天天干天天做天天操-天天干天天做天天射-天天干网-天天干网站-天天干网址

        可以說，企業網絡信息安全能否得以保障，在絕大程度上取決于這個層次的安全防護技術的部署。本文將從企業網絡及應用層面臨的網絡威脅出發，闡述該層所必需的一些安全防護技術。

        8、防火墻技術

　　防火墻的一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。只有符合安全策略的數據流才能通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護企業內部網絡，就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業內部網絡的安全策略，使允許的通信不受影響，而不允許的通信全部被拒絕于內部網絡之外。

　　隨著新的網絡攻擊的出現，防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。

　　◆防火墻包過濾技術

　　◆用戶身份驗證防火墻：一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

　　◆多級過濾技術：所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關（應用層）一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發，又有很多內容可以擴展，為將來的防火墻技術發展打下基礎。

　　◆病毒防火墻：使防火墻具有病毒防護功能。現在通常被稱之為病毒防火墻，當然目前主要還是在個人防火墻中體現，因其為純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少企業的損失。

　　◆防火墻的體系結構

　　隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC（特殊應用集成電路，Application Specific Integrated Circuit）的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，需要在很大程度上依賴于軟件的性能；但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

　　與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得其缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

　　◆防火墻的系統管理

　　總體說來，防火墻的系統管理有如下幾種發展趨勢：

　　◆集中式管理：集中式管理可以降低管理成本，并保證在大型網絡中安全策略的一致性。快速響應和快速防御也要求采用集中式管理系統。

　　◆強大的審計功能和自動日志分析功能：這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可讓管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等。不過具有這種功能的防火墻通常是比較高級的，早期的靜態包過濾防火墻是不具有的。

　　◆網絡安全產品的系統化：隨著網絡安全技術的發展，現在有一種體系結構的提法，叫做"建立以防火墻為核心的網絡安全體系"。因為實踐表明，僅使用現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

　　9、入侵檢測技術

　　Intrusion Detection System（入侵檢測系統）顧名思義，便是對入侵行為的發覺，其通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。通常說來，其具有如下幾個功能：
　　◆監控、分析用戶和系統的活動。

　　◆核查系統配置和漏洞。

　　◆評估關鍵系統和數據文件的完整性。

　　◆識別攻擊的活動模式并向網管人員報警。

　　◆對異常活動的統計分析。

　　操作系統審計跟蹤管理，識別違反政策的用戶活動。

　　按照技術以及功能來劃分，入侵檢測系統可以分為如下幾類：

　　◆基于主機的入侵檢測系統：其輸入數據來源于系統的審計日志，一般只能檢測該主機上發生的入侵。

　　◆基于網絡的入侵檢測系統：其輸入數據來源于網絡的信息流，能夠檢測該網段上發生的網絡入侵。

　　◆采用上述兩種數據來源的分布式入侵檢測系統：能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，一般為分布式結構，由多個部件組成。

　　10、統一威脅管理技術

　　UTM是與企業防火墻、入侵檢測和防御以及防病毒等結合為一體的設備，將成為未來的應用趨勢。IDC同時預測，UTM市場到2008年將占整個信息安全市場的半壁江山，達到57.6%。UTM的一個特點是可以只用到該產品的某一個專門用途，比如用于網關防病毒或是用于內部的入侵檢測，也可以全面應用所有功能。當UTM作為一種單點產品來應用時，企業能獲得統一管理的優勢，并且也能在不增加新設備的情況下開啟自身需要的任何功能。UTM產品為網絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產品聯動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設備，也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是，用戶可以隨時在這個平臺上增加或調整安全功能。

　　UTM技術可以進行改良的信息包檢查，識別應用層信息，命令入侵檢測和阻斷，蠕蟲病毒防護以及高級的數據包驗證機制。這些特性和技術使得IT管理人員可以很容易地控制如Instant Message信息傳輸，BT多線程動態應用下載，Skype等新型軟件的應用，并且阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。同時，設備可以支持動態的行為特征庫更新，更具備7層的數據包檢測能力。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內容效果明顯。但UTM技術必須要有強大的硬件平臺支撐，否則，難以適應當前的網絡性能要求。

　　UTM的應用優勢在于：

　　◆降低安全管理復雜度

　　◆集成的維護平臺

　　◆單一服務體系結構

　　◆集中的安全日志管理

　　◆組合式的安全保護

　　◆應用的靈活性

　　◆良好的可擴展性

　　◆進一步降低成本

　　UTM設備可以減少與安全功能相關的采集，安裝，管理支出，確保企業網絡的連續性，和可用性，為目前流行的安全威脅提供有效的防御。