng)絡不可忽視的問題。</p&

38、gt;<p>　　：軟件應用中常見的安全問題及解決辦法</p><p>　　當我們直接面對互聯(lián)網(wǎng)的時候，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患發(fā)生任何一次對整個網(wǎng)絡都將是致命性的。下面就上面提出的問題簡要地提出相應的解決方法。</p><p>　　1、網(wǎng)絡病毒的防范。在網(wǎng)絡中，病毒已從存儲介質(zhì)(軟、硬、光盤)的感

39、染</p><p>　　發(fā)展為網(wǎng)絡通信和電子郵件的感染。所以，防止計算機病毒是計算機網(wǎng)絡安全工</p><p><b>　　作的重要環(huán)節(jié)。</b></p><p>　　2、網(wǎng)絡安全隔離。網(wǎng)絡和網(wǎng)絡之間互聯(lián)，同時給有意、無意的黑客或破壞者帶來了充分的施展空間。所以，網(wǎng)絡之間進行有效的安全隔離是必須的。</p><p>　　

40、3、網(wǎng)絡監(jiān)控措施。在不影響網(wǎng)絡正常運行的情況下，增加內(nèi)部網(wǎng)絡監(jiān)控機制可以做到最大限度的網(wǎng)絡資源保護。</p><p>　　4、網(wǎng)絡安全漏洞。對于非專業(yè)人員來說，無法確切了解和解決服務器系統(tǒng)和整個網(wǎng)絡的安全缺陷及安全漏洞，因此需要借助第三方軟件來解決此安全隱患，并提出相應的安全解決方案。</p><p>　　5、數(shù)據(jù)備份和恢復。設備可以替換，數(shù)據(jù)一旦被破壞或丟失，其損失幾乎可以用災難來衡量。

41、所以，做一套完整的數(shù)據(jù)備份和恢復措施是校園網(wǎng)迫切需要的。</p><p>　　6、有害信息過濾。對于大中型網(wǎng)絡，必須采用一套完整的網(wǎng)絡管理和信息過濾相結合的系統(tǒng)，實現(xiàn)對整個網(wǎng)絡內(nèi)電腦訪問互聯(lián)網(wǎng)進行有害信息過濾管理。</p><p>　　7、網(wǎng)絡安全服務。為確保整個網(wǎng)絡的安全有效運行，有必要對整個網(wǎng)絡進行全面的安全性分析和研究，制定出一套滿足網(wǎng)絡實際安全需要的、切實可行的安全管理和設備配備方

42、案。</p><p>　　2.1網(wǎng)絡信息安全的主要威脅</p><p>　　對網(wǎng)絡的威脅，依據(jù)其來源可分為以下四個方面:(l)物理層和網(wǎng)絡拓撲結構的不安全因素;(2)操作系統(tǒng)和應用軟件的不安全因素;(3)人員的不安全因素:(4)環(huán)境及其它無法預料的因素。由于網(wǎng)絡所帶來的諸多不安全因素，使得網(wǎng)絡使用者必須采取相應的網(wǎng)絡安全技術來堵塞安全漏洞和提供安全的通信服務。 </p>&l

43、t;p>　　如今，快速發(fā)展的網(wǎng)絡安全技術能從不同角度來保證網(wǎng)絡信息不受侵犯，網(wǎng)絡安全的基本技術主要有:網(wǎng)絡入侵檢測技術、防火墻技術、網(wǎng)絡加密技術、網(wǎng)絡地址轉換技術、操作系統(tǒng)安全內(nèi)核技術、身份驗證技術、網(wǎng)絡防病毒技術等。確保網(wǎng)絡安全的各種技術應全方位地針對各種不同的威脅和脆弱性，確保網(wǎng)絡的保密性、完整性和可用性。網(wǎng)絡應該采取何種控制技術保證安全訪問而絕對禁止非法者進入，真正實現(xiàn)既要使網(wǎng)絡開放又要使網(wǎng)絡安全的目標，己成為網(wǎng)絡建設及安全

44、的重大問題，同時也是網(wǎng)絡界最重要的研究課題。</p><p>　　2.2.網(wǎng)絡信息安全的保護措施</p><p>　　2.2.1物理層及網(wǎng)絡拓撲結構的安全措施</p><p>　　對物理層與網(wǎng)絡拓撲結構的電磁泄露采取的措施主要有:</p><p>　　(l)對傳輸電纜加金屬予以屏蔽，必要時埋于地下或加露天保護;</p><

45、p>　　傳輸線路應遠離各種強輻射源，以免數(shù)據(jù)由于干擾而出錯;</p><p>　　監(jiān)控集中器和調(diào)制解調(diào)器，以免外連;</p><p>　　(4)定期檢查線路，以防搭線接聽、外連或破壞;</p><p><b>　　(5)端口保護;</b></p><p>　　(6)安全的網(wǎng)絡拓撲結構設計和網(wǎng)絡協(xié)議選用。</p

46、><p>　　2.2.2對操作系統(tǒng)和應用程序的安全措施</p><p>　　對操作系統(tǒng)和應用程序的最主要的安全措施就是使用系統(tǒng)安全掃描儀。操作系統(tǒng)掃描儀能自動全面監(jiān)測操作系統(tǒng)的配置，找出其漏洞。內(nèi)部網(wǎng)絡掃描儀熟悉整個網(wǎng)絡，可以系統(tǒng)地監(jiān)測每一網(wǎng)絡設備的安全漏洞，網(wǎng)絡管理人員應用安全掃描儀可以對系統(tǒng)安全實施有效的控制。</p><p>　　2.2.3對內(nèi)部網(wǎng)絡系統(tǒng)數(shù)據(jù)的安全

47、措施</p><p><b>　　1、用戶身份認證</b></p><p>　　用戶身份認證有基于令牌的身份驗證和Kerberos等算法。驗證令牌的原理是由身份認證服務器AS(Autheniicationserver)負責管理用戶登錄，AS根據(jù)用戶登錄時的P取(PersonalIdentifieationNUmber)，查找內(nèi)部數(shù)據(jù)庫，找出相應令牌的Key，根據(jù)兩者產(chǎn)

48、生的序列或隨即數(shù)來判定用戶是否合法。Ketheros是一種通過共同的第三方建立信任的，基于保密密鑰的身份認證算法，使DES加密方法。</p><p><b>　　2、訪問控制</b></p><p>　　訪問控制是對訪問者及訪問過程的一種權限授予。訪問控制在鑒別機制提供的信息基礎上，對內(nèi)部文件和數(shù)據(jù)庫的安全屬性和共享程度進行設置，對用戶的使用權限進行劃分。對用戶的訪問

49、控制可在網(wǎng)絡層和信息層兩個層次進行，即在用戶進入網(wǎng)絡和訪問數(shù)據(jù)庫或服務器時，對用戶身份分別進行驗證。驗證機制為:在網(wǎng)絡層采用國際通用的分布式認證協(xié)議—RADIUS，對用戶的授權在接入服務器NAS上完成，在NAS上通過FILTER的方式限制訪問:在信息層采用COOKIE機制，配合數(shù)字簽名技術，保證系統(tǒng)的安全性。</p><p><b>　　3、代理服務器</b></p><

50、p>　　代理服務器的使用可以使內(nèi)部網(wǎng)絡成為一個獨立的封閉回路，從而使網(wǎng)絡更加安全。客戶端發(fā)來的HTTP請求，可經(jīng)代理服務器轉發(fā)給異地的WEB服務器，并將異地的WEB服務器傳來的響應傳回客戶端。通過對代理服務器的設置，可以對客戶身份進行認證和對各種信息進行過濾，限制有害信息的進入和限制對某些主機或域的訪問，網(wǎng)絡管理人員也可以通過代理服務器的日志獲取更多的網(wǎng)管信息。</p><p>　　4、數(shù)據(jù)的完整性保護&l

51、t;/p><p>　　數(shù)據(jù)的完整性是指數(shù)據(jù)來自正確的發(fā)送方，送到了正確的接收方。接收方與發(fā)送方的數(shù)據(jù)內(nèi)容一致、時序一致且沒有重復接收，即數(shù)據(jù)的完整性包括數(shù)據(jù)的安全性和數(shù)據(jù)的可信性兩方面。保護措施是增加敵方所不能控制的冗余信息，同時對數(shù)據(jù)進行加密。</p><p><b>　　5、數(shù)字簽名</b></p><p>　　基于先進密鑰技術的數(shù)字簽名是系統(tǒng)

52、防止數(shù)據(jù)在產(chǎn)生、存放和運輸過程中不網(wǎng)絡安全技術及其應用與研究被篡改的主要技術手段，數(shù)字簽名所用的簽署信息是簽名者所專有的，并且是秘密的和唯一的，簽名只能由簽名者的專用信息來產(chǎn)生。數(shù)字簽名實際上是一個收發(fā)雙方應用密文進行簽名和確認的過程，是數(shù)據(jù)完整性、公證以及認證機制的基礎。數(shù)字簽名不但能使接收方確保發(fā)送源的真實性，也能保證發(fā)送接收雙方對自己的行為無法否認。目前，數(shù)字簽名技術己成為密碼學中研究和應用的熱點之一。</p>&l

53、t;p><b>　　6、防火墻技術</b></p><p>　　防火墻技術作為一種訪問控制，是在內(nèi)外部網(wǎng)絡之間建立一個保護層，使外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問受到一定的隔離，而內(nèi)部網(wǎng)絡成員仍能方便地訪問外部網(wǎng)絡，從而保護內(nèi)部網(wǎng)絡資源免受外部的非法入侵和干擾。</p><p>　　2.2.4其它保護措施</p><p>　　網(wǎng)絡信息安全是一項綜合

54、性的技術，不但是技術和法律問題，更是一個人的思想意識問題。所以，在盡量堵塞安全中的技術漏洞的同時，應注意人為和環(huán)境的不安全因素，加強人的安全意識和保密觀念，增強用戶的自我保護能力。同時要進行安全立法，運用法律手段保護信息的安全。</p><p>　　2.3網(wǎng)絡面臨的常見攻擊方式</p><p>　　人類不斷研究和發(fā)展新的信息安全機制和工程實踐，為戰(zhàn)勝計算機網(wǎng)絡安全威脅付出了艱巨的努力。各種

55、攻擊手段不斷地涌現(xiàn)出新的變鐘，這樣，與以前的攻擊手段相比較更加智能化。攻擊目標直指因特網(wǎng)基礎協(xié)議和操作系統(tǒng)層次。從web程序的控制程序到內(nèi)核級rootkits，黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。但各種攻擊手段大多數(shù)都是基于節(jié)七b應用程序的攻擊、后門、ro。次its、DOS和sniffer等攻擊機制產(chǎn)生的。下面列舉的是一些常見的攻擊方式，由于篇幅所限，只列出名稱，不一一詳述。常見的攻擊方式:(l)基于Web

56、應用程序的攻擊;(2)后門;(3)拒絕服務攻擊(DoS);(4)Sniffer;(5)利用程序自動更新存在的缺陷;(6)針對路由或DNS的攻擊;(7)緩沖區(qū)溢出;(8)電子郵件攻擊等。</p><p>　?。夯诓渴鸬能浖冒踩夹g</p><p>　　3.1網(wǎng)絡安全隔離與連接</p><p>　　網(wǎng)絡安全連接與隔離應包括防火墻的系統(tǒng)與vPN(虛擬專用網(wǎng))系統(tǒng)，其

57、中防火墻的系統(tǒng)負責安全隔離，而VPN系統(tǒng)負責局域網(wǎng)的安全連接。</p><p><b>　　1、防火墻的系統(tǒng)</b></p><p><b>　　防火墻設計</b></p><p>　　(l)防火墻的安全策略</p><p>　　制定防火墻安全策略如下:所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻

58、;只有被安全策略允許的數(shù)據(jù)包才能通過防火墻:防火墻本身要有預防入侵的功能;默認禁止所有服務，除非是必須的服務才被允許。</p><p>　　(2)防火墻系統(tǒng)的設計</p><p>　　防火墻采用安全性最好的被屏蔽子網(wǎng)結構，由外部路由器、DMZ周邊網(wǎng)(又叫參數(shù)網(wǎng)或非軍事區(qū))和內(nèi)部路由器組成。外部路由器起到保護周邊網(wǎng)的作用。它把入站的數(shù)據(jù)包路由到代理服務器(堡壘主機)，由包過濾原則，過濾黃色、

59、反動網(wǎng)站信息;內(nèi)部網(wǎng)采用內(nèi)部IP地址并以此劃分子網(wǎng)。外部路由器禁止源地址為內(nèi)部地址的入站包，由此防止IP欺騙攻擊。對外部網(wǎng)用戶的服務請求，由代理服務器進行認證后轉接到周邊網(wǎng)相應的服務器上。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到代理服務器，代理服務器進行地址翻譯，為這些用戶提供服務，以此屏蔽內(nèi)部網(wǎng)絡。</p><p>　　另外，將內(nèi)部用戶的Iniranet服務路由到周邊網(wǎng)和內(nèi)部網(wǎng)的相關服務器。禁止除網(wǎng)絡管理

60、員以外的一切內(nèi)外用戶Telnet到防火墻主機和其它服務器，防火墻主機和其它服務器均安裝防病毒和入侵檢測軟件，以此保護所有服務器。內(nèi)部路由器保護內(nèi)部網(wǎng)絡不受因特網(wǎng)和周邊網(wǎng)的侵害，它執(zhí)行大部分的過濾工作，除了具有外部路由器的過濾原則外還過濾內(nèi)部網(wǎng)與代理服務器之間的數(shù)據(jù)包。從安全性考慮設立了外部和內(nèi)部的DNS服務器，外部偽DNS服務器放在代理服務器上，回答因特網(wǎng)上的主機查詢。內(nèi)部的域名服務器對內(nèi)部主機提供域名服務。所有主機均將IP地址與MAC

61、地址綁定，以此建立網(wǎng)絡各路由器的ARP表并定期掃描，發(fā)現(xiàn)有非法的IP地址與MAC的映射則自動報警，并用正確的映射表將其覆蓋，以防止IP地址的盜用。在網(wǎng)管服務器上運行記帳軟件，對通過代理訪問因特網(wǎng)的用戶分國內(nèi)和國際流量分別記帳;在網(wǎng)管服務器上運行審計軟件，配合各服務器網(wǎng)絡安全技術及其應用與研究上的入侵檢測軟件，監(jiān)控網(wǎng)絡上的一切活動。如圖所示：</p><p>　　對內(nèi)部具有敏感數(shù)據(jù)的子網(wǎng)，盡管防火墻有許多防范功能，

62、它也有一些力不能及的地方，表現(xiàn)在:</p><p>　　防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從內(nèi)部網(wǎng)不受限制地向外撥號，一些用戶可以形成與因特網(wǎng)的直接的SLIP或PPP連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。防火墻不能防范因管理員疏忽造成的安全問題。傳統(tǒng)防火墻不能防止帶病毒軟件或文件的傳輸。傳統(tǒng)防火墻不能防止數(shù)據(jù)驅動式攻擊，即當有些表面看來無害的數(shù)據(jù)被郵寄或復制到內(nèi)部網(wǎng)主機上并被執(zhí)行而發(fā)起的

63、攻擊。從而使入侵者下一次更容易入侵該系統(tǒng)。因此，防火墻并不能解決全部安全問題。因此，我們接下來還將采取安全相應的技術及手段來確保網(wǎng)絡安全。</p><p>　　2、各局域網(wǎng)的VPN連接</p><p>　　經(jīng)過分析比較，在原有基礎上利用虛擬專用網(wǎng)技術進行互連。構成VPN系統(tǒng)的組件分布到防火墻系統(tǒng)中去，與防火墻系統(tǒng)整合。防火墻中的路由器選用帶有VPN模塊，在數(shù)據(jù)流量較大的出口，設置專用的VP

64、N服務器。</p><p>　　值得注意的是建立內(nèi)部敏感子網(wǎng)間的安全連接。在內(nèi)部網(wǎng)絡中，考</p><p>　　慮到一些部門可能存儲有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個網(wǎng)絡斷開形成孤立的小網(wǎng)絡。這樣做雖然保護了部門的重要信息，但由于物理上的中斷，使其他部門的用戶無法訪問，造成通訊上的困難。</p><p>　　采用VPN方案，通過使用一臺

65、VPN服務器既能夠實現(xiàn)與整個網(wǎng)絡的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠實現(xiàn)網(wǎng)絡之間的互聯(lián)，但是并不能對流向敏感網(wǎng)絡的數(shù)據(jù)進行限制。網(wǎng)絡管理人員通過使用vPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外，可以對所VPN數(shù)據(jù)進行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權利的用戶無法看到部門的局域網(wǎng)絡。</p><p>　　網(wǎng)絡安全技術應用與研究在選用一種遠程網(wǎng)絡互聯(lián)

66、方案時都希望能夠對訪問資源和信息的要求加以控制，所選用的方案應當既能夠實現(xiàn)授權用戶與網(wǎng)絡資源的自由連接，不同分支機構之間的資源共享;又能夠確保各網(wǎng)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡。</p><p>　　經(jīng)過設計，虛擬專用網(wǎng)系統(tǒng)能夠滿足以下方面的要求:</p><p>　　(l)用戶驗證:能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。另外，還可以夠提供審計和記費功能，顯示何人在何時訪問了何種信息。

67、</p><p>　　(2)地址管理:VPN系統(tǒng)能夠為用戶分配專用網(wǎng)絡上的地址并確保地址的安全性。</p><p>　　(3)數(shù)據(jù)加密:對通過公共互聯(lián)網(wǎng)絡傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡其他未授權的用戶無法讀取該信息。</p><p>　　(4)密鑰管理:能夠生成并更新客戶端和服務器的加密密鑰。</p><p>　　(5)多協(xié)議支持:支持公共

68、互聯(lián)網(wǎng)絡上普遍使用的基本協(xié)議，包括IP，IPX等。以點對點隧道協(xié)議(PPTP)或第2層隧道協(xié)議(LZTP)為基礎的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Intemet互聯(lián)網(wǎng)絡的優(yōu)勢。其它方案，包括安全IP協(xié)議(IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。此外，利用VPN系統(tǒng)的審計和報替功能，網(wǎng)管可以有效地管理VPN系統(tǒng)。網(wǎng)絡管理人員能夠隨時跟蹤和掌握以下情況:系統(tǒng)的使用者，連接數(shù)目，

69、異常活動，出錯情況，以及其它可能預示出現(xiàn)設備故障或網(wǎng)絡受到攻擊的現(xiàn)象。日志記錄和實時信息對審計和報普或其它錯誤提示具有很大幫助。例如，網(wǎng)絡管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長時間。異?；顒涌赡茴A示著存在對系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對設備進行實時的監(jiān)測可以在系統(tǒng)出現(xiàn)問題時及時向管理員發(fā)出譽告。一臺隧道服務器應當能夠提供以上所有信息以及對數(shù)據(jù)進行正確處理所需要的事件日志、報告和數(shù)據(jù)存儲設備。</p&g

70、t;<p>　　3.2入侵檢測系統(tǒng)的部署</p><p>　　入侵檢側能力是衡量一個防御體系是否完整有效的重要因素強大的完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。根據(jù)網(wǎng)絡的特點，我們采用基于代理的分布式入侵監(jiān)測技術，將入侵檢測系統(tǒng)的IDS中心服務器接入cisc。catalyst6006中心交換機上，并將其它的網(wǎng)絡代理分布于各子網(wǎng)中，主機代理設置在需要保護的工作站上。入侵檢測系統(tǒng)集入侵檢測、

71、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關事件，作為網(wǎng)絡管理員事后分析的依據(jù):如果情況嚴重，入侵檢測系統(tǒng)可以發(fā)出實時報警，使網(wǎng)絡管理員能夠及時采取相應的應對措施。</p><p>　　系統(tǒng)由主機代理、網(wǎng)絡代理和IDS中心服務器構成的層次結構保護網(wǎng)絡內(nèi)部及邊沿節(jié)點。網(wǎng)絡代理分布在受保護的

72、網(wǎng)絡中，根據(jù)網(wǎng)絡范圍大小設置一個或者多個網(wǎng)絡代理。因為網(wǎng)絡代理能夠訪問到網(wǎng)絡范圍內(nèi)的數(shù)據(jù)，所以它們能夠檢測到涉及對多個主機的攻擊。</p><p>　　網(wǎng)絡代理可以組織成一個層次結構，下一層的網(wǎng)絡代理向高層的網(wǎng)絡代理上報。此外，主機代理可以向多個網(wǎng)絡代理上報，這樣可以提高可靠性，避免某一個網(wǎng)絡代理失效而影響系統(tǒng)。最后，網(wǎng)絡代理顯示檢測情況和接收用戶的指令，并把檢測結果上報到IDS中心服務器。中心IDS服務器提供一

73、個用戶界面作為用戶訪問系統(tǒng)的接口，通過它可以訪問網(wǎng)絡代理的信息，給底層網(wǎng)絡代理發(fā)布命令，或者給主機代理發(fā)布命令。IDS中心服務器作為獨立的服務器保存整個入侵檢測系統(tǒng)的重要信息，負責多個網(wǎng)絡代理，在高層考察相關信息，進行檢測。</p><p><b>　　實現(xiàn)技術:</b></p><p>　　網(wǎng)絡入侵檢測的實現(xiàn)技術必須保證實時性，應能匹配目前一般的網(wǎng)絡速度。從實用的角

74、度看，其實現(xiàn)還必須易于擴充，使得新的攻擊方法出現(xiàn)時，能夠方便迅速地更新檢測手段。</p><p>　　基于統(tǒng)計的方法主要用于檢測端口掃描和DoS攻擊。針對DoS攻擊這一類具有統(tǒng)計特征的攻擊方法，在一個固定時間段內(nèi)，某特定主機發(fā)向特定服務器的SYN數(shù)據(jù)報(請求建立連接的數(shù)據(jù)包)的數(shù)目應小于一定的閉值。如果這個數(shù)目有明顯的增大，則有可能遭受攻擊。具體的算法簡單描述如下:為保護主機建立一張有限容量的最近最多訪問列表T(

75、IP，count)，條目IP為訪問這臺主機的主機IP地址，條目count為該IP地址的主機對被保護主機的訪問計數(shù)器。具體的實現(xiàn)算法是“最近最少算法”的變種:在表T中記錄在一段預設時間t內(nèi)對被保護主機的所有訪問，若某主機對被保護主機的訪問的頻繁程度超過一定的閩值，則表明遭受攻擊。表T的內(nèi)容以t為時間周期清空。這種算法相對簡單，容易實現(xiàn)，關鍵是速度相當快。</p><p>　　當然，僅使用這種基于統(tǒng)計的檢測方法是不能

76、滿足需要的。由于很多網(wǎng)絡攻擊手段都沒有像DOS攻擊那樣的統(tǒng)計特征。因此還必須輔以基于模式匹配的檢測方法。所謂模式匹配，是指將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較匹配，從而發(fā)現(xiàn)違背預定安全策略的行為。該過程可以比較簡單，如通過字符串匹配尋找一個簡單的條目或指令:也可以很復雜，如構建一個復雜的狀態(tài)機，根據(jù)不同的輸入進入不同的狀態(tài)，以指示系統(tǒng)不同的安全狀態(tài)。當系統(tǒng)所處的狀態(tài)到達預設的危險程度，則采取相應的反應動作。顯然，前

77、一種方式是后一種方式的“子集”;后者的狀態(tài)機在取得輸入信息的時候，需要利用前者的匹配方法來識別不同輸入。如果狀態(tài)機的設計足夠好的話，后一種方法是一種識別率很高的方法。它將一個網(wǎng)絡活動的上下文都納入了匹配的范圍，可以比較精確地確定、區(qū)分入侵者與行使正常管理系統(tǒng)功能的管理員。但是，各種各樣的系統(tǒng)漏洞、系統(tǒng)指令和網(wǎng)絡協(xié)議是如此的多，使得要構建這樣一個全面的狀態(tài)機幾乎是不可能的:它實在是太龐大了，需要成千上萬個狀態(tài)和成千上萬種輸入值才能表示完全

78、。這也是市場上一直沒有比較完善的入侵檢測系統(tǒng)出現(xiàn)的原因。所以，本系統(tǒng)在實現(xiàn)時采用</p><p><b>　　3.3漏洞掃描</b></p><p>　　漏洞掃描技術可預知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡安全業(yè)界的重視。這一技術的應用可幫助識別檢測對象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評估所有存在的

79、安全風險。</p><p>　　網(wǎng)絡可能存在漏洞:(l)系統(tǒng)設置配置不當使得普通用戶權限過高;(2)管理員由于操作不當使得系統(tǒng)被安裝了后門程序;(3)系統(tǒng)本身或應用程序存在可被利用的漏洞。</p><p>　　采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。漏洞掃描技術可以幫助網(wǎng)管人員用來進行網(wǎng)絡模擬攻擊，漏洞檢測

80、，從而報告服務進程，提取對象信息，然后可以得到風險評測、安全建議。最終實現(xiàn)幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。</p><p>　　我們采用啟明星辰信息技術有限公司的天鏡分布式漏洞掃描系統(tǒng)，該漏洞掃</p><p><b>　　描系統(tǒng)有如下特點:</b></p><p>　　1、可以動態(tài)地分析目標系統(tǒng)的安全脆弱性</p

81、><p>　　根據(jù)不同的對象類型，自動尋找匹配的掃描策略進行下一步的分析掃描。</p><p><b>　　2、遠程在線升級</b></p><p>　　遠程下載升級模塊，自動完成升級過程</p><p><b>　　3、靈活的策略配置</b></p><p>　　可按照特定的需

82、求配置多種掃描策略和掃描參數(shù)，實現(xiàn)不同內(nèi)容、不同級別、不同程度、不同層次的掃描。</p><p><b>　　4、多種形式的報表</b></p><p>　　全面詳細的分析報告能力，可根據(jù)用戶的不同需求提供不同層次的報告，并提供安全補丁供應商的熱連接，快速及時的修補漏洞。</p><p>　　5、實用的模擬攻擊工具</p><

83、;p>　　系統(tǒng)提供用于測試的模擬攻擊工具，較好反映了黑客實際攻擊的必經(jīng)之路，同時對被測試系統(tǒng)的測試力度可控，不會為系統(tǒng)帶來危害。</p><p>　　6、合理的結構化設計</p><p>　　模塊的繼承性，使得系統(tǒng)具有很大的可擴展空間應用結構。</p><p>　　該系統(tǒng)選用網(wǎng)絡版漏洞掃描程序可掃描任何基于TCP/IP的網(wǎng)絡主機，無論網(wǎng)絡核心是采用FDDI、A

84、TM還是千兆以太網(wǎng)，只要目標主機支持TCP八P協(xié)議，就可對其進行掃描，其系統(tǒng)掃描內(nèi)容如下:</p><p>　　Web服務、FTP服務、守護進程、電子郵件服務、CGI一B取、瀏覽器設置、即C攻擊、特定的強力攻擊選項、拒絕服務攻擊檢測、安全區(qū)檢測、NT用戶策略、NetBIOS、NT注冊表、NT服務、SNMP、緩沖溢出檢測、NFS檢測、IP欺騙、特洛伊木馬、后門程序檢測、共享心COM類。</p><

85、;p>　　網(wǎng)絡漏洞掃描器的掃描原理:</p><p>　　網(wǎng)絡漏洞掃描器通過遠程檢測目標主機TCP/IP不同端口的服務，記錄目標給予的回答。通過這種方法，可以搜集到很多目標主機的各種信息(例如:是否能用匿名登陸，是否有可寫的FTP目錄，是否能用Telnet，恤pd是否是用root在運行)。在獲得目標主機TCP八P端口和其對應的網(wǎng)絡訪問服務的相關信息后，與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，如果滿足匹配條件

86、，則視為漏洞存在。此外，通過模擬黑客的進攻手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，也是掃描模塊的實現(xiàn)方法之一。如果模擬攻擊成功，則視為漏洞存在。</p><p>　　在匹配原理上，該網(wǎng)絡漏洞掃描器采用的是基于規(guī)則的匹配技術，即根據(jù)安全專家對網(wǎng)絡系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關于網(wǎng)絡系統(tǒng)安全配置的實際經(jīng)驗，形成一套標準的系統(tǒng)漏洞庫，然后再在此基礎之上構成相應的匹配規(guī)則，由程序自

87、動進行系統(tǒng)漏洞掃描的分析工作。</p><p>　　所謂基于規(guī)則是基于一套由專家經(jīng)驗事先定義的規(guī)則的匹配系統(tǒng)。例如，在對TcP80端口的掃描中，如果發(fā)現(xiàn)/cgi七i吻hf或/cgi·bi可Countcgi，根據(jù)專家經(jīng)驗以及CGI程序的共享性和標準化，可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是，基于規(guī)則的匹配系統(tǒng)也有其局限性，因為作為這類系統(tǒng)的基礎的推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排

88、和策劃的，而對網(wǎng)絡系統(tǒng)的很多危險的威脅是來自未知的安全漏洞，這一點和PC殺毒很相似。</p><p>　　實現(xiàn)一個基于規(guī)則的匹配系統(tǒng)本質(zhì)上是一個知識工程問題，而且其功能應當能夠隨著經(jīng)驗的積累而利用，其自學習能力能夠進行規(guī)則的擴充和修正，即是系統(tǒng)漏洞庫的擴充和修正。當然這樣的能力目前還需要在專家的指導和參與下才能實現(xiàn)。但是，也應該看到，受漏洞庫覆蓋范圍的限制，部分系統(tǒng)漏洞也可能不會觸發(fā)任何一個規(guī)則，從而不被檢測到。

89、</p><p><b>　　.</b></p><p>　　3.4網(wǎng)絡防病毒系統(tǒng)部署</p><p>　　為了實現(xiàn)在整個網(wǎng)絡內(nèi)防止病毒的傳播、感染和破壞，我們在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段，部署防病毒組件，這樣網(wǎng)絡防病毒系統(tǒng)的部署具有了分布式的特點。同時，使系統(tǒng)具有遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒

90、等多種功能，做到有效、快捷地實</p><p>　　施和管理整個網(wǎng)絡的防病毒體系，實現(xiàn)如下:</p><p>　　1、在網(wǎng)絡的中心服務器上安裝殺毒軟件網(wǎng)絡版，系統(tǒng)中心負責管理1500多個主機網(wǎng)點。</p><p>　　2、在各局域網(wǎng)分別安裝殺毒軟件網(wǎng)絡版的客戶端。</p><p>　　3、安裝網(wǎng)絡版殺毒軟件，在管理員控制臺對網(wǎng)絡中所有客戶端進

91、行定時查殺毒的設置，保證所有客戶端在任何時候都能夠對本機定時進行查殺毒。</p><p>　　4、網(wǎng)絡中心負責整個網(wǎng)絡的升級工作。為了安全和管理的方便，由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到所購買殺毒軟件的網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到其他1500多個主機網(wǎng)點的客戶端與服務器端，并自動對殺毒軟件網(wǎng)絡版進行更新。同時，因為只有網(wǎng)絡中心才有Iniemet

92、出口，便于整個網(wǎng)絡的統(tǒng)一管理。</p><p>　　除了部署防病毒組件，更安全的方法是部署物理隔離網(wǎng)閘，網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲介質(zhì)只有"讀"和

93、"寫"兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。</p><p>　　當內(nèi)網(wǎng)與專網(wǎng)之間無信息交換時，物理隔離網(wǎng)閘與內(nèi)網(wǎng)，物理隔離網(wǎng)閘與專網(wǎng)，內(nèi)網(wǎng)與專網(wǎng)之間是完全斷開的，即三者之間不存在物理連接和邏輯連接，如圖1所示。</p><p>　　當內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)綄?/p>

94、網(wǎng)時，物理隔離網(wǎng)閘主動向內(nèi)網(wǎng)服務器數(shù)據(jù)交換代理發(fā)起非TCP/IP協(xié)議的數(shù)據(jù)連接請求，并發(fā)出“寫”命令，將寫入開關合上，并把所有的協(xié)議剝離，將原始數(shù)據(jù)寫入存儲介質(zhì)。在寫入之前，根據(jù)不同的應用，還要對數(shù)據(jù)進行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。</p><p>　　在此過程中，專網(wǎng)服務器與物理隔離網(wǎng)閘始終處于斷開狀態(tài)，見圖2所示。</p><p>　　一旦數(shù)據(jù)完全寫入物理隔離網(wǎng)閘

95、的存儲介質(zhì)，開關立即打開，中斷與內(nèi)網(wǎng)的連接。轉而發(fā)起對專網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接請求，當專網(wǎng)服務器收到請求后，發(fā)出“讀”命令，將物理隔離網(wǎng)閘存儲介質(zhì)內(nèi)的數(shù)據(jù)導向專網(wǎng)服務器。專網(wǎng)服務器收到數(shù)據(jù)后，按TCP/IP協(xié)議重新封裝接收到的數(shù)據(jù)，交給應用系統(tǒng)，完成了內(nèi)網(wǎng)到專網(wǎng)的信息交換。詳見圖3所示。</p><p>　　至于從專網(wǎng)到內(nèi)網(wǎng)的信息交換，與上述類似，只是方向相反。</p><p>

96、　　由上不難看出：每一次數(shù)據(jù)交換，物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)的寫入、數(shù)據(jù)讀出兩個過程；內(nèi)網(wǎng)與外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）永不連接；內(nèi)網(wǎng)和外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）在同一時刻最多只有一個同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。</p><p>　　3.5優(yōu)化網(wǎng)絡鏈接的部署</p><p>　　負載均衡（Load Balance）建立在現(xiàn)有網(wǎng)絡結構之上，它提供了一種廉價、有效、透明的方法，來擴展網(wǎng)絡設

97、備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。　　　　負載均衡技術分類　　目前有許多不同的負載均衡技術用以滿足不同的應用需求，如軟/硬件負載均衡、本地/全局負載均衡、更高網(wǎng)絡層負載均衡，以及鏈路聚合技術。軟/硬件負載均衡　軟件負載均衡解決方案，是指在一臺或多臺服務器相應的操作系統(tǒng)上，安裝一個或多個附加軟件來實現(xiàn)負載均衡，如DNS 負載均衡等。它的優(yōu)點是基于特定環(huán)境、配置簡單、使用靈活、成本低廉，可以

98、滿足一般的負載均衡需求。硬件負載均衡解決方案，是直接在服務器和外部網(wǎng)絡間安裝負載均衡設備，這種設備我們通常稱之為負載均衡器。由于專門的設備完成專門的任務，獨立于操作系統(tǒng)，整體性能得到大量提高，加上多樣化的負載均衡策略，智能化的流量管理，可達到最佳的負載均衡需求。 一般而言，硬件負載均衡在功能、性能上優(yōu)于軟件方式，不過成本昂貴?！　「呔W(wǎng)絡層負載均衡　　針對網(wǎng)絡上負載過重的不同瓶頸所在，從網(wǎng)絡的不同層次入手，我們可以采用相應的負載均衡

99、技術來解決現(xiàn)</p><p>　　在計算機網(wǎng)絡系統(tǒng)中，　　交換機擁有一條很高帶寬的背部總線和內(nèi)部交換矩陣。交換機的所有的端口都掛接在這條背部總線上，控制電路收到數(shù)據(jù)包以后，處理端口會查找內(nèi)存中的地址對照表以確定目的MAC（網(wǎng)卡的硬件地址）的NIC（網(wǎng)卡）掛接在哪個端口上，通過內(nèi)部交換矩陣迅速將數(shù)據(jù)包傳送到目的端口，目的MAC若不存在才廣播到所有的端口，接收端口回應后交換機會“學習”新的地址，并把它添加入內(nèi)部地址表

100、中。</p><p>　　使用交換機也可以把網(wǎng)絡“分段”，通過對照地址表，交換機只允許必要的網(wǎng)絡流量通過交換機。通過交換機的過濾和轉發(fā)，可以有效的隔離廣播風暴，減少誤包和錯包的出現(xiàn)，避免共享沖突。交換機在同一時刻可進行多個端口對之間的數(shù)據(jù)傳輸。每一端口都可視為獨立的網(wǎng)段，連接在其上的網(wǎng)絡設備獨自享有全部的帶寬，無須同其他設備競爭使用。當節(jié)點A向節(jié)點D發(fā)送數(shù)據(jù)時，節(jié)點B可同時向節(jié)點C發(fā)送數(shù)據(jù)，而且這兩個傳輸都享有網(wǎng)

101、絡的全部帶寬，都有著自己的虛擬連接。假使這里使用的是10Mbps的以太網(wǎng)交換機，那么該交換機這時的總流通量就等于2×10Mbps＝20Mbps，而使用10Mbps的共享式HUB時，一個HUB的總流通量也不會超出10Mbps。</p><p>　　總之，交換機是一種基于MAC地址識別，能完成封裝轉發(fā)數(shù)據(jù)包功能的網(wǎng)絡設備。交換機可以“學習”MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標接收

102、者之間建立臨時的交換路徑，使數(shù)據(jù)幀直接由源地址到達目的地址。</p><p><b>　　交換機的分類及功能</b></p><p>　　從廣義上來看，交換機分為兩種：廣域網(wǎng)交換機和局域網(wǎng)交換機。廣域網(wǎng)交換機主要應用于電信領域，提供通信用的基礎平臺。而局域網(wǎng)交換機則應用于局域網(wǎng)絡，用于連接終端設備，如PC機及網(wǎng)絡打印機等。從傳輸介質(zhì)和傳輸速度上可分為以太網(wǎng)交換機、快速

103、以太網(wǎng)交換機、千兆以太網(wǎng)交換機、FDDI交換機、ATM交換機和令牌環(huán)交換機等。從規(guī)模應用上又可分為企業(yè)級交換機、部門級交換機和工作組交換機等。各廠商劃分的尺度并不是完全一致的，一般來講，企業(yè)級交換機都是機架式，部門級交換機可以是機架式（插槽數(shù)較少），也可以是固定配置式，而工作組級交換機為固定配置式（功能較為簡單）。另一方面，從應用的規(guī)模來看，作為骨干交換機時，支持500個信息點以上大型企業(yè)應用的交換機為企業(yè)級交換機，支持300個信息點以

104、下中型企業(yè)的交換機為部門級交換機，而支持100個信息點以內(nèi)的交換機為工作組級交換機。本文所介紹的交換機指的是局域網(wǎng)交換機。</p><p>　　交換機的主要功能包括物理編址、網(wǎng)絡拓撲結構、錯誤校驗、幀序列以及流控。目前交換機還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能。交換機除了能夠連接同種類型的網(wǎng)絡之外，還可以在不同類型的網(wǎng)絡（如以太網(wǎng)和快速以太網(wǎng)）之間起