移动企业网络安全整体解决方案

网络安全整体解决方案够拒绝源路由和ICMP重定向封包控制对系统的访问Firewall能够提供对系统的访问控制如允许从外部访问某些主机，同时禁止访问另外的主机例如，Firewall允许外部访问特定的MailServer和Web Servero集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则能够运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略如在Firewall能够定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件外部用户也只需要经过一次认证即可访问内部网增强的保密性使用Firewall能够阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS记录和统计网络利用数据以及非法使用数据Firewall能够记录和统计经过Firewall的网络通讯，提供关于网络使用的统计数据，而且，Firewall能够提供统计数据，来判断可能的攻击和探测策略执行Firewall提供了制定和执行网络安全策略的手段未设置Firewall时，网络安全取决于每台主机的用户

2、设置Firewall的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）服务访问策略必须是可行的和合理的可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡典型的服务访问策略是允许经过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务Firewall设计策略Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则一般有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许一般采用第二种类型的设计策略

3、Firewall的基本分类包过滤IP包过滤:V源IP地址；V目的IP地址；V TCP/UDP源端口;V TCP/UDP目的端口包过滤路由器存在许多弱点V包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性（手工测试除外）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来V实际运行中，经常会发生规则例外，即要求允许一般情况下禁止的访问经过可是，规则例外使包过滤规则过于复杂而难以管理例如，定义规则-禁止所有到达（Inbound）的端口23连接（telnet）,如果某些系统需要直接Telnet连接,此时必须为内部网的每个系统分别定义一条规则V某些包过滤路由器不支持TCP/UDP源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞如SMTP连接源端口是随机产生的（＞1023）,此时如果允许双向的SMTP连接，在不支持源端口过滤的路由器上必须定义一条规则允许所有＞1023端口的双向连接此时用户经过重新映射端口，能够绕过过滤路由器V对许多RPC（Remoute ProcedureCall服务进行包过滤非常困难由于RPC的Listen口是在主机启动后随机地分配的,要禁止RPC服务，一般需要禁止所有的UDP（绝大多数RPC使用UDP）,如此可能需要允许的DNS连接就会被禁止应用网关为了解决包过滤路由器的弱点，Firewall要求使用软件应用来过滤和传送服务连接（如Telnet和Ftp）这样的应用称为代理服务，运行代理服务的主机被称为应用网关应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性应用网关的优点是V比包过滤路由器更高的安全件V提供对协议的过滤，如能够禁止FTP连接的Put命令V信息隐藏，应用网关为外部连接提供代理V健壮的认证和日志V节省费用，第三方的认证设备（软件或硬件）只需安装在应用网关上V简化和灵活的过滤规则，路由器只需简单地经过到达应用网关的包并拒绝其余的包经过应用网关的缺点在于V新的服务需要安装新的代理服务器V有时需要对客户软件进行修改V可能会降低网络性能V应用网关可能被攻击线路级网关线路级网关提供内部网和外部网连接的中继，但不提供额外的处理和过滤能力Stateful防火墙该类防火墙综合了包过滤防火墙及应用网关的特性能够提供比应用网关更多的连接特性，可是安全性比较应用网关差

4、建设Firewall的原则分析安全和服务需求以下问题有助于分析安全和服务需求V计划使用哪些Internet服务（如http,ftp,gopher）,从何处使用Internet服务（本地网，拨号，远程办公室）V增加的需要，如加密或拔号接入支持V提供以上服务和访问的风险V提供网络安全控制的同时，对系统应用服务牺牲的代价策略的灵活性Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因V Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题V机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险远程用户认证策略V远程用户不能经过放置于Firewall后的未经认证的Modem访问系统V PPP/SLIP连接必须经过Firewall认证V对远程用户进行认证方法培训拨入/拨出策略V拨入/拨出能力必须在设计Firewall时进行考虑和集成V外部拨入用户必须经过Firewall的认证Information Server策略V公共信息服务器的安全必须集成到Firewall中V必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口V为Information server定义折中的安全策略允许提供公共服务V对公共信息服务和商业信息（如email）讲行安全策略区分Firewall系统的基本特征V Firewall必须支持.”禁止任何服务除非被明确允许”的设计策略V Firewall必须支持实际的安全政策，而非改变安全策略适应FirewalloV Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变V Firewall必须支持增强的认证机制V Firewall应该使用过滤技术以允许或拒绝对特定主机的访问V IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP,协议类型，源和目的TCP/UDP口，以及到达和离开界面V Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制如果提供其它的服务如NNTP,http等也必须经过代理服务器V Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接V Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，而且将Information server同内部网隔离V Firewall可支持对拨号接入的集中管理和过滤V Firewall应支持对交通、可疑活动的日志记录V如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞PatchoV Firewall的设计应该是可理解和管理的V Firewall依赖的操作系统应及时地升级以弥补安全漏洞

5、选择防火墙的要点1安全性即是否经过了严格的入侵测试2抗攻击能力对典型攻击的防御能力3性能是否能够提供足够的网络吞吐能力4自我完备能力自身的安全性，Fail-close5可管理能力是否支持SNMP网管6VPN支持7认证和加密特性8服务的类型和原理9网络地址转换能力三.病毒防护技术病毒历来是信息系统安全的主要问题之一由于网络的广泛互联，病毒的传播途径和速度大大加快我们将病毒的途径分为1经过FTP,电子邮件传播2经过软盘、光盘、磁带传播3经过Web游览传播，主要是恶意的Java控件网站4经过群件系统传播病毒防护的主要技术如下1阻止病毒的传播在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件在桌面PC安装病毒监控软件2检查和清除病毒使用防病毒软件检查和清除病毒3病毒数据库的升级病毒数据库应不断更新，并下发到桌面系统4在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装四.入侵检测技术利用防火墙技术，经过仔细的配置，一般能够在内外网之间提供安全的网络保护，降低了网络安全风险可是，仅仅使用防火墙、网络安全还远远不够1入侵者可寻找防火墙背后可能敞开的后门2入侵者可能就在防火墙内3由于性能的限制，防火焰一般不能提供实时的入侵检测能力入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等实时入侵检测能力之因此重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间入侵检测系统可分为两类:V基于主机V基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，而且提供对典型应用的监视如Web服务器应用基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如下图示图2-1入侵检测系统的基本模型第一部分网络安全概述第一章网络安全体系的基本认识自信息系统开始运行以来就存在信息系统安全问题，经过网络远程访问而构成的安全威胁成为日益受到严重关注的问题根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过

1.5万亿美元一安全威胁由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计因此，企业网络可能存在的安全威胁来自以下方面1操作系统的安全性当前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC2防火墙的安全性防火墙产品自身是否安全，是否设置错误，需要经过检验3来自内部网用户的安全威胁4缺乏有效的手段监视、评估网络系统的安全性5采用的TCP/IP协议族软件，本身缺乏安全性6未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制7应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，而且，如果系统设置错误，很容易造成上述模型由四个部分组成:1Passive protocolAnalyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存2Pattern-Matching SignatureAnalysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分3countermeasure执行规定的动作4Storage保存分析结果及相关数据基于主机的安全监控系统具备如下特点1精确，能够精确地判断入侵事件2高级，能够判断应用层的入侵事件3对入侵时间立即进行反应4针对不同操作系统特点5占用主机宝贵资源基于网络的安全监控系统具备如下特点1能够监视经过本网段的任何活动2实时网络监视3监视粒度更细致4精确度较差5防入侵欺骗的能力较差6交换网络环境难于配置基于主机及网络的入侵监控系统一般均可配置为分布式模式:1在需要监视的服务器上安装监视模块agent,分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案2在需要监视的网络路径上，放置监视模块sensor,分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案选择入侵监视系统的要点是:1协议分析及检测能力2解码效率速度3自身安全的完备性4精确度及完整度，防欺骗能力5模式更新速度五.安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络安全扫描工具源于Hacker在入侵网络系统时采用的工具商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持安全扫描工具一般也分为基于服务器和基于网络的扫描器基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议一般与相应的服务器操作系统紧密相关基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力一般该类扫描器限制使用范围IP地址或路由器跳数网络安全扫描的主要性能应该考虑以下方面1速度在网络内进行安全扫描非常耗时2网络拓扑经过GUI的图形界面，可迭择一步或某些区域的设备3能够发现的漏洞数量4是否支持可定制的攻击方法一般提供强大的工具构造特定的攻击方法因为网络内服务器及其它设备对相同协议的实现存在差别，因此预制的扫描方法肯定不能满足客户的需求5报告，扫描器应该能够给出清楚的安全漏洞报告6更新周期提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议安全扫描器不能实时监视网络上的入侵，可是能够测试和评价系统的安全性，并及时发现安全漏洞六.认证和数宇签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现认证技术将应用到企业网络中的以下方面1路由器认证，路由器和交换机之间的认证2操作系统认证操作系统对用户的认证3网管系统对网管设备之间的认证4VPN网关设备之间的认证5拨号访问服务器与客户间的认证6应用服务器如Web Server与客户的认证7电子邮件通讯双方的认证数字签名技术主要用于1基于PKI认证体系的认证过程2基于PKI的电子邮件及交易经过Web进行的交易的不可抵赖记录认证过程一般涉及到加密和密钥交换一般，加密可使用对称加密、不对称加密及两种加密方法的混合UserNaee/Passwosd认证该种认证方式是最常见的一种认证方式，用于操作系统登录、telnetrlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密使用摘要算法的认证Radius拨号认证协议、路由协议OSPF、SNMP SecurityProtocol等均使用共享的Security Key,加上摘要算法MD5进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输市场上主要采用的摘要算法有MD5和SHA-lo基于PKI的认证使用公开密钥体系进行认证和加密该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来后面描述了基于PKI认证的基本原理这种认证方法当前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域该种认证方法安全程度很高，可是涉及到比较繁重的证书管理任务七.VPN技术

1、企业对VPN技术的需求企业总部和各分支机构之间采用internet网络进行连接，由于intemet是公用网络，因此，必须保证其安全性我们将利用公共网络实现的私用网络称为虚拟私用网VPN因为VPN利用了公共网络，因此其最大的弱点在于缺乏足够的安全性企业网络接入到internet,暴露出两个主要危险来自internet的未经授权的对企业内部网的存取当企业经过INTERNET进行通讯时，信息可能受到窃听和非法修改完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性企业网络的全面安全要求保证保密-通讯过程不被窃听通讯主体真实性确认-网络上的计算机不被假冒

2、数字签名数字签名作为验证发送者身份和消息完整性的根据公共密钥系统（如RSA）基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性伪造数字签名从计算能力上是不可行的而且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现通讯双方经过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密Diffie-Hellman密钥由CA进行验证类型技术用途基本会话密钥DES加密通讯加密密钥Deff-Heliman生成会话密钥认证密钥RSA验证加密密钥表1加密模式使用的密钥技术基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比

3、IPSECIPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准IPSec主要提供IP网络层上的加密通讯能力该标准为每个IP包增加了新的包头格式，Authentication HeaderAH及encapsualtingsecurity payloadESPIPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商Security AssociationIpsec包含两个部分1IP securityProtocol proper,定义Ipsec报文格式2ISAKMP/Oakley,负责加密通讯协商Ipsec提供了两种加密通讯手段Ipsec Tunnel:整个IP封装在Ipsec报文提供Ipsec-gateway之间的通讯Ipsec transport:对IP包内的数据进行加密，使用原来的源地址和目的地址Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，而且能够提供专用网络经过Internet加密传输的通道，因此，绝大多数均使用该模式ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级易于管理在为远程拨号服务的Client端，也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙VPN产品能够实现互通八.应用系统的安全技术由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术

1、域名服务Internet域名服务为Internet/Intranet应用提供了极大的灵活性几乎所有的网络应用均利用域名服务可是，域名服务一般为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现,而绝大多数的域名系统均存在类似的问题如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名TP对应关系因此，在利用域名服务时，应该注意到以上的安全问题主要的措施有1内部网和外部网使用不同的域名服务器，隐藏内部网络信息2域名服务器及域名查找应用安装相应的安全补丁3对付Denial-of-Service攻击，应设计备份域名服务器

2、Web Server应用安全Web Server是企业对外宣传、开展业务的重要基地由于其重要性，成为Hacker攻击的首选目标之一Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server经过中间件访问主机系统，经过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源但Web服务器越来越复杂，其被发现的安全漏洞越来越多为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心3Web服务器置于防火墙保护之下2在Web服务器上安装实时安全监控软件3在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统4经常审查Web服务器配置情况及运行日志5运行新的应用前，先进行安全测试如新的CGI应用6认证过程采用加密通讯或使用X.509证书模式7小心设置Web服务器的访问控制表

3、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，而且危害很大加强电子邮件系统的安全性，一般有如下办法1设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站或利用防火墙的电子邮件中转功能所有出入的电子邮件均经过该中转站中转2同样为该服务器安装实施监控系统3该邮件服务器作为专门的应用服务器，不运行任何其它业务切断与内部网的通讯4升级到最新的安全版本

4、操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，而且越流行的操作系统发现的问题越多对操作系统的安全，除了不断地增损失

（二）网络安全的需求

1、企业网络的基本安全需求满足基本的安全要求，是该网络成功运行的必要条件,在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，而且提供跟踪攻击的手段，是本项目需要解决的问题

2、业务系统的安全需求与普通网络应用不同的是，业务系统是企业应用的核心对于业务系统应该具有最高的网络安全措施企业网络应保障:•访问控制，确保业务系统不被非法访问•数据安全，保证数据库软硬件系统的整体安全性和可靠性•入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据•来自网络内部其它系统的破坏，或误操作造成的安全隐患

3、Internet服务网络的安全需求加安全补丁外，还需要1检查系统设置敏感数据的存放方式，访问控制，口令选择/更新2基于系统的安全监控系统Internet服务网络分为两个部分提供网络用户对Internet的访问提供Internet对网内服务的访问网络内客户对Internet的访问，有可能带来某些类型的网络安全如经过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求需要保证信息网络之间安全互联，能够实现网络安全隔离；令对于专有应用的安全服务；今必要的信息交互的可信任性；今能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用；令同时信息网络公共资源能够对开放用户提供安全访问；令能够防范包括/利用Http应用，经过Java Applet、ActiveX以及Java Script形式；，利用Ftp应用，经过文件传输形式；,利用SMTP应用，经过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害；令对网络安全事件的审计；今对于网络安全状态的量化评估；令对网络安全状态的实时监控；其次，对于信息网络内部同样存在安全需求，包括令信息网络中的各单位网络之间建立连接控制手段；令能够满足信息网络内的授权用户对相关专用网络资源访问；今同时对于远程访问用户增强安全管理；令加强对于整个信息网络资源和人员的安全管理与培训

（三）网络安全与网络性能和功能的关系一般，系统安全与性能和功能是一对矛盾的关系如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的可是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生构建网络安全系统，一方面由于要进行认证、加密、监听,分析、记录等工作，由此影响网络效率，而且降低客户应用的灵活性；另一方面也增加了管理费用可是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用全方位的安全体系与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含访问控制经过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前检查安全漏洞经过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效攻击监控经过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、加密通讯主动的加密通讯,可使攻击者不能了解、修改敏记录攻击过程、跟踪攻击源等）感信息认证良好的认证体系可防止攻击者假冒合法用户备份和恢复良好的备份和恢复机制，可在攻击造成损失时,尽快地恢复数据和系统服务多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标隐藏内部信息，使攻击者不能了解系统内的基本情况设立安全监控中心，为信息系统提供安全体系管理、监控,渠护及紧急情况服务

（四）网络安全的管理因素网络安全能够采用多种技术来增强和执行可是，很多安全威胁来源于管理上的松懈及对安全威胁的认识安全威胁主要利用以下途径•系统实现存在的漏洞•系统安全体系的缺陷•使用人员的安全意识薄弱•管理制度的薄弱良好的网络管理有助于增强系统的安全性•及时发现系统安全的漏洞•审查系统安全体系•加强对使用人员的安全知识教育•建立完善的系统管理制度如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了安全管理主要包括两个方面•内部安全管理主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行内部安全管理主要采取行政手段和技术手段相结合的方法•网络安全管理在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改网络层的安全管理能够经过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现第二章网络安全技术概述基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等下面就以上技术加以详细阐述一.虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）交换技术将传统的基于广播的局域网技术发展为面向连接的技术因此，网管系统有能力限制局域网通讯的范围而无需经过开销很大的路由器由以上运行机制带来的网络安全的好处是显而易见的信息只到达应该到达的地点因此、防止了大部分基于网络监听的入侵手段经过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点可是，虚拟网技术也带来了新的安全问题执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置基于MAC的VLAN不能防止MAC欺骗攻击以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题可是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击因此，VLAN的划分最好基于交换机端口但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN网络层通讯能够跨越路由器，因此攻击能够从远方发起IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IP spoofing攻击等二.防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯

1、使用Firewall的益处保护脆弱的服务经过过滤不安全的服务，Firewall能够极大地提高网络安全和减少子网中主机的风险例如，Firewall能够禁止NIS、NFS服务经过，Firewall同时能。