无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

　　摘要  隨著INTERNET在中國的進一步發(fā)展，上網(wǎng)對于許多人已經(jīng)成為生活中必不可少的一部分，新老網(wǎng)民們通過網(wǎng)絡(luò)來查找資料、交流信息。對于企業(yè)而言，網(wǎng)絡(luò)更是占有舉足輕重的地位，電子商務(wù)已經(jīng)有逐步取代傳統(tǒng)企業(yè)經(jīng)營方式的趨勢。但網(wǎng)絡(luò)在給我們極大便利的同時，也給我們另外一個棘手問題，就是“黑客”。

　　由于INTERNET的本身設(shè)計缺陷及其開放性，使其極易受到黑客的攻擊。根據(jù)美國有關(guān)安全部門統(tǒng)計，因特網(wǎng)上98%的計算機受到過黑客的攻擊分析，50%的機器被黑客成功入侵，而被入侵機器有20%的管理員尚未發(fā)現(xiàn)自己被入侵。網(wǎng)絡(luò)的安全性已成為阻礙因特網(wǎng)在全球發(fā)展的重要因素之一。最近，大量病毒大肆橫行，給世界許多國家造成巨大的損失。所以越來越多的人認識到網(wǎng)絡(luò)安全的重要性。本文先是介紹了網(wǎng)絡(luò)信息安全的涵義和黑客的一般攻擊手段，然后通過一個具體的企業(yè)網(wǎng)實例詳盡闡述了如何合理布置網(wǎng)絡(luò)架構(gòu)來進行有效的防護。

　　關(guān)鍵詞：網(wǎng)絡(luò)信息安全 網(wǎng)絡(luò)安全架構(gòu) 黑客 NETEYE VLAN TRUNK

一．網(wǎng)絡(luò)信息安全的涵義

    網(wǎng)絡(luò)信息既有存儲于網(wǎng)絡(luò)節(jié)點上信息資源，即靜態(tài)信息，又有傳播于網(wǎng)絡(luò)節(jié)點間的信息，即動態(tài)信息。而這些靜態(tài)信息和動態(tài)信息中有些是開放的，如廣告、公共信息等，有些是保密的，如:私人間的通信、政府及軍事部門、商業(yè)機密等。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真實性（Authenticity）。網(wǎng)絡(luò)信息的機密性是指網(wǎng)絡(luò)信息的內(nèi)容不會被未授權(quán)的第三方所知。網(wǎng)絡(luò)信息的完整性是指信息在存儲或傳輸時不被修改、破壞，不出現(xiàn)信息包的丟失、亂序等，即不能為未授權(quán)的第三方修改。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。當前，運行于互聯(lián)網(wǎng)上的協(xié)議（如TCP/IP）等，能夠確保信息在數(shù)據(jù)包級別的完整性，即做到了傳輸過程中不丟信息包，不重復接收信息包，但卻無法制止未授權(quán)第三方對信息包內(nèi)部的修改。網(wǎng)絡(luò)信息的可用性包括對靜態(tài)信息的可得到和可操作性及對動態(tài)信息內(nèi)容的可見性。網(wǎng)絡(luò)信息的真實性是指信息的可信度，主要是指對信息所有者或發(fā)送者的身份的確認。

    前不久，美國計算機安全專家又提出了一種新的安全框架，包括：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、實用性（Utility）、占有性（Possession）， 即在原來的基礎(chǔ)上增加了實用性、占有性，認為這樣才能解釋各種網(wǎng)絡(luò)安全問題：網(wǎng)絡(luò)信息的實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性,成為垃圾。網(wǎng)絡(luò)信息的占有性是指存儲信息的節(jié)點、磁盤等信息載體被盜用，導致對信息的占用權(quán)的喪失。保護信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關(guān)盜竊文件的審記記錄、使用標簽等。

二．攻擊網(wǎng)絡(luò)安全性的類型

    對互聯(lián)網(wǎng)絡(luò)的攻擊包括對靜態(tài)數(shù)據(jù)的攻擊和對動態(tài)數(shù)據(jù)的攻擊.對靜態(tài)數(shù)據(jù)的攻擊主要有： 1． 口令猜測：通過窮舉方式搜索口令空間，逐一測試，得到口令，進而非法入侵系統(tǒng)。 2． IP地址欺騙：攻擊者偽裝成源自一臺內(nèi)部主機的一個外部地點傳送信息包，這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址，冒名他人，竊取信息。 3． 指定路由：發(fā)送方指定一信息包到達目的站點的路由，而這條路由是經(jīng)過精心設(shè)計的、繞過設(shè)有安全控制的路由。

    根據(jù)對動態(tài)信息的攻擊形式不同，可以將攻擊分為主動攻擊和被動攻擊兩種。     被動攻擊主要是指攻擊者監(jiān)聽網(wǎng)絡(luò)上傳遞的信息流，從而獲取信息的內(nèi)容（interception），或僅僅希望得到信息流的長度、傳輸頻率等數(shù)據(jù)，稱為流量分析（traffic analysis）。被動攻擊和竊聽示意圖如圖1、圖2所示：

    除了被動攻擊的方式外，攻擊者還可以采用主動攻擊的方式。主動攻擊是指攻擊者通過有選擇的修改、刪除、延遲、亂序、復制、插入數(shù)據(jù)流或數(shù)據(jù)流的一部分以達到其非法目的。主動攻擊可以歸納為中斷、篡改、偽造三種（見圖3）。中斷是指阻斷由發(fā)送方到接收方的信息流，使接收方無法得到該信息，這是針對信息可用性的攻擊（如圖4）。篡改是指攻擊者修改、破壞由發(fā)送方到接收方的信息流，使接收方得到錯誤的信息，從而破壞信息的完整性（如圖5）。偽造是針對信息的真實性的攻擊，攻擊者或者是首先記錄一段發(fā)送方與接收方之間的信息流，然后在適當時間向接收方或發(fā)送方重放（playback）這段信息，或者是完全偽造一段信息流，冒充接收方可信任的第三方，向接收方發(fā)送。（如圖6）

    作為一個企業(yè)網(wǎng)，不管他是什么性質(zhì)的公司，通常能見到如WEB、MAIL、FTP、DNS、     TELNET等，當然，也有一些非通用，在某些領(lǐng)域、行業(yè)中自主開發(fā)的網(wǎng)絡(luò)應(yīng)用服務(wù)。我們通常所說的服務(wù)器，既是具有網(wǎng)絡(luò)服務(wù)的主機。網(wǎng)絡(luò)應(yīng)用服務(wù)安全，指的是主機上運行的網(wǎng)絡(luò)應(yīng)用服務(wù)是否能夠穩(wěn)定、持續(xù)運行，不會受到非法的數(shù)據(jù)破壞及運行影響。網(wǎng)絡(luò)安全的威脅來自多個方面，主要包括：操作系統(tǒng)安全、應(yīng)用服務(wù)安全、網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)傳輸安全等等，以下我們就網(wǎng)絡(luò)應(yīng)用服務(wù)與其它安全問題做一比較.

操作系統(tǒng)安全問題

    操作系統(tǒng)安全指的是一個操作系統(tǒng)在其系統(tǒng)管理機制實施中的完整性、強制性、計劃性、可預期性不受干擾、破壞。如操作系統(tǒng)的用戶等級管理機制、文件讀取權(quán)限管理機制、程序執(zhí)行權(quán)限管理機制、系統(tǒng)資源分配管理機制等。操作系統(tǒng)安全問題的來源主要表現(xiàn)在系統(tǒng)管理程序編寫失誤、系統(tǒng)配置失誤等方面。其安全問題主要體現(xiàn)在抵御和防范本地攻擊。攻擊行為通常表現(xiàn)為攻擊者突破以上的一些系統(tǒng)管理機制，對系統(tǒng)的越權(quán)訪問和控制。

網(wǎng)絡(luò)設(shè)備安全問題

    網(wǎng)絡(luò)設(shè)備的安全指的是網(wǎng)絡(luò)設(shè)備是否能長期、持續(xù)、穩(wěn)定地完成其特定的功能和任務(wù)。由于網(wǎng)絡(luò)設(shè)備提供的功能相對操作系統(tǒng)而言大大簡化，因此管理程序編寫失誤方面的系數(shù)大大降低，其安全問題主要來自于系統(tǒng)配置方面的失誤。攻擊行為主要表現(xiàn)為突破系統(tǒng)控制權(quán)身份驗證機制，惡意地修改系統(tǒng)配置。

網(wǎng)絡(luò)應(yīng)用服務(wù)安全問題的特點

    每一個網(wǎng)絡(luò)應(yīng)用服務(wù)都是由一個或多個程序構(gòu)成，在討論安全性問題時，不僅要考慮到服務(wù)端程序，也需要考慮客戶端程序。服務(wù)端的安全問題主要表現(xiàn)在非法的遠程訪問，客戶端的安全問題主要表現(xiàn)在本地越權(quán)使用客戶程序。由于大多數(shù)服務(wù)的進程由超級用戶守護，許多重大的安全漏洞往往出現(xiàn)在一些以超級用戶守護的應(yīng)用服務(wù)程序上。

三、網(wǎng)絡(luò)安全的架構(gòu)，我們以某公司為例來具體說明：

　　網(wǎng)絡(luò)安全的目標是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，防火墻及檢測預警、安全掃描、網(wǎng)絡(luò)防病毒等軟、硬件，對出入口的信息進行嚴格的控制；對網(wǎng)絡(luò)中所有的裝置（如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等）進行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風險，建議補救措施，并有效地防止黑客入侵和病毒擴散，并能監(jiān)控整個網(wǎng)絡(luò)的運行狀況。

　　為了最大限度地減低公司內(nèi)部網(wǎng)的風險，提高其安全性，采用可適應(yīng)安全管理解決方案。 

　　可適應(yīng)性安全管理模型針對企業(yè)的安全威脅和進攻弱點，通過通信數(shù)據(jù)加密、系統(tǒng)掃描、實時監(jiān)控，檢測和實時響應(yīng)、實施群安全策略，提供端對端的完整安全解決方案。與之相對應(yīng)，通信數(shù)據(jù)傳輸加密、檢測、響應(yīng)、監(jiān)控等，每個環(huán)節(jié)都有相應(yīng)的產(chǎn)品，該模型能夠最大限度地減低企業(yè)的風險。我們首先來分析一下“黑客”入侵的手段和途徑，作為一個入侵者，他的第一步自然是先要找到目標企業(yè)在網(wǎng)絡(luò)中的位置，假設(shè)他已經(jīng)知道該企業(yè)沒有使用主機托管服務(wù)，而是和企業(yè)的網(wǎng)絡(luò)放在了一起，那么他只須ping一下該企業(yè)的主頁就能了解到該企業(yè)的IP地址為xxx.xxx.xxx.001和xxx.xxx.xxx.002，而另外還有一臺DNS服務(wù)器，也可以使用nslookup這樣的工具，一下就能查到目標企業(yè)的DNS服務(wù)器為地址xxx.xxx.xxx.003，并且他還會計劃假設(shè)已經(jīng)進入以上三臺服務(wù)器中的一臺，他就會馬上分析網(wǎng)絡(luò)結(jié)構(gòu)，并且進入內(nèi)網(wǎng)，獲取內(nèi)部網(wǎng)絡(luò)員工資料，以及很多重要數(shù)據(jù)。從上面看得出來，要保護這個網(wǎng)絡(luò)，我們需要做很多東西，首先我們可以想辦法對服務(wù)器之間以及服務(wù)器和內(nèi)部網(wǎng)絡(luò)之間進行隔離，但又能應(yīng)用到他們應(yīng)該有的功能，現(xiàn)在對該企業(yè)的網(wǎng)絡(luò)做如下策劃： 其整體安全策略為：

1、網(wǎng)絡(luò)傳輸安全 保證網(wǎng)絡(luò)傳輸?shù)陌踩��?nbsp; 2、網(wǎng)絡(luò)安全性檢測 采用漏洞掃描系統(tǒng)對系統(tǒng)進行漏洞掃描，保證企業(yè)聯(lián)網(wǎng)在最佳的狀態(tài)下運行。  3、防攻擊能力 采用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)測和預警保證企業(yè)聯(lián)網(wǎng)防止外界攻擊的能力。  4、防病毒能力 采用網(wǎng)絡(luò)防病毒系統(tǒng)對網(wǎng)絡(luò)病毒進行防治，保證企業(yè)聯(lián)網(wǎng)防病毒能力。 建立分層管理和各級安全管理中心。

用戶設(shè)備情況：用戶擁有幾百臺PC機、一臺準備用作DNS SERVER和EMAIL SERVER的服務(wù)器、一臺CISCO的5500交換機、和一臺CISCO的7500路由器。另外，其打算聯(lián)入INTERNET 的電信線路和廣域網(wǎng)路由器.

　　 用戶要求：通過防火墻保證內(nèi)部網(wǎng)的最大安全，并一定程度上保證服務(wù)器的安全；內(nèi)部網(wǎng)各個PC機可以上INTERNET。將CISCO的5500交換機劃分若干VLAN ，并利用CISCO的7500路由器做TRUNK來為各個VLAN 做路由(7500除此以外,還有其他用途)。 

　　根據(jù)用戶具體情況，可有如下網(wǎng)絡(luò)結(jié)構(gòu)： 

網(wǎng)絡(luò)的實現(xiàn)：

    該結(jié)構(gòu)基本上說，是防火墻的典型接法，其實現(xiàn)較為簡單。同時，用戶希望各個PC機都能夠?qū)崿F(xiàn)上INTERNET，所以，可以讓防火墻工作在路由模式下，并提供NAT地址轉(zhuǎn)換功能，為內(nèi)部網(wǎng)的客戶機提供所謂的代理功能。因為，用戶要在CATALYST5500上為底下眾多PC機劃分不同的VLAN，而同時，又用CISCO7500路由器，在防火墻內(nèi)部做TRUNK為各個VLAN 做路由。也就是說，真正的TRUNK數(shù)據(jù)包并沒有通過防火墻，所以，防火墻也應(yīng)是屬于其中一個VLAN ，這樣，才能與其它VLAN 進行通信，即：其它VLAN 的機器可以找到并通過防火墻上INTERNET。當然，這時的CISCO7500路由器就需要有一些必要的設(shè)置和配置;首先,要在接口設(shè)好ISL或802.1Q的封裝,保證VLAN之間的通信, 當然,這時,防火墻所在接口也是一個VLAN;然后,在7500上指定默認路由為防火墻所在VLAN的網(wǎng)段,這樣,就保證用戶在上網(wǎng)或要發(fā)郵件時,7500能將客戶端所發(fā)的數(shù)據(jù)包,送到防火墻,進而,送到DMZ區(qū)的郵件服務(wù)器或送出到INTERNET上。 

安全性的實現(xiàn)： 

    l. 由于NETEYE防火墻產(chǎn)品自身的強大功能，給該網(wǎng)絡(luò)提供了最大的安全保障。其核心所具有的Stateful 動態(tài)包過濾和防Dos 攻擊的功能，可以在基本上給網(wǎng)絡(luò)有一個安全保證。伴有對網(wǎng)絡(luò)工作的實時監(jiān)控和強大統(tǒng)計、審計功能，也使一些不安全因素能夠早發(fā)現(xiàn)早處理。 

    2． NetEye防火墻支持各種網(wǎng)絡(luò)協(xié)議，例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等網(wǎng)絡(luò)協(xié)議，NetEye同時是國內(nèi)支持多媒體數(shù)據(jù)進行實時點播最好的防火墻系統(tǒng)，支持CISCO、SGI等多媒體點播協(xié)議，例如OSPF、IGMP等廣播協(xié)議。對各種常用應(yīng)用系統(tǒng)例如Oracle、Notes、SQL Server等完全支持。 

　　3． NetEye防火墻對遠程接入用戶提供先進的一次性口令身份認證過程，可以使用防火墻自身的認證系統(tǒng)也支持第三方采用協(xié)議為RADIUS TACACS/TACACS+等認證服務(wù)器。 

　　4． 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能是NetEye防火墻完備的功能之一，在大量的實際應(yīng)用中證明穩(wěn)定可靠。在銀行信息網(wǎng)絡(luò)中通過NAT功能實現(xiàn)內(nèi)部網(wǎng)用戶訪問外Internet 資源，實現(xiàn)透明應(yīng)用代理，為內(nèi)部網(wǎng)提供對外的安全通道。通過NAT功能保證DMZ區(qū)的各種網(wǎng)絡(luò)服務(wù)器對外提供各種服務(wù)，NetEye防火墻的NAT功能作為DMZ區(qū)與外部訪問者之間的橋梁，保證外部訪問者不能直接連接應(yīng)用服務(wù)器，從而保證信息網(wǎng)的安全。 

　　5． NetEye防火墻如同網(wǎng)絡(luò)上的監(jiān)視器，可以輕松記錄內(nèi)部網(wǎng)每一位用戶的訪問情況，同時可以對網(wǎng)絡(luò)的各種使用情況進行統(tǒng)計生成各種報表、統(tǒng)計圖、趨勢圖等。NetEye具有實時入侵檢測系統(tǒng)，完全實現(xiàn)防患于未然。能夠?qū)Ω鞣N網(wǎng)絡(luò)攻擊方式進行識別例如網(wǎng)絡(luò)協(xié)議異常、拒絕服務(wù)攻擊DOS、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)欺騙、地址盜用等，同時以郵件方式對系統(tǒng)管理員進行報警。 NetEye防火墻的實時監(jiān)控系統(tǒng)能夠了解防火墻當前的工作狀態(tài)，同時了解網(wǎng)絡(luò)的通訊情況與攻擊的詳細信息。

　　6． NetEye防火墻具有一個優(yōu)秀的功能，就是能夠?qū)⒁慌_企業(yè)內(nèi)部終端設(shè)備的網(wǎng)卡MAC地址與它的網(wǎng)絡(luò)IP地址進行捆綁，完全實現(xiàn)兩者的一一對應(yīng)。當信息網(wǎng)內(nèi)部有人私自篡改IP地址妄圖盜用他人上網(wǎng)費用時，由于其IP地址與MAC地址不匹配，NetEye防火墻拒絕其通過，禁止其訪問同時向系統(tǒng)管理員進行郵件報警。

安全性的實現(xiàn)：

    由于NETEYE防火墻產(chǎn)品自身的強大功能，給該網(wǎng)絡(luò)提供了最大的安全保障。其核心所具有的Stateful 動態(tài)包過濾和防Dos 攻擊的功能，可以在基本上給網(wǎng)絡(luò)有一個安全保證。伴有對網(wǎng)絡(luò)工作的實時監(jiān)控和強大統(tǒng)計、審計功能，也使一些不安全因素能夠早發(fā)現(xiàn)早處理。 

    在CISCO5500上劃分VLAN 不但可以隔離廣播，減少廣播風暴；同時，可以將各個部門或組織從邏輯上分開，提高了安全性。而此時，防火墻也是其中一個VLAN。那么可以說，為內(nèi)部網(wǎng)的安全又多提供了一層保護。 

　　當用戶內(nèi)部網(wǎng)的客戶機具有不同權(quán)限時，需要對具有高權(quán)限的IP進行限制，即：需要進行IP和MAC綁定，但由于各VLAN 的數(shù)據(jù)包通過了路由器，其MAC地址已發(fā)生變化，則防火墻的IP和MAC綁定不能實現(xiàn)。然而，通過用防火墻的客戶端認證功能，不但，能替代IP和MAC綁定功能，而且，可以在其他的應(yīng)用上靈活使用。 

    將為外面提供服務(wù)的EMAIL SERVER 服務(wù)器置于防火墻的DMZ區(qū)（非軍事區(qū)），和內(nèi)部網(wǎng)隔離開這樣，可以保證外界的訪問只有通往DMZ的路徑，而對于內(nèi)網(wǎng)的訪問，則是絕對不予許的。另外,在DMZ區(qū)也只將EMAIL服務(wù)器的SMTP 25和POP3 110端口以及DNS的53端口打開。這樣，其安全性將大大增加，同時，對于防火墻的配置也是簡單、清晰。

    需要注意的問題： 由于防火墻的外網(wǎng)接入INTERNET，其包括的IP地址近似無窮多，所以，防火墻上的默認網(wǎng)關(guān)，自然應(yīng)該指向外網(wǎng)口。 

　　另外，防火墻的外網(wǎng)由于聯(lián)入INTERNET，所以，應(yīng)具有一個合法IP地址。EMAIL SERVER 和DNS 服務(wù)器由于要為與外界聯(lián)系而提供服務(wù)，所以也應(yīng)具有一個合法IP。又因為防火墻在路由模式下各安全區(qū)應(yīng)在不同網(wǎng)段，那么，DMZ區(qū)和外網(wǎng)就會帶來一些問題。我們可以通過劃分子網(wǎng)和把DMZ區(qū)的機器做NAT地址映射來解決這個問題。 

結(jié)束語

    網(wǎng)絡(luò)安全是網(wǎng)絡(luò)管理的重要內(nèi)容。對于一個企業(yè)，我們首先要設(shè)計好網(wǎng)絡(luò)構(gòu)架，在設(shè)計的同時要考慮到各個服務(wù)器以及內(nèi)部網(wǎng)絡(luò)各放在什么位置。合理的網(wǎng)絡(luò)配置能夠增強網(wǎng)絡(luò)安全�？梢灶A見到加密技術(shù)和VLAN、VPN、防火墻的合理配置使用，必將使網(wǎng)絡(luò)得到很好的保護。

參考標準及文獻： 

1983 美國國防部（DoD）橘皮書：互信任計算機系統(tǒng)評估（TCSEC）  1987 紅皮書：互信任系統(tǒng)評估標準（TNI）的互信任網(wǎng)絡(luò)詮釋  1988 ISO 7498/2安全體系  1989 IT安全標準目錄（ZSI信息技術(shù)安全標準，德國）  1991 TSEC1.2（信息技術(shù)安全評估標準）關(guān)于信息系統(tǒng)安全的歐洲標準目錄  梅杰, 許榕生. Internet防火墻技術(shù)最新發(fā)展. 微電腦世界. 1996, 6:27-30 Computer and Network Security Lecture 1—24 《Security Mechanisms in High-Level Network Protocols》Victor L. Voydock and Stephen T. Kent 水木清華bbs站系統(tǒng)安全版，一網(wǎng)情深bbs站系統(tǒng)安全版