新聞動態
發布時間 : 2021-03-18 10:31:00
發布時間 : 2021-03-18 10:30:48
發布時間 : 2021-03-18 10:29:56
發布時間 : 2021-03-18 10:28:28
快速按鈕
網絡安全
網絡安全
網絡系統安全綜合解決方案
局域網安全解決方案
由于局域網中采用廣播方式,因此,若在某個廣播域中可以偵聽到所有的信息包,黑客就可以對信息包進行分析,那么本廣播域的信息傳遞都會暴露在黑客面前。
網絡分段
網絡分段是保證安全的一項重措施,同時也是一項基本措施,其指導思想在于將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。
網絡分段可分為物理分段和邏輯分段兩種方式:物理分段通常是指將網絡從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網絡的物理分段。
邏輯分段則是指將整個系統在網絡層(ISO/OSI模型中的第三層)上進行分段。例如,對于TCP/IP網絡,可把網絡分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接,利用這些中間設備(含軟件、硬件)的安全機制來控制各子網間的訪問。
在實際應用過程中,通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。
VLAN的實現
虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此,網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。以太網從本質上基于廣播機制,但應用了交換機和VLAN技術后,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
由以上運行機制帶來的網絡安全的好處是顯而易見的:信息只到達應該到達的地點。因此,防止了大部分基于網絡監聽的入侵手段。通過虛擬網設置的訪問控制,使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。但是,虛擬網技術也帶來了新的問題:執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象?;诰W絡廣播原理的入侵監控技術在高速交換網絡內需要特殊的設置?;贛AC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。
VLAN之間的劃分原則
VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN:可以將總部中的服務器系統單獨劃作一個VLAN,如數據庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分VLAN,如將領導所在的網絡單獨作為一個Leader VLAN(LVLAN),其它司局(或下級機構)分別作為一個VLAN,并且控制LVLAN與其它VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接采用交換技術實現,VLAN與VLAN之間采用路由實現。由于路由控制的能力有限,不能實現LVLAN與其他VLAN之間的單向信息流動,需要在LVLAN與其他VLAN之間設置一個NetScreen防火墻作為安全隔離設備,控制VLAN與VLAN之間的信息交換。
廣域網安全解決方案
由于廣域網采用公網傳輸數據,因而在廣域網上進行傳輸時信息也可能會被不法分子截取。如分支機構從異地發一個信息到總部時,這個信息包就可能被人截取和利用。因此在廣域網上發送和接收信息時要保證:
除了發送方和接收方外,其他人是不可知悉的(隱私性);
傳送過程中不被篡改(真實性);
發送方能確信接收方不是假冒的(非偽裝性);
發送方不能否認自己的發送行為(非否認)。
如果沒有專門的軟件對數據進行控制,所有的廣域網通信都將不受限制地進行傳輸,因此任何一個對通信進行監測的人都可以對通信數據進行截取。這種形式的"攻擊"是相對比較容易成功的,只要使用現在可以很容易得到的"包檢測"軟件即可。如果從一個聯網的UNIX工作站上使用"跟蹤路由"命令的話,就可以看見數據從客戶機傳送到服務器要經過多少種不同的節點和系統,所有這些都被認為是較容易受到黑客攻擊的目標。一般地,一個監聽攻擊只需通過在傳輸數據的末尾獲取IP包的信息即可以完成。這種辦法并不需要特別的物理訪問。如果對網絡用線具有直接的物理訪問的話,還可以使用網絡診斷軟件來進行竊聽。對付這類攻擊的辦法就是對傳輸的信息進行加密,或者是至少要對包含敏感數據的部分信息進行加密。
加密技術
加密型網絡安全技術的基本思想是不依賴于網絡中數據路徑的安全性來實現網絡系統的安全,而是通過對網絡數據的加密來保障網絡的安全可靠性,因而這一類安全保障技術的基石是使用放大數據加密技術及其在分布式系統中的應用。
數據加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。 對稱型加密使用單個密鑰對數據進行加密或解密,其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難,主要是密鑰管理困難,從而使用成本較高,保安性能也不易保證。這類算法的代表是在計算機專網系統中廣泛使用的DES算法(Digital Encryption Standard)。
不對稱型加密算法也稱公用密鑰算法,其特點是有二個密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有二個密鑰,它特別適用于分布式系統中的數據加密,在Internet中得到廣泛應用。其中公用密鑰在網上公布,為數據對數據加密使用,而用于解密的相應私有密鑰則由數據的接收方妥善保管。
不對稱加密的另一用法稱為"數字簽名"(digital signature),即數據源使用其私有密鑰對數據的求校驗和(checksum)或其它與數據內容有關的變量進行加密,而數據接收方則用相應的公用密鑰解讀"數字簽名",并將解讀結果用于對數據完整性的檢驗。在網絡系統中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法(Digital Signature Algorithm)。不對稱加密法在分布式系統中應用需注意的問題是如何管理和確認公用密鑰的合法性。
不可逆加密算法的特征是加密過程不需要密鑰,并且經過加密 的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合于分布式網絡系統上使用,但是其加密計算工作量相當可觀,所以通常用于數據量有限的情形下的加密,例如計算機系統中的口令就是利用不可逆算法加密的。近來隨著計算機系統性能的不斷改善,不可逆加密的應用逐漸增加。在計算機網絡中應用較多的有RSA公司發明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準(SHS-Secure Hash Standard)。
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。前者通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外,通過適當的密鑰管理機制,使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。SKIP協議即是近來IETF在這方面的努力之一。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,例如使用Kerberos服務的telnet、NFS、rlogion等,以及用作電子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
數字簽名和認證技術
認證技術主要解決網絡通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用于通信過程中的不可抵賴要求的實現。
認證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
User Name/Password認證
該種認證方式是最常用的一種認證方式,用于操作系統登錄、telnet、rlogin等,但此種認證方式過程不加密,即password容易被監聽和解密。
使用摘要算法的認證
Radius(撥號認證協議)、OSPF(路由協議)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)進行認證,由于摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能技術出共享的security key,敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。
基于PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。
該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
數字簽名
數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對,作為驗證發送者身份和消息完整性的根據,CA使用私有密鑰技術其數字簽名,利用CA提供的公共密鑰,任何人均可驗證簽名的真實性。偽造數字簽名從計算機能力上不可行的。并且,如果消息隨數字簽名一同發送,對消息的任何修改在驗證數字簽名時都將會被發現。
通訊雙方通過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰,并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
基于此種加密模式,需要管理的密鑰數目與通訊者的數量為線性關系。而其它的加密模式需要管理的密鑰數目與通訊者數目的平方成正比。
VPN技術
網絡系統總部和各分支機構之間采用公網網絡進行連接,其最大的弱點在于缺乏足夠的安全性。企業網絡接入到公網中,暴露出兩個主要危險:
來自公網的未經授權的對企業內部網的存取。
當網絡系統通過公網進行通訊時,信息可能受到竊聽和非法修改。 完整的集成化的企業范圍的VPN安全解決方案,提供在公網上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
VPN技術的原理:
VPN系統使分布在不同地方的專用網絡在不可信任的公共網絡上安全的通信。它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。其處理過程大體是這樣:
要保護的主機發送明文信息到連接公共網絡的VPN設備;
VPN設備根據網管設置的規則,確定是否需要對數據進行加密或讓數據直接通過。
對需要加密的數據,VPN設備對整個數據包進行加密和附上數字簽名。
VPN設備加上新的數據報頭,其中包括目的地VPN設備需要的安全信息和一些初始化參數。
VPN 設備對加密后的數據、鑒別包以及源IP地址、目標VPN設備IP地址進行重新封裝,重新封裝后的數據包通過虛擬通道在公網上傳輸。
當數據包到達目標VPN設備時,數據包被解封裝,數字簽名被核對無誤后,數據包被解密。
IPSec
IPSec作為在IPv4及IPv6上的加密通訊框架,已為大多數廠商所支持。
IPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security Association)。
IPSec包含兩個部分:
IP security Protocol proper,定義IPSec報頭格式。
ISAKMP/Oakley,負責加密通訊協商。
IPSec提供了兩種加密通訊手段:
IPSec Tunnel:整個IP封裝在Ipsec-gateway之間的通訊。
Ipsec transport:對IP包內的數據進行加密,使用原來的源地址和目的地址。
IPsec Tunnel 不要求修改已配備好的設備和應用,網絡黑客不能看到實際的通訊源地址和目的地址,并且能夠提供專用網絡通過Internet加密傳輸的通道,因此,絕大多數廠商均使用該模式。
ISAKMP/Oakley使用X.509數字證書,因此,使VPN能夠容易地擴大到企業級。(易于管理)。
在為遠程撥號服務的Client端,也能夠實現IPsec的客戶端,為撥號用戶提供加密網絡通訊。由于IPsec即將成為Internet標準,因此不同廠家提供的防火墻(VPN)產品可以實現互通。
如何保證遠程訪問的安全性
對于從外部撥號訪問總部內部局域網的用戶,由于使用公用電話網進行數據傳輸所帶來的風險,必須嚴格控制其安全性。首先,應嚴格限制撥號上網用戶所訪問的系統信息和資源,這一功能可通過在撥號訪問服務器后設置NetScreen防火墻來實現。其次,應加強對撥號用戶的身份認證,使用RADIUS等專用身份驗證服務器。一方面,可以實現對撥號用戶帳號的統一管理;另一方面,在身份驗證過程中采用加密的手段,避免用戶口令泄露的可能性。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。一種方法是使用PGP for Business Security,對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN(虛擬專網)技術。VPN在提供網間數據加密的同時,也提供了針對單機用戶的加密客戶端軟件,即采用軟件加密的技術來保證數據傳輸的安全性。