听dj战歌,就上傲气战歌网!2015年传奇家族玩家最喜爱的家族战歌网
战歌推荐:战歌网 战歌网dj Mc战歌网 DJ战歌网下载 激情战歌-冰雪战歌网 客服Q:350317
新闻搜索:

———— 网络安全教程————

作者:     来源:    发表时间:2011-04-07 18:28

———— 网络安全教程————



1楼: 浅论网络防火墙技术


2楼: 如何定制企业防火墙安全机制


3楼: 防火墙中的状态检测技术


4楼: 防火墙技术发展思路初探


5楼: 实现防火墙的主要技术


6楼: 复合防火墙技术的新演进


7楼: 光纤纵差保护中数据同步的误差分析


8楼: 谈基于网络和基于主机的漏洞扫描


9楼: 基于PKI的数字签名技术基础知识


10楼: 教你一招:让无线上网安全到底


11楼: 网络安全之彻底认识加密技术


12楼: SIP与P2P的技术携手能否创造奇迹?


13楼: 技术时评:全面总结安全的几个瞬间一


14楼: 技术时评:全面总结安全的几个瞬间二


15楼: 网络服务器的通用及专用的保护方法


16楼: 家庭无线网络——安全七点小技巧

17楼: 分析解决方案以确保无线网络安全


18楼: 网络安全技术的局限与未来发展趋势



[发帖际遇]: AYU琳琳采蘑菇时遇见AYU群魔,惊吓过度,住院花费翱宇币100两.

浅论网络防火墙技术



随着网络技术的发展,因特网已经走进千家万户。因而,网络的安全将成为人们最为关注的问题。目前,保护内部网免遭外部入侵的比较有效的方法为防火墙技术。
  
  防火墙的基本概念
  
  防火墙是一个系统或一组系统,它在企业内网与因特网间执行一定的安全策略。
  
  一个有效的防火墙应该能够确保:所有从因特网流入或流向因特网的信息都将经过防火墙;所有流经防火墙的信息都应接受检查。
  
  因特网防火墙的功能为:通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,应做日志登记;提供网络地址转换(NAT)功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙可查询或登记因特网的使用情况,可以确认因特网连入的代价、潜在的带宽瓶须,以使费用的耗费满足企业内部财政模式;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务,使因特网用户仅可以访问此类服务,而禁止对保护网络的其他系统的访问。
  
  防火墙的分类、作用
  
  现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
  
  包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
  
  代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是,内外网间不存在直接的连接,而且代理服务器提供日志(Log)和审计(Audit)服务。
  
  复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机(Bastion Host)提供代理服务。
  
  各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙(Dua1-Homed Host Firewall),它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙( Screened Host Firewall)是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器(Encryptinn Router),加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
  各类防火墙的基本功能、作用与不足
  
  典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关(或代理服务器)以及链路层网关。
  
  1、包过滤路由器
  
  包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
  
  与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCPUDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
  
  **于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击(包中包含一个错误的内部系统源IP地址,经掩饰后变成一个似乎来自于一个可以信任的内部主机,此时的过滤规则为:当一个具有内部源IP地址的包到达路由器的任意一个外部接口时,将此包丢弃。)、源路由攻击、细小碎片攻击(入侵者使用IP**技术将包划分成很小的一些碎片,然后将TCP头的信息插入包的一个小碎片中,寄希望过滤规则为丢弃协议类型为TCP而IP帧偏移量为1的所有包)等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
  
  包过滤路由器的优点,大多数防火墙配置成无状态的包过滤路由器,因而实现包过滤几乎没有任何耗费。另外,它对用户和应用来说是透明的,每台主机无需安装特定的软件,使用起来比较方便。
  
  包过滤路由器的局限性在于定义包过滤是个复杂的工作,网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解:面对复杂的过滤需求,过滤规则将是一个冗长而复杂、不易理解和管理的集合,同样也很难测试规则的正确性;任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击;随着过滤数目的增加,将降低路由器包的吞吐量,同时耗费更多CPU的时间而影响系统的性能;再者IP包过滤难以进行行之有效的流量控制,因为它可以许可或拒绝一个特定的服务,但无法理解一个特定服务的内容或数据。
  
  3、应用层网关
  
  应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码(一个代理服务),同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关(bastion host)。
  
  应用层网关安全性的提高是以购买同关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
  
  应用层网关的好处,在于它授予网络管理员对每一个服务的完全控制权,由代理服务限制了命令集合和哪一台内部主机支持相应的服务。同时,网络管理员对支持哪些服务可以完全控制。另外,应用层网关支持强的用户认证、提供详细的日志信息、以及较包过滤路由器更易于配置和测试的过滤规则。
  
  当然,应用层网关的最大的局限性在于它需要用户或者改变其性能,或者在需要访问代理服务的系统上安装特殊的软件。
  
  3、链路层网关
  
  链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
  基于防火墙构建安全网络的基本原则
  
  在进行防火墙设计过程中,网络管理员应考虑的问题为:防火墙的基本准则:整个企业网的安全策略;防火墙的财务费用的预算;以及防火墙的部件或构建块。
  
  1、防火墙的基本准则
  
  防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则:
  
  其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。
  
  其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证私有网安全性的难度。
  
  2、企业网的安全策略
  
  在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
  
  3、防火墙的费用
  
  简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
  
  至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
  
  因而,防火墙的配备是需要相当的费用,如何以最小的费用来最大限度地满足企业网的安全需求,这将是企业网决策者应该周密考虑的问题。
  
  结束语
  
  当然,防火墙本身也有其局限性,即不经过防火墙的入侵,防火墙则是无能为力的,如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户,则会造成安全隐患。此时,为了保证安全性,防火墙代理服务器在使用到ISP的SLIP和PPP连接时,需要附加一些新的权限条件。同时,硬件方式构建的防火墙,如: PIX 520,其不够灵活的问题也是固化防火墙的共同问题,所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取相应的安全策略。



[发帖际遇]: AYU琳琳买了一辆小破车, 花了翱宇币6两

如何定制企业防火墙安全机制



前言:
    随着互联网发展日渐蓬勃,由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施,付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时,除了产品的安全性与执行效能外,另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等,缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时,如果企业没有一个良好的安全防范机制,企业内部网络资源将不堪一击,这不是在危言耸听。
  
    1、防火墙来是怎样防止非法者的入侵
    防火墙是Internet上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制;防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且唯有符合安全政策定义的封包,才能通过防火墙;既然防火墙是Internet/Intranet相关技术服务进出的唯一信道,要正确的使用防火墙就必须先了解防火墙的技术为何?安全性是否符合各种应用服务的需求?认证方式有哪些及网络传输资料的加解/密功能(VPN)方式?最重要的是厂商能否提供完整且长期的服务与技术支持能力?
  
    2、目前防火墙的技术
    防火墙的安全性与研发的技术息息相关,现在市场上的防火墙主要的技术可分为封包过滤(Packet Filter)、代理应用闸信道(Application Gateway/Proxy)及多阶层状态检查(Multilayer Stateful Inspection)等,说明如下:
    (1)封包过滤
    就如同Router的技术,在网络层具备良好的效能和延伸能力,但只能提供Ip地址的过滤功能;封包过滤可知道每一个Ip的来源地址,但不知道使用者为何人?同样的,它会检测网络层的封包,而不会去管是什么应用程序,所以封包过滤是防火墙中功能最不安全的,因为他们不会监测到应用程序,无法知道封包传送内容,很容易被非经授权的使用者侵入。
    (2)代理应用闸信道
    此为最传统的防火墙技术,任何进出Internet的应用服务都必须经过防火墙的代理后,再转送到目的地;藉由代理的过程中,来检测各阶层的应用服务,但是这样做却破坏主从架构模式。此外,此种技术只支持有限制的应用程序,每一个服务或应用程序都须要专属的Proxy,因此有新的Internet服务时,使用者必须等待厂商开发新的代理应用程序才能使用;由于每一种代理(Proxy)需要不同的应用程序或daemon来执行,会因为过多的资料复制和内容交换会造成执行效能不佳。
    (3)多阶层状态检查
    这是一种新的防火墙专利技术,结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫,然后防火墙会从全部的应用层级中萃取出跟状态有关的数据,而且放在动态状态表来判续后续的封包;提供了应用层的资料内容安全检测,而且不会破坏主从架构模式,可以在资料保全和流量间作智能的控制,具有最大的扩展及延伸能力。
  
  3、定制安全机制
    (1)存取控制 - 定义安全政策
    存取控制可定义使用者或应用服务的对象进/出企业网络,以保护企业内部资源;例如:一个企业组织只可决定于上班时间限制存取Internet特定的网站,只允许于午餐时间存取,或当系统在执行备援时,禁止存取重要的服务者等。
    执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置,并可判断规则的冲突性。防火墙除必须提供安全的存取控制外,还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。
    (2)认证机制
    防火墙认证的应用为当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全的确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内,并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。
    一般防火墙所提供的认证机制与方法多寡不一,以Check Point FireWall-1为例,提供使用者的认证:针对FTP、TELNET、HTTP和RLOGIN提供透通的使用者认证;客户端认证:可针对特定IP地址的使用者授予存取的权限;透通的会期认证:提供以会期为基础的任何一种应用服务的认证等.
  认证的机制包括固定的密码,如OS及防火墙的密码;以及动态的One Time Password的密码,如S/key、SectrID、RADIUS等。如要使用固定的密码认证,建议使用防火墙的密码较安全,但是固定密码还是容易被监听,最好是使用One Time Password的方式,以防止被窃取。
    (3)内容的安全性
    防火墙所提供的内容安全能力,可达到最高层次的应用服务协议检测,以保护使用者企业资源。以Check Point FireWall-1而言,包含计算机病毒和恶意Java与ActiveX Applets的内容安全性检查,经由图形的接口可集中管理。另外提供开放平台的安全企业连接(OPSEC)架构的API,可整合第三者厂商内容过滤的应用。主要的应用如下:
    A、 URL过滤
    可维护公司宝贵的网络频宽和增加网络另一层次的控制,允许网络管理者存取Internet特定网页,并可确保员工只能下传和存取的网页信息。
    B、 电子邮件的支持
    通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后,隐藏一个外出的邮件地址,或可隐藏内部的网络结构与真正的内部的使用者,或丢弃超过所给与邮件信息的容量等。
  C、 FTP的支持
    FTP指令(如PUT/GET)的内容安全性,可限制文件名称和档案反病毒检查等。
    (4)网络地址转译
    网络地址转译对Internet而言,可隐藏内部的网络地址,克服了IP地址数量的限制,可维护一个企业的内部地址的完整性,对映内部非注过册IP地址以一个合法有效的IP对外,可完整存取Internet。防火墙提供两种操作模式:
    A、 动态的模式
    当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源,可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接,经过防火墙与单一个合法的IP地址对外。
    B、静态的模式
    可应用在一个网络IP地址很早就被分派使用和你需要提供「真正的」地址,以
  便人们在Internet能存取他们,静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。
    (5)加密(虚拟私人网络)
    私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较,优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中,公司的信息可能在网际网络传输过程中遭受窃听与篡改,可利用加密功能在Internet上建立安全的通讯频道,可确保在公司内部的资源具备完整的隐私性、真实性与资料完整性。
    由于每一家的防火墙加密机制大都不同,在标准IPSec的加密未完全产品化之前, 彼此之间的整合性还是有问题。而加密软件的出口至今还是受美国的限制,一般商业的使用维持40Bits,金融项目申请可达56Bits。VPN可应用在远程使用者与防火墙之间及防火墙与防火墙之间的加解密。
  (6)产品的后续支持及厂商的技术能力
    Internet有新的安全产品出现,就有人会研究新的破解方法,所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾,也应该要有众多的使用者所建立的口碑为防火墙作见证。现今国内防火墙产品大部分是代理国外的软件,搭配硬件出售,很多防火墙的代理商都是销售单一防火墙产品,无法提供完整的安全解决方案,因企业内部有Intranet、Database等软件,如厂商无法提供整体的技术与安全政策,将会带给使用者更多的梦魇。所以在选购防火墙产品,你最好参考一下业界的评语、实际的安装经验或实地测试。
    (7)内部人员考核与训练
    这部分的安全政策属于人员安全的管理,主要目的在降低人员使用信息或操作信息设备时所可能发生的错误,如滥用、窃取、欺骗、遗失等问题。要避免前述的情况发生,首先应该从人员背景的调查与考核作起,尤其针对一些较敏感的信息之使用,应慎选适当人员来负责。其次,企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解。因此,最佳的方法,便是赋予人员应有的信息安全责任,并通过日常的信息安全教育训练来达到此一目的。除了以各种方式公布安全政策外,企业可以部门为单位,实施信息安全养成教育,由负责信息安全事宜的同仁来担任,解释企业信息安全政策的内容,告诉使用平时应该注意哪些细节,了解怎么做、什么事可以做、什么事不可以做。举例来说,有关计算机帐号的管理政策中明定,员工计算机中毒时,应该实时通知信息部门人员协助处理,并作详细的回报与记录,以避免计算机病毒扩散,造成企业内部更严重的损失。像这样的政策,如果只是公布,而没有对员工作适当的教育训练,一旦真的发生中毒的事件,必定是手忙脚乱,无法顺利排解问题,相反的,只会造成更多的问题。



[发帖际遇]: AYU琳琳酒后驾驶, 被警察逮住罚款翱宇币10两.

防火墙中的状态检测技术



状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
  
    先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括:
  
    通信信息:即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
  
    通信状态:即以前的通信信息。对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。这里,对于UDP或者RPC等无连接的协议,检测模块可创建虚会话信息用来进行跟踪。
  
    应用状态:即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。
  
    操作信息:即在数据包中能执行逻辑或数学运算的信息。状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略

[发帖际遇]: AYU琳琳发帖积极努力, 获得本论坛奖金翱宇币40两.

防火墙技术发展思路初探

目前在防火墙业界对防火墙的发展普遍存在着两种观点,即所谓的胖瘦防火墙之争。一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职工作,可采取多家安全厂商联盟的方式来解决;另一种观点认为,把防火墙做得尽量的胖,把所有安全功能尽可能多地附加在防火墙上,成为一个集成化的网络安全平台。
  
   从概念上讲,所谓“胖”防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,从而成为用户网络的一个安全平台;而所谓“瘦”防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安全解决方案,则采用多家安全厂商联盟的方式来实现。
  
   “胖”的技术路线
  
   “胖”防火墙在保证基本功能的前提下,不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案,它的优点在于可以满足用户绝大部分的网络安全需求。
  
   防火墙最开始也是一个单独的设备与概念,它和VPN、IDS、防病毒等都是同时并立的,但随着客户需求的不断变化,在大而全的思想引导下,防火墙慢慢集成了VPN,集成了IDS,甚至集成了防病毒网关。理论上,防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护,但由于大多数中小企业的用户并非安全专家,更不可能7×24 小时监视安全报告并作出响应,因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。
  
   另外,对于一般的客户来说,分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担,而高度集成的IDP系统令用户大大减少了同类支出并大大增加了效能,因此,市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。
  
   但是,这种“胖”防火墙目前更多地存在于理论上,实际进行产品化并已成功应用的并不多。“胖”防火墙追求的是一站式服务,目前它只适应中小型企业,尤其是低端用户。他们出于经济上的考虑以及管理上的成本,更主要的是出于安全的实际需求,希望一个设备可以为这种小型网络实现整体安全防护,所以对这种大而全的“胖”东西非常感兴趣。
  
   “胖”防火墙的缺点也是很明显的,最突出的就是性能问题,只能着眼于小规模的网络,因为它强制将边界安全集中在单一控制点,本有性能瓶颈之忧;在性能瓶颈点增加IDS、AV等模块,又会加剧瓶颈效应;同时,附加模块将增加安全策略规则数目,也将加剧防火墙性能指标恶化(随规则增加,防火墙性能指标将成倍数下降);另外,附加模块不专业,功能不全面。很多厂家在初步定义产品时,都想做成“胖”防火墙,既有包过滤、又有代理,同时包含了入侵检测和防病毒,但是做着做着,就慢慢瘦下来了。况且单一产品功能多,也导致可靠性和安全性的降低;
  
   集成化不应仅仅是产品的简单叠加,“胖”防火墙从概念上讲是可以的,但从技术实现上讲,有许多实际问题,可能造成的结果就是多而不精。
  
   “瘦”的价值定位
  
   一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用**的安全设备,并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能,“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。
  
   针对这类用户,为了要满足多种安全需求,安全厂商在设计安全解决方案时,通常会考虑以安全管理为核心,以多种安全产品的联动为基础,如防火墙与IDS和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视,不需要人工判断入侵事件,不需要预先设置大量的阻断规则,只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中,而IDS 系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则,从而自动为用户带来安全的信息环境。
  
   许多有实力的厂商在不断推出“瘦”防火墙等专业安全产品的同时,开发并推出整体安全管理解决方案——信息安全管理平台,如Check Point公司的OPSEC Manager、联想集团的LeadSec Manager等。
  
   安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制、关联响应机制,能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台,能够配置IDS与防火墙、防病毒系统之间联动策略;当IDS检测到蠕虫病毒事件时,网络中的防火墙和防毒系统马上即可收到事件通报;于是防火墙采取行动,封堵病毒传播通道,防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止,并被消灭在一个有限的网络范围内。
  
   应用安全管理平台,可以使“瘦”防火墙等专业安全产品协同工作、关联响应,从而全面提高企业整体安全风险防范能力,这也是“瘦”防火墙得到越来越多客户青睐的重要原因。
  
   当然,接口、联动、管理需要灵活的开放性和可扩展性。如果配合不当,出现红鞋与绿裤的组合,那呈现给用户的恐怕就不仅是俗气了。
  
   “胖、瘦”相辅相成
  
   从本质上讲,“胖、瘦”防火墙没有好坏之分,只有需求上的差别。低端的防火墙是一个集成的产品,它可以具有简单的安全防护功能,还可以具有一定的IDS功能,但一般不会集成防病毒功能。而中高端的防火墙更加专业化,安全和访问控制并重,主要对经过防火墙的数据包进行审核,安全会更加深化,对协议的研究更加深入,同时会支持多种通用的路由协议,对网络拓扑更加适应,VPN会集成到防火墙内,作为建立广域网安全隧道的一种手段,但防火墙不会集成IDS和防病毒,这些还是由专门的设备负责完成。
  
   而用户又如何看待呢?他们关注只有两个方面:一是他们需要防火墙,二是他们需要其它的安全,但许多大的行业用户一旦进行网络安全设计,一般会进行较系统的规划,他们可能会将IDS、防火墙、防病毒等分开考虑、统一规划(也许他们的资金更充裕)。这个现象类比到“胖”、“瘦”防火墙来说,相当于这两种墙都有着自己的市场。随着技术的发展,“胖、瘦”防火墙将出现部分融合转化的趋势,而这种融合正是推动安全保障体系演进与安全产品形态演绎的重要力量。
  
   无论“胖”还是“瘦”,任何一种防火墙只是为网络通信或者是数据传输提供更有保障的安全性,但是我们也不能完全依赖于防火墙。防火墙技术更多是在对报文包头的处理,而IDS技术和防病毒技术更多是对报文负载的处理,VPN技术是加密流量,还需要Honeynet、Forensics技术等。
  
   用户的价值取向
  
   安全业界不断出现新的概念和新的产品,作为最终使用者和受益者—用户来说,在选购的时候难免会有困惑:该如何避免来自方方面面的暗示和诱导呢?恐怕明确需求,把握实际是唯一的选择。当然,在选择的过程中,专家和厂商的经验需要借鉴,也是必不可少的。通过不断地沟通和学习,企业对自身需求的理解和对安全的认识也会与时俱进的。
  
   选择防火墙,最为关键的自然是要了解自身的特点。以IT的眼光来看,信息安全的重要程度有两个层面,一个层面是指所有企业所共有的信息系统体系中,何者为重、何者次之;一个层面则是指具体到企业信息系统,也需要划分轻重缓急,在这个层面上主要表现为企业所属的行业所共有的特点。
  
   第一个层面与企业的发展。程度有关发展中的中小企业由于处于不稳定期,对企业发展最为重要的应该是业务信息资源(包括客户信息、技术信息、市场信息等),其次是财务信息,再次是其他信息。而处于稳定期的大中型企业,更重视企业的均衡发展,特别是注重以人为本的信息资源,对管理、流程、人事、企业文化的注重,将会接近对企业业务和财务信息的重视程度。
  
   第二个层面上的意义在于行业特点决定了信息安全系统的不同模式。防火墙做为一个网络安全设备,它必须与应用环境紧密地结合起来,其应用环境会变得更为全面与复杂,需要着重思考防火墙会用在什么环境中,这些应用环境又对防火墙提出了什么样的要求,因此防火墙市场会进一步细分。更值得关注的是,防火墙根据相应用户群的价格承受能力进行精致的定价。其中主打中小型企业市场的产品更强调性价比;从产品的角度讲,根据不同的产品系列、核心技术以及解决方案,同样会有相应细分的价格方案。用户可以在安全定制的基础上,实现“安全DIY”,只有理性、务实发展,才能成为市场上有竞争力的品牌。
  
   总结而言,我们进行安全规划的思路应该是这样一条线:确定企业自身特点—确定信息安全需求—确定企业所能负担的成本—确定各个层次的具体措施—将成本与实施手段挂钩—平衡信息安全需求与投入之间的差异—制订具体的实施计划—进行实施考察与调整。
  
   需求、成本、实施手段,一个都不能少。
  
   构建联动一体的体系
  
   没有绝对的“胖”和绝对的“瘦”,应该收敛目前市场上“胖防火墙”和“瘦防火墙”这两个极端观点。



[发帖际遇]: AYU琳琳获得本周补贴翱宇币77两.

实现防火墙的主要技术

防火墙的实现从层次上大体上可以分两种:包过滤和应用层网关。
  
   包过滤 是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、 源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。现在也出现了一种可以分析报文数据区内容的智能型报文过滤器。
  
   报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
  
   报文过滤的弱点可以用应用层网关解决。在应用层实现防火墙,方式多种多样,下面是几种应用层防火墙的设计实现。
  
   1、应用代理服务器(Application Gateway Proxy)
  
   在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时,必须先在防火墙上经过身份认证。通过身份认证后,防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中,防火墙可以限制用户访问的主机、访问时间及访问的方式。同样,受保护网络内部用户访问外部网时也需先登录到防火墙上,通过验证后,才可访问。
  
   应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
  
   2、回路级代理服务器
  
   即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,所以,回路级代理服务器通常要求修改过的用户程序。
  
   套接字服务器(Sockets Server)就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时,在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址,经过确认后,套服务器才与外部的服务器建立连接。对用户来说,受保护网与外部网的信息交换是透明的,感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
  
   3、代管服务器
  
   代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上,使它同时充当服务器,对外部的请求作出回答。与应用层代理实现相比,代管服务器技术不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址,提高了安全性。
  
   4、IP通道(IP Tunnels)
  
   如果一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IP Tunnels来防止Internet上的黑客截取信息,从而在Internet上形成一个虚拟的企业网。
  
   5、网络地址转换器(NAT Network Address Translate)
  
   当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法Internet IP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主机的IP地址,提高了安全性。
  
6、隔离域名服务器(Split Domain Name Server )
  
   这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离,使外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况,这样可以保证受保护网络的IP地址不被外部网络知悉。
  
7、邮件技术(Mail Forwarding)
  
   当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。这时防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。

复合防火墙技术的新演进


以往的复合防火墙主要是通过将各类技术(如包过滤、应用网关、服务代理和状态检测等)组合来形成,最新的复合防火墙技术则从软件、系统防护的层面上提出,因此更符合现代网络安全市场的要求。
  
   目前的防火墙主要有包过滤型、应用网关型、服务代理型和状态检测型等几种,其中包过滤型防火墙最为普遍。许多行业用户除希望防火墙产品具有一般的防护功能外,还希望它能提供其他功能,如防病毒、入侵检测、认证、加密、远程管理、代理等。为此,许多厂商提出了复合防火墙的概念:将多种应用功能组合在一起形成功能强大的复合防火墙。现在市面上绝大多数复合防火墙都只是技术复合而成,但随着网络应用的不断增多和变化,传统的复合防火墙在许多场合已不能满足用户的要求,因为它是以牺牲效率为代价,这可能是它最大的弊病,也是用户不能接受的。有鉴于此,一些厂商便提出了新型复合防火墙的概念,它包括软件、系统防护2个层面,是能满足现代网络安全需求的技术。
  
   防火墙是软件
  
   新型的复合型防火墙使用了状态检测包过滤、应用代理等多种先进的安全技术。先进的状态包过滤技术可以有效地对信息流进行安全过滤,避免了用户的非法登录。采用多穴主机结构提高了对网络的保护能力,支持多网络端口以及多LAN的管理实现了内部私有网络的安全划分。当然,动态NAT功能和端口重定向也是复合型防火墙具备的。内置的入侵检测系统能够根据设定的规则检测出端口扫描、源路由攻击、IP碎片攻击及DoS、DDoS等多种攻击行为,保障了网络安全。另外,通过网络接口、IP地址、协议进行带宽管理可以实现对IP地址及特殊服务进行带宽控制,确保带宽合理分配。一些新型复合防火墙,如首创前锋的红旗防火墙还具有基于Web的管理机制,不需专门的管理软件就可在不同地方进行管理控制
  
   防火墙最终是系统
  
   采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。防火墙的配备需要相当的费用,如何以最小的费用来最大限度地满足企业网用户的安全需求是企业网决策者应该周密考虑的问题。
  
   从另外一个层面来说,即使是最先进的防火墙,如果没有良好的管理,其本身也有很大的危险性,比如对不经过防火墙的入侵,防火墙是无能为力的。同时,硬件方式构建的防火墙不够灵活,所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够的,应该根据实际需求采取相应的安全策略,而这不仅仅是软件或者硬件所能完成的,它还需要优良的权限设计和复杂细心的管理,这些都需要做大量的需求分析、按需定制以及持续的售后培训才能达到,所以许多用户常常将防火墙的采购直接放入一个系统集成方案中,这样可以通过协同工作来降低包括采购、整合和服务的成本。

光纤纵差保护中数据同步的误差分析



1 引言
  随着光纤数字通信技术的日益发展及其在电力系统中的逐步应用,光纤纵差保护以其原理简单、性能可靠的优点在高压、超高压输电线路中逐步得到广泛的应用。对于光纤纵差保护装置而言,主要有两大问题必须解决:数据的传输问题和数据的同步问题。
  
  对于数据的同步问题,目前各生产厂家通常采用以下几种解决方案[1]:
  
  (1)采样数据修正法;
  
  (2)采样时刻调整法;
  
  (3)参考相量同步法;
  
  (4)GPS同步法。
  
  其中,前两种解决方案都是基于光纤通道收、发延时相等的“等腰梯形算法”(即乒乓算法)。后两种则与通道无关,但参考相量法受输电线路参数和电气量测量误差的影响,其精度不能得到保证;GPS同步法依赖于GPS对时,可以达到相当高的精度,但它会受到自然环境和社会环境等因素的制约,并且需要相应的硬件支持。由于继电保护装置的特殊性,该方法不能作为保护装置唯一的同步方法。
  
  由上可知,采用不同的同步方法会有不同的同步误差源产生。随着电力系统通信网络的日益完善,自愈环网或可变路径的光纤通道逐渐增多。在这种情况下,对每一帧数据都进行“梯形算法”的数据修正法显然已不合适。采用采样时刻调整法能够在同步后的一段时间内不必重新调整同步,这一时间的长短取决于两侧保护装置采样时钟的相对漂移情况。
  
  在同步建立期间,光纤通道出现收、发延时不对称的情况时,采用梯形算法计算出的两侧同步时刻会有一个固定偏差ΔT,偏差大小与通道的不对称度有关(具体见下文),使保护在正常情况下出现差流,失去灵敏度,甚至引起误动。
  
  基于以上原因,本文提出运用“采样时刻调整法”为同步方式,“并自适应抬高动作门槛”的补偿办法。该方法已在许继公司的新一代光纤纵差保护装置WXH-803高压线路保护装置中得到成功的运用。
  
  WXH-803保护装置每周波96点采样,每5 ms传输一帧数据。该帧数据中包含同步信息和保护信息两大块内容。同步信息包含各类时间标签,主要用于同步计算,一帧数据中所带的信息足以完成一次同步监测;保护信息包含三相电流相量值、状态信息和分时传送电压相量,是保护用作差动判据及双端量测距的数据来源。
  
  2 运用“采样时刻调整法”建立统一的时间坐标系
  采样时刻调整法已在多种文献上有详细论述,以下只作必要说明,不作详细的同步过程分析。
  
  如图1所示,定义向上通道延时tdu与向下通道延时tdd,同步端(N侧)采样时刻超前参考端(M侧)ΔT,有:
  
 

  当tdu=tdd时,两侧对齐的条件为TM=TN,所以在对称通道下,理论上可以做到采样时刻同步。由上可知:“梯形算法”的前提是光纤通道必须对称。
  
 

  同步后将两侧相同时刻的采样值标以相同的时间序号,为充分满足通道的延时要求,笔者采用12周波循环序号(窗口长度240ms)。WXH-803采用每周波96点采样,则统计时间序号为96×12=1152个。图1所示mi、ni即为各侧时标。同步后应有 m0=n0,m1=n1,…,这样两侧的时间坐标建立了基于采样序号的对应关系,为差动计算奠定了基础。
  
  3 同步误差分析
  3.1 晶振漂移引起的误差分析
  
  保护系统同步后,造成系统再次失去同步的主要原因是两侧保护晶振的相对漂移,这是一个相对缓慢而非突变的过程(实验表明:在工作频率40MHz、精度为10-9ppm的时钟下,同步后两侧采样时刻偏离0.1 ms的时间约为1.5 min左右)。因此,没有必要对同步端采样时刻实时进行调整,但实时监测系统的同步状况是必要的,也是简单易行的,这样可以按自己的精度要求自适应地进行调整,而非传统地定时调整采样时刻。
  
  在该方案具体实施中,笔者采用判据ΔT=(TM-TN)/2>0.2 ms且连续出现几次后便启动同步调整过程,使两侧采样时刻再次达到同步。该过程是一种时刻微调,并不破坏数据的连续性,取连续几次的原因主要是防止计算误差或通道因素的影响。
  
  3.2 非对称通道延时不等的误差分析
  
  在同步建立期间,若光纤通道出现收、发延时不对称的情况时(如图2所示),采用梯形算法计算出的两侧同步时刻会有一个固定偏差ΔT
  
 

  式中:ΔT为非对称通道带来的同步误差,与之相对应的电气量的角度差为θ。
  
 

  
 

  在使保护在区内故障时灵敏度降低,发生区外故障时可能会引起误动。另外,由不对称通道引起的θ角只知其存在,但并不能通过“梯形算法”求出其大小。
  
  4 补偿办法
  在相量差动保护中,总是运用基尔霍夫电流定律,即∑Ik=0其中,Ik为线路各侧保护装置测得的同名相电气量。但在实际的线路相差保护中,上式成立须满足以下几个条件:
  
  (1)电容电流(充电电流)为零;
  
  (2)两侧计算的相量值必须为同一时刻;
  
  (3)装置测量回路(包括CT回路)要有足够高的精度;
  
  (4)无区内故障。
  
  在系统正常时主要的影响因素为前两条。
  
  当电容电流存在时可以进行电容电流补偿,取图3所示等效模型,则电容电流经下式计算:
  
 

  理论上补偿后同一时刻的电流相量满足KCL方程。
  
  在系统正常时,若两侧采样时刻不一致,则会在以下两个方面表现出来:
  
  (1)两侧同名相电流相量会存在一个相角差θ;
  
 

  根据以上两种表现形式,可分别对应两种补偿手段,分述如下。
  
 

  4.1 结合参考相量法及数据修正法对相量进行调整
  
  此方法的关键是借助两侧的电压参考相量近似计算出θ的大小,并利用该偏差角对接收数据进行角度扭转。
  
  线路正常时两侧的电压的关系(假设负荷电流IF方向由M侧至N侧为正方向):
  
 

  其中:为N侧电压Un折算至M侧的等效电压量。
  
  若两电压相量方向不一致,可由余弦定理求出二者夹角,该角度主要是由线路两侧装置采样时刻不一致引起,即为采样时刻偏差角θ,并通过θ角将对侧电流相量进行角度扭转来减小不同步带来的影响:
  
 

  (本侧超前时θ取正,本侧滞后时θ取负)
  
  但该方法要求通道上要传送电压信息,在实际应用中并不方便,且受线路参数的影响较大,精度很难保证。同时,笔者建议不宜通过此θ值对采样时刻进行调整,因为该方法破坏了采样时刻调整法的时钟基准单一性。
  
  4.2 根据不平衡输出自适应抬高动作门槛
  
  在系统正常的情况下,按照式(7)连续计算A、B、C相的不平衡输出,此不平衡电流是线路流过的负荷电流的2 sin(θ/2)倍,在θ较小时基本为正比关系。由此,可计算出相应的补偿系数,并在差动辅助判据中进行补偿,差动主判据不做任何调整:
  


  其中:kBPH=IBPH/IFC,为不平衡补偿系数,在实际应用中将该系数限定在[0,1]的范围内;IFC为装置本侧补偿后装置测量电流值;IMC、INC均为电容电流补偿后的各侧电流值。
  
  该方法简单易行,在不丧失区内故障灵敏度的前提下,能可靠避免区外故障时由于两侧采样不同而可能引起的误动问题。
  
  运用该补偿方法时,必须注意运用条件:
  
  (1)补偿系数需在系统稳定的情况下求得,突变量启动后要退出计算改而采用记忆值;
  
  (2)补偿系数须是一段时间内的平均值,某一次的突变不宜采信。
  
  在WXH-803保护装置中采用第二种补偿方式,并在试验中达到了良好的效果。
  
  5 结论
  本文分析了的采样时刻调整法误差根源,并采用根据不平衡输出自适应抬高动作门槛的补偿方法,提高了保护装置的可靠性。基于此原理而设计的“WXH-803高压线路纵差保护装置”已成功通过动模试验及型式试验的严格测试,结果显示该装置具有较高的精度及灵敏度,完全能够满足电力系统需要。



[发帖际遇]: AYU琳琳看到路边的乞丐, 施舍了翱宇币13两给乞丐.

谈基于网络和基于主机的漏洞扫描


漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
  
  目前,漏洞扫描,从底层技术来划分,可以分为基于网络的扫描和基于主机的扫描这两种类型。
  
  本文分别介绍,并分析了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具的工作原理。这两种工具扫描目标系统的漏洞的原理类似,但体系结构是不一样的,具有各自的特点和不足之处。
  
  1 基于网络的漏洞扫描
  1.1 概述
  
  基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。比如,利用低版本的DNS Bind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNS Bind是否在运行。
  
  一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,他根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
  
  1.2 工作原理
  
  基于网络的漏洞扫描器包含网络映射(Network Mapping)和端口扫描功能。
  
  我们以基于网络的漏洞扫描器为例,来讨论基于网络的漏洞扫描器。基于网络的漏洞扫描器一般结合了Nmap网络端口扫描功能,常常用来检测目标系统中到底开放了哪些端口,并通过特定系统中提供的相关端口信息,增强了漏洞扫描器的功能。
  
  基于网络的漏洞扫描器,一般有以下几个方面组成:
  
  ①漏洞数据库模块:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
  
  ②用户配置控制台模块:用户配置控制台与安全管理员进行交互,用来设置要扫描的目标系统,以及扫描哪些漏洞。
  
  ③扫描引擎模块:扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置,扫描引擎组装好相应的数据包,发送到目标系统,将接收到的目标系统的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
  
  ④当前活动的扫描知识库模块:通过查看内存中的配置信息,该模块监控当前活动的扫描,将要扫描的漏洞的相关信息提供给扫描引擎,同时还接收扫描引擎返回的扫描结果。
  
  ⑤结果存储器和报告生成工具:报告生成工具,利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。
  
 

  2 基于主机的漏洞扫描
  2.1 概述
  
  基于主机的漏洞扫描器,扫描目标系统的漏洞的原理,与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。
  
  现在流行的基于主机的漏洞扫描器在每个目标系统上都有个代理,以便向中央服务器反馈信息。中央服务器通过远程控制台进行管理。
  
  2.2 工作原理
  
  基于主机的漏洞扫描器通常是一个基于主机的Client/Server三层体系结构的漏洞扫描工具。这三层分别为:漏洞扫描器控制台、漏洞扫描器管理器和漏洞扫描器代理。
  
 
  
  漏洞扫描器控制台安装在一台计算机中;漏洞扫描器管理器安装在企业网络中;所有的目标系统都需要安装漏洞扫描器代理。漏洞扫描器代理安装完后,需要向漏洞扫描器管理器注册。
  
  当漏洞扫描器代理收到漏洞扫描器管理器发来的扫描指令时,漏洞扫描器代理单独完成本目标系统的漏洞扫描任务;扫描结束后,漏洞扫描器代理将结果传给漏洞扫描器管理器;最终用户可以通过漏洞扫描器控制台浏览扫描报告。
  
  3 基于网络的漏洞扫描vs基于主机的漏洞扫描
  下面,我们来分析一下基于网络的漏洞扫描工具和基于主机的漏洞扫描工具,所具有各自的特点以及不足之处。
  
  3.1 基于网络的漏洞扫描
  
  3.1.1 不足之处
  
  第一,基于网络的漏洞扫描器不能直接访问目标系统的文件系统,相关的一些漏洞不能检测到。比如,一些用户程序的数据库,连接的时候,要求提供Windows 2000操作系统的密码,这种情况下,基于网络的漏洞扫描器就不能对其进行弱口令检测了。
  
  另外,Unix系统中有些程序带有SetUID和SetGID功能,这种情况下,涉及到Unix系统文件的权限许可问题,也无法检测。
  
  第二,基于网络的漏洞扫描器不能穿过防火墙。如图3所示,与端口扫描器相关的端口,防火墙没有开放,端口扫描终止。
  
  第三,扫描服务器与目标主机之间通讯过程中的加密机制。从图3可以看出,控制台与扫描服务器之间的通讯数据包是加过密的,但是,扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话,攻击者就可以利用sniffer工具,来监听网络中的数据包,进而得到各目标注集中的漏洞信息。
  

  3.1.2 优点
  
 第一,扫描的漏洞数量多。由于通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。这一点在前面已经提到过。
  
  第二,集中化管理。基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。所有扫描的指令,均从服务器进行控制,这一点与基于网络的扫描器类似。服务器从下载到最新的代理程序后,在分发给各个代理。这种集中化管理模式,使得基于主机的漏洞扫描器的部署上,能够快速实现。
  
  第三,网络流量负载小。由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包,漏洞扫描部分都有漏洞扫描器代理单独完成,这就大大减少了网络的流量负载。当扫描结束后,漏洞扫描器代理再次与漏洞扫描器管理器进行通讯,将扫描结果传送给漏洞扫描器管理器。
  
  第四,通讯过程中的加密机制。从图4可以看出,所有的通讯过程中的数据包,都经过加密。由于漏洞扫描都在本地完成,漏洞扫描器代理和漏洞扫描器管理器之间,只需要在扫描之前和扫描结束之后,建立必要的通讯链路。因此,对于配置了防火墙的网络,只需要在防火墙上开放漏洞扫描器所需的5600和5601这两个端口,漏洞扫描器即可完成漏洞扫描的工作。
  
  3.2.2 不足之处
  
  基于主机的漏洞扫描工具也存在不足之处。
  
  首先是价格方面。基于主机的漏洞扫描工具的价格,通常由一个管理器的许可证价格加上目标系统的数量来决定,当一个企业网络中的目标主机较多时,扫描工具的价格就非常高。通常,只有实力强大的公司和政府部门才有能力购买这种漏洞扫描工具,
  
  其次,基于主机的漏洞扫描工具,需要在目标主机上安装一个代理或服务,而从管理员的角度来说,并不希望在重要的机器上安装自己不确定的软件。
  
  第三,随着所要扫瞄的网络范围的扩大,在部署基于主机的漏洞扫描工具的代理软件的时候,需要与每个目标系统的用户打交道,必然延长了首次部署的工作周期。
  
  4 总结
  在检测目标系统中是否存在漏洞方面,基于网络的漏洞扫描工具和基于主机的漏洞扫描工具都是非常有用的。
  
  有一点要强调的时,必须要保持漏洞数据库的更新,才能保证漏洞扫描工具能够真正发挥作用。另外,漏洞扫描工具,只是检测当时目标系统是否存在漏洞,当目标系统的配置、运行的软件发生变换时,需要重新进行评估。
  
  基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各自具有自己的特点,也都有不足之处。安全管理员在选择扫描工具时,可以根据自己的需要,选择最适合自己的产品。

基于PKI的数字签名技术基础知识


1) 什么是电子签名?
  电子签名并非是书面签名的数字图像化。它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。
  
  目前,可以通过多种技术手段实现电子签名,在确认了签署者的确切身份后,电子签名承认人们可以用多种不同的方法签署一份电子记录。方法有:基于PKI的公钥密码技术的数字签名;以生物特征统计学为基础的识别标识;手印、声音印记或视网膜扫描的识别;一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;基于量子力学的计算机等等。但比较成熟的,使用方便具有可操作性的,在世界先进国家和我国普遍使用的电子签名技术还是基于PKI(PublicKeyInfrastructino)的数字签名技术。
  
  2) 基于PKI的数字签名技术
  基于PKI(公钥基础设施)的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如上述联合国贸发会的《电子签名示范法》和欧盟的《电子签名共同框架指令》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性。其中都用到了数字签名技术。
  
  PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度对手工签名和图章的验证无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。



[发帖际遇]: AYU琳琳买乐透幸运中得三等奖, 获得奖金翱宇币35两.

教你一招:让无线上网安全到底


通过无线方式接入局域网或Internet,现在已经成为现实;不过在目前,要想实现高效安全接入,还不是那么容易,毕竟通过无线方式接入局域网或Internet的设置,要比通过双绞线方式接入局域网或Internet的设置复杂的多。在无线网络不断成熟的今天,无线网络的安全隐患正成为人们关注的焦点,而预防无线网络遭受外来入侵更成了无线网络用户首先要面对的事情。
  
  无线上网存在哪些隐患
  
  大家知道,无线网络节点正常可以辐射到300米左右的范围,因此在300米以内的安装有无线网卡的任何计算机,都能访问到无线网络节点,并有可能进入到无线网络中;很显然这种便捷的访问方式,容易给无线网络带来安全威胁。例如,在300米以内的某台黑客计算机同样也有机会进入到你的无线网络,从而控制你的计算机中的“一举一动”;尽管无线网络在信息的保密性方面没有有线网络那样严格,但你肯定不希望非法攻击者很轻易地知道你在网络中的各种行踪,例如你访问了哪些网站啦,对外发送了什么隐私邮件啦等等,都有可能被非法访问者了解得一清二楚。
  
  更为严重的是,离你不远的非法访问者一旦进入到你的无线网络中,就会很容易地窃取你的网上各种帐号信息,这样会给你造成更大的安全损失。因此面对无线网络存在的种种安全隐患,你必须及时行动起来,以便采取应对措施,例如通过加密技术或者采用网络验证识别技术,确保只有你事先指定的用户或网络设备才能进入到你的无线网络中,而其他想强行借助各种无线网络技术访问你无线网络的操作,都将被拒绝。
  
  无线上网的安全现状
  
  由于无线网络先天性的技术缺憾,导致了无线上网的安全性到现在为止还没有得到完全的保障;但是,要是各位无线上网用户及时有效地采取应对措施,还是能够增大非法攻击者入侵无线网络难度的。
  
  一般来说网络的安全性,主要表现在数据加密和控制访问这些方面,数据加密往往能确保传输的信息只能被自己所期望的网络用户所接受和理解,而控制访问可以确保网络信息只能由已授权用户获得。对于普通的网络来说,它的信息是通过线缆传输到指定目的地的,只要物理链路没有被破坏,那么普通网络的信息就不会被泄露;但无线网络的信息由于是通过微波的辐射进行传输的,所以在无线网络节点覆盖的区域内,所有的无线工作站都有可能接受到网络信息,而无线网络节点也无法确保信息只能向特定接受设备传送,所以无线上网的数据保密性相对有线网络来说要差一些了。
  
  目前无线网络所用到的IEEE 802.11a、IEEE 802.11b、IEEE 802.11g等技术协议,都支持无线上网的安全设置,通过合理设置网络参数,可以确保无线网络对每个上网用户进行身份验证;当然,无线网络的安全设置功能只对一般的入侵有防范作用,如果遇到攻击水平稍微高一些的用户,无线网络的安全设置功能就无能为力了。
  
  无线安全的应对措施
  
  对于普通的无线网络用户来说,该采取怎样的措施来确保自己的无线网络安全无忧呢?为了能让无线上网尽可能地安全一些,本文特意为你提供下面一些无线网络安全的应对措施:
  
  1、正确设置网络密钥
  
  大家知道,在缺省状态下,无线网络节点生产商为方便初级用户安装无线网络,特意将无线网络节点的数据传输加密功能设置为了“禁用”,这样一来用户初次接入进的网络是不安全的,非法攻击者很容易利用专业的嗅探工具,截获到在无线网络中传输的明文数据。为此当你在初次连接到无线局域网中时,必须记得设置好网络密钥,来对在无线网络中传输的数据进行加密,以便有效抵御普通黑客的非法入侵。
  
  在设置网络密钥之前,你必须先安装好无线网卡,同时将无线网卡的IP地址以及掩码地址,设置为与无线网络节点的IP地址、掩码地址处于同一网段;接着打开工作站中的IE浏览器,在地址栏中输入无线网络节点的默认IP地址(目前大多数无线网络节点的IP地址都为“192.168.1.1”,要是不能连接上的话,可以查看对应设备的操作说明书),进入无线网络节点管理登录页面,输入登录密码后(该密码可以在无线网络节点的说明书中找到),就能在随后的页面中,对无线网络节点的安全进行设置了。单击无线网络节点管理页面中的安全选项,选中WEP加密功能,并依照不同的加密类型,设置好密码字符串;倘若你选用的是64位加密类型,那么就必须输入10位字符串作为加密密码,要是选用128位加密类型的话,就必须将密码的位数设置为26位。完成密码设置后,关闭无线网络节点电源,然后再次接通电源,这样无线网络节点将会重新启动,网络密钥才会生效。
  
  下面,你还必须在工作站中,设置一下无线网络的连接属性,才能安全连接到无线局域网中。依次单击“开始”/“设置”/“网络和拨号连接”选项,并用鼠标右击该选项下面的“无线连接”选项,在随后的右键菜单中单击“属性”命令,打开无线网络属性设置窗口;单击该窗口的“无线网络配置”标签,并在该标签页面中选中已经启用加密功能的无线网络,然后单击“属性”,在随后的属性窗口中选中“关联”标签,再将对应该标签页面中的“数据加密(WEP启用)”选项选中,如此一来“网络密钥”设置项就被激活,接着你可以正确输入无线网络节点的访问密码,再单击一下“确定”,就可以让工作站安全地连接到无线网络中了。
  
  2、更改默认的SSID设置
  
  在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过的话,就可能顺利连接到无线网络中;可是由于同一生产商推出的无线网络节点都使用了相同的SSID名称,这给那些企图非法连接到无线网络中的攻击者们,提供了入侵便利,一旦他们用通用的初始化字符串来连接无线网络时,就很容易建成功一条非授权链接,从而给无线网络的安全带来威胁。为此,在初次安装好无线局域网时,你必须及时登录到无线网络节点的管理页面中,打开SSID设置选项,重新设置一下初始化字符串,最好让人难于猜测到;而且为了更有效地避免非法链接,你最好在条件允许的前提下,取消SSID的网络广播,这样能将黑客入侵机会降到最低限度。
  
  当然,无线网络节点中的SSID名称变化后,你也必须在工作站的无线网络属性设置窗口中,重新修改SSID服务名称,这样才能确保你的工作站顺利地接入无线网络中。在普通工作站中修改SSID名称其实很简单,只要你在无线网络连接属性窗口中,单击“无线网络配置”标签,然后在该标签页面中,选中无线网络节点名称,再单击一下“属性”按钮,在接着弹出的“关联”标签页面中,直接将新的SSID名称输入在“服务名(SSID)”文本框中,最后单击“确定”按钮,就能使设置生效了。
  
  3、合适放置天线
  
  由于无线网络节点是有线信号和无线信号的转换“枢纽”,无线网络节点中的天线位置,不但能够决定无线局域网的信号传输速度、通信信号强弱,而且还能影响无线网络的通信安全,为此将无线网络节点摆放在一个合适的位置是非常有必要的!在放置天线之前,你最好先弄清楚无线网络节点的通信信号覆盖范围为多大,然后依据范围大小,将天线放置到其他用户无法“触及”的位置处。例如,要是无线网络节点的信号传输能力在30米以内,而现在你想要在100平方米的空间中,建立一个小型无线局域网的话,最好将无线网络节点放置在该空间的正中央,同时将其他工作站分散在无线网络节点的四周放置,这样一来位于其他房间的工作站就不会自动搜索到你的无线网络,那么无线网络就不容易出现信号泄密的危险。倘若你随便将无线网络节点放置在靠窗口或墙壁的位置处,不但会影响信号的对外发射,而且位于墙壁另一边的工作站用户,就能很轻易地搜索并连接到你的无线网络中,如此一来,你的网络安全性就会大大降低。
  
  4、做好其他防范工作
  
  为了更好地保护无线网络的安全,你还可以根据无线网络节点自身功能的不同,进行一些其他有效的安全防范措施。例如,要是无线网络访问节点支持简单网络管理功能的话(SNMP功能),笔者建议你尽量将该功能关闭,以防止非法攻击者轻易地通过无线网络节点,来获取整个无线局域网中的隐私信息。倘若你的无线网络节点还支持访问列表功能的话,那你可以利用该功能,精确限制哪些工作站可以连接到无线网络节点中,而那些不在访问列表中的工作站,是无权进入无线网络中的。例如,考虑到每一块无线上网卡都有自己的MAC地址,你完全可以在无线网络节点设备中创建一张“MAC访问控制表”,然后将自己认为合法的网卡MAC地址逐一输入到这个表格中,以后只有“MAC访问控制表”中显示的MAC地址,才能进入到你的无线网络中。



[发帖际遇]: AYU琳琳玩宠物的时候不幸损失翱宇币1两.

网络安全之彻底认识加密技术

今日网络社会的人们感到谈网色变,无所适从。但我们必须清楚地认识到,安全问题的解决不可能一蹴而就。现代的电脑加密技术就是适应网络安全的需要应运而生的,它为一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。下面就详细介绍一下加密技术的方方面面。
  
  加密的概念
  
  数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
  
  加密的理由
  
  网络安全方面,除了加密外我们别无选择。在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素,尤其是一些大公司和一些机密文件在网络上传输时。而且这种不安全性是互联网存在基础——TCP/IP协议所固有的,包括一些基于TCP/IP的服务。解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的文件没有收件人的私钥无法解开,文件成为一大堆无任何实际意义的乱码。加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。
  
  两种加密方法
  
  加密技术通常分为两大类:“对称式”和“非对称式”。
  
  对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。
  
  非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个需要配对使用,否则不能打开加密文件。这里的公钥是指可以对外公布的,私钥则只有持有者自己知道。在网络上,对称式的加密方法很难公开密钥,而非对称式的公钥是可以公开的,不怕别人知道,收件人解密时只要用自己的“私钥”即可以,这样就很好地避免了密钥的传输安全性问题。
  
  加密技术中的摘要函数(MAD、MAD和MAD)摘要是一种防止改动的方法,其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息,而输出是一个固定长度的摘要。如果改变了输入消息中的任何信息,输出的摘要将会发生不可预测的改变。也就是说输入消息的每一位对输出摘要都有影响。摘要算法从给定的文本块中产生一个数字签名(fingerprint或mes?鄄sage digest),数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容和进行身份认证。摘要算法的数字签名原理在很多加密算法中都被使用,如SO/KEY和PIP(pretty good privacy)。
  
  现在流行的摘要函数有MAD和MAD,但要记住客户机和服务器必须使用相同的算法,无论是MAD还是MAD,MAD客户机不能和MAD服务器交互。它的设计是出于利用32位RISC结构来实现其最大吞吐量,而不需要大量的替换表(substitution table)。
  
  MAD算法是以消息给予的长度作为输入,产生一个128位的“指纹”或“消息化”。要产生两个具有相同消息化的文字块或者产生任何具有预先给定“指纹”的消息,都被认为在计算上是不可能的。
  
  MAD摘要算法是个数据认证标准。MAD的设计思想是要找出速度更快,比MAD更安全的一种算法,MAD的设计者通过使MAD在计算上慢下来,以及对这些计算做了一些基础性的改动来解决安全性这一问题,是MAD算法的一个扩展。



[发帖际遇]: AYU琳琳在五星级酒店和MM HAPPY一晚, 花费翱宇币80两.

SIP与P2P的技术携手能否创造奇迹?


当SIP(Session Initiation Protocol,会话初始协议)最初构思时,其定位是将企业从PBX的垄断之中解脱出来,不用支付更高的维护费用,承担昂贵的硬件,或忍受由私有环境分类的有限选项。自从SIP引入以后情况发生了很大改变,但有一点一直没变:大多数企业仍和从前一样,紧紧束缚在昂贵的后端通话服务器上。
  
  一个新的互联网草案:P2P(Peer-to-Peer,对等协议)版本的SIP,将有望改变这种状况。通过丢掉SIP的后端需求,将可以更容易配置安装以更低的成本来运行SIP协议。这将使SIP请求扩展到低端消费市场,并帮助其与P2P互联网电话业务供应商Skype竞争。它还能够扩展大型企业可利用的弹性选项范围。
  
  目前的P2P SIP仍然处于萌芽阶段。虽然在哥伦比亚大学和W&M学院配置有这个协议,但P2P SIP草案的大部分内容仍未明确,还存在很多问题。例如如何保证一个无需集中授权的固定唯一的名址空间,互联网的e-mail地址最可能成为这个问题的一个选项,但这一论断仍有待验证。悬而未决的还有P2P SIP协议底层的数据库结构,出于SIP客户机的利益,一旦企业需要将代理服务器加入P2P SIP网络之中,数据库结构将很容易变得低效。
  
  很明显该草案会给SIP厂商和业务供应商带来两难的抉择,但厂商会在多大程度上促进或抑制该技术的发展仍不明朗。Cisco系统公司语音技术小组著名工程师和互联网草案的共同创造者之一Cullen Jennings认为:“这是一个寻找问题的技术”。不论对于消费者有什么潜在的寓意,将P2P SIP带进客户机,将有可能减少基础架构和业务供应商用以保持其客户基础的关键成分。
  
  如果P2P成功,它将与Skype供应商直接竞争,会给低端消费业务带来最大冲击,同时还会影响中小规模的企业市场。虽然SIP已获得很多成功,这其中包括被微软、IBM和其他电信运营商采纳,但其日常开支也限制了它在这些市场上的认同度。
  
  由于使用私有的接口,Skype的成功已经迅速引起标准组织褒贬不一的注意。P2P SIP的出现会与Skype的“标准”保持平衡。虽然P2P SIP需要对SIP堆栈进行细微的补充,但由于允许现有SIP设备供应商只通过升级其SIP软件就可完成,这些补充也是名义上的。
  
  不仅最终用户可在很多兼容的软件电话和常规电话之中进行选择,后端终端也能够从竞争中获利。与选择被授权的SkypeOut业务不同,无论Vonage还是MCI,任何SIP业务供应商都可将P2P SIP通话连接到PSTN上。
  
  在企业世界中,P2P SIP目标定位于适当的应用。该协议特别适合需要低廉开支和快速建立的通信应用,例如用户希望进行小规模通信的特别会谈。协议对于中小型的远程办公室和缺少IT员工的公司也具备很大吸引力,通过在少数Wi-Fi电话和热点之间建立P2P SIP,可以为临时应用迅速构建一个通信网络,例如快速响应和新闻突发事件的应用场合。而当大型企业的大型办公场所出现代理故障时,该协议还可作为一种廉价冗余的机制,来保证设备的正常运行。
  
  但由于P2P SIP草案没有关于如何管理VoIP网络的描述,它在企业中大规模的应用还存在疑问。基本上,P2P网络被认为是不具备管理能力的,所以不会有任何真正意义上的管理。市场和开发者都希望P2P系统能具备自管理能力,在任何情况下,起码在单客户机的基础上应该达到这个目标。
  
  P2P SIP原理
  
  P2P SIP草案规范了一个真正的无服务器网络。但很明显,实际上很多P2P网络是混合配置的,拥有用来进行注册和地址空间管理的服务器。Skype就是混合P2P网络的一个典型例子,今天的SIP网络实质上也是一个混合网络。
  
  由于在网络中没有任何服务器,纯P2P网络有望变成规模可变的同时对故障拥有高度抵抗力的网络。但是其性能会成为另一个问题。早期的P2P网络可能会为寻找某个源文件而向多台机器产生搜索查询。即使其中一台返回了正确的结果,其他对等机器还可能在运行查询,这将消耗可贵的CPU周期。同时P2P文件共享网络也以其过度的带宽消耗而闻名,像目前广泛流行的MP3和MPEG共享应用。
  
  P2P SIP采取一些措施来防止这些问题的发生。一个用户在远程节点存储的数据量,目前被限制在节点经过的ID和一个IP地址之间的映射中。甚至好友列表、配置参数和其它参量也被同样存储,但是这些信息不能超过几千字节。
  
  更重要的一点是,与一台设备向所有其他设备盲目发出查询不同的是,查询要求会转交给一台具有搜索细化功能的机器。这是通过一个DHT(Distributed Hash Table,分布式复述列表)实现的,通过每个节点的IP地址产生一个唯一的编码来指向数据。在这种情况下,一般会使用通常用于数字签名的SHA-1复述函数。产生了整个网络的DHT之后,在P2P SIP网络的所有节点中分配DHT,每个节点可维护其中一部分列表。



[发帖际遇]: 老蘑菇三更半夜看小电影后虐待了AYU琳琳,住院花去翱宇币88两.
技术时评:全面总结安全的几个瞬间一


  在网络信息的世界里,安全不是一种状态,而是一个过程。相应的,它所代表的心态也不是高枕无忧,而是如履薄冰。
  
  但是,这并不意味着,我们只能高墙壁垒,殚精竭虑把自己包裹起来。“主动”,就是要在威胁和恐惧中,释放沉静的力量。
  
  环境:网络的惆怅与反思
  
  失掉的比赛
  
  如果仅仅从统计的角度来看,信息安全的未来是悲观的,尽管我们采用了花样翻新的安全产品和解决方案,但我们所面临的安全威胁不是减少,而是大大增加了。
  
  根据CERT的统计,1995年全世界只报告了171个安全漏洞。自此之后,每年报告的漏洞数量已经增加了几个数量级,而且预计还将会以指数形式增长。根据赛门铁克新的互联网安全威胁报告,仅2004年下半年新增的漏洞就达到1403个,比前半年增长了 13%。而且,漏洞的危害性也在水涨船高,新近发现的漏洞中,有 97% 的严重程度为中等或较高,在这其中,更有 70% 被认为是易于利用的,换句话说,网络系统的弱点正越来越频繁地暴露在攻击威胁之下。
  
  与此同时,我们在和病毒、漏洞等安全威胁所展开的速度竞赛中,也逐渐落入下风。随着网络的快速发展,上述这些漏洞平均被黑客利用的时间仅为6天,但是,发现这个漏洞,再经过测试并给其打上补丁却平均需要45~90天的时间。
  
  除了速度和时间上的优势,黑客和病毒在“能力”上也是突飞猛进,新一代的蠕虫病毒出现于2002年,比第一代病毒更为危险,加强了自动化功能,而且由于传播途径的多样化更加难以截获。同时,这些病毒也具备了一定程度的智能特性,Bagle,Mydoom和Netsky 等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址和SMTP客户端并传播病毒副本。它们成功地绕过安全措施防线,因为病毒已被加密打包成可执行文件,并具备终止安全软件运行的功能。这些蠕虫病毒还可以包括在代码中集成的或从恶意网络服务器上下载的黑客后门组件中,可执行拒绝访问攻击,有时也会利用软件漏洞自动执行。
  
  还有一个值得注意的现象就是,由于网络的发展使得带宽大大增加,不少用户更是24小时在线,这使得一些本已在 90 年代末销声匿迹的古老攻击方式,(例如 land ,其使用类似的源向目标 IP 地址和端口发送 UDP 信息包),现在又卷土重来。实际上,他们之所以死灰复燃,就是因为计算机并行处理能力和带宽迅速增加带来的“副作用”。这种“过时的”拒绝服务攻击,在很多情况下却显得“非常有效”,让黑客屡屡得手。
  
  不归路
  
  总结来看,目前网络安全不断受挫的根源有以下两点。
  
  首先是病毒发作或漏洞发布到实施攻击的时间窗越来越短。红色代码在24小时内感染了超过30万台主机;Blaster在4小时内破坏了将近15万台计算机;Sasser蠕虫在48小时内感染了多达130万台PC;Slammer病毒更在10分钟内传遍了整个世界。当我们和这些安全威胁进行打补丁或升级特征库的竞赛时,早已变得力不从心,实时保护更是无从谈起。
  
  其二,就是我们都已经熟悉的木桶理论,由各种安全产品和方案堆积起来的安全系统,难免百密一疏,而只要一点漏洞,就可能导致全盘崩溃,这正是我们防范的难点,因为攻击的手段和所涉及的技术太过庞杂,比如对SYN 洪水有效的防护措施,对于防护会话攻击来说却无能为力,了解到这一点的攻击者即使没有先进的“武器”,但只要混合多种攻击手段,在一种攻击无效时,迅速采用其他手段,往往就可以达到目的。
  
  上述原因的综合作用,带来了一个残酷的现实,那就是,虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了数十亿美元,但企业每天受到攻击的次数却以每半年30%的速度增长。
  
  显然,如果按原有的方式进行下去,这注定是一场无法赢得的战争,也是一条不归路,现在的我们,需要的不是更多的技术,而是一种新的网络安全思路,这就是“主动安全”。
  
  应变:从技术到服务
  
  源头入手
  
  主动安全的实现,首先一点就是打破原有的“堡垒式”防御,很显然,这是一种过时的防护概念,它不仅使我们在被动的封锁中,只能跟在攻击者的后面,完全丧失了斗争的先机,也使得不同厂商、不同产品所建立的“安全堡垒”的沟通,成为整体系统安全的薄弱环节。
  
  要实现主动式的安全,很重要的一点,就是建立一个灵活智能,可以信赖的网络环境。那么,这种网络环境需要达到什么样的要求呢?简单来说,如果一个网络中的行为和行为的结果总是可以预知与可控的,那么这个网络就是安全并且可以信赖的。
  
  当然,在现有的技术条件下,要在短期内实现这一目标是不现实的,但是这并不重要,重要的是,这已经为我们给出了一条新的安全思路,我们可以在这一原则之下,更灵活地掌握和控制。
  
  说到底,用户最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。
  
  所以,虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证用户业务活动和业务数据的安全,并确保用户业务应用的可用性,那么承载用户业务的这个网络对于该用户来说就是符合要求的安全网络。要实现这一点,不可绕过的一步,就是目前非常火热的网络准入控制技术。
  
  撇开复杂的商业利益争夺,各厂商推出的网络准入控制技术虽然称呼各有差异,但核心是基本相同的,具体来讲,该技术的目的,就是在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险。
  
  网络准入控制是实现主动安全的代表性技术之一,相关的技术产品还有很多,我们在后面的文章里会有更详细的介绍。不过,从市场的角度来看,这些技术更多应该是安全厂商关心的话题,而对于广大用户来说,他们更希望以简单直接的方式获得安全,而这非服务莫属。
  
  速溶的“安全冲剂”
  
  一些安全界的专家曾经断言过,“在五年后,市场上将不会再有**的安全产品。相反,安全功能将会被直接嵌入到网络中。真正全面的、自适应的端到端安全将通过‘虚拟安全’实现。”
  
  这种预言即使不是完全准确,但也代表了一种不可回避的趋势,那就是,有形的安全产品的意义越来越被淡化,用户需要的是一个已经“安全化”的网络,以及保证网络继续“安全下去”的专业服务。这也是未来安全产业最有潜力的市场。
  
  有统计预测,近两年来中国信息安全软件和其他相关产品的销售额,约190亿元,比2003年增长了近30%;中国目前有1400万家中小企业,有信息安全需求的占到40%~50%。
  
  而进一步的调查更现实,这些需求正在不断的整合、改变。其指导思想,就是从寻求合适的产品到寻求可靠的保障。
  
  具体看来,企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。同时经过几年的安全产品的使用,当用户面对更加复杂的网络安全威胁时,已经认识到“仅有安全产品是不够的”。专业化的安全服务正在成为网络安全的重要内容,是否具有专业化的服务能力已经成为考核厂商实力的一条关键性标准。
  
  从去年开始,针对企业级市场的服务之争已初现端倪,更多的厂商把投入重点转到服务上来。对于安全行业来说,基本的服务是保证快速解决用户问题。比如安全厂商大多数采取建立呼叫中心向用户提供服务响应,及时的升级也是必须的服务。在保证这些基本服务前提之下,用户服务需要进一步提升,例如有的企业用户在购买信息安全产品时,不能正确分析自身需求,面对众多安全产品往往出现不知如何选择。这种情况越来越多,厂商们已经开始把竞争的焦点转向对于企业的个性化服务上,帮用户分析自身需求,制订合适的安全策略,甚至让企业用户通过免费试用,来体验解决方案的安全性和可靠性。
  
  其实,从本质上来讲,安全产业就是一个服务型产业,这也是“主动”安全从技术辐射到市场层面的必然结果。
  
  最后,基于安全界“三分方案、七分管理”的缄言,我们还要关注一下“主动”在安全管理上的实现。 技术时评:全面总结安全的几个瞬间二


管理:主动挑战自我
  
  攘外先安内
  
  人们常说“内忧外患”,对信息安全的威胁也是如此。
  
  在主动思路下的管理中,“由内而外”,是一个合理而且正确的思考方式。企业内部人员对信息安全从来并且可能永远都是最大的威胁。由于内部人员比任何外人都更了解企业的网络。如果有人心怀不满,可以很容易把公司的重要商业信息带走,或者把它泄露出去,对企业造成损害。
  
  在惯性思维的引导下,通常企业都比较信任内部的员工,差不多两年前,多数的安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。目前,越来越多的企业意识到了这类威胁,大多数网络安全设备也开始同时监视企业内部和外部的情况,并且对那些可疑的活动类型进行阻止或提出警告。但是,对企业而言,内部的威胁仍然是不可轻视的最大安全隐患。
  
  而且,随着信息化发展的进程,网络信息系统和企业的核心业务关联性越来越大,信息的商业价值也水涨船高。这使得越来越多别有用心的人铤而走险,而通过企业的内部获取机密信息,往往是一条最佳“捷径”。
  
  IDC报告表明,70%的安全损失是由企业内部原因造成的,另一个为众多安全厂商经常引用的数据来自FBI和CSI,该数据称,超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
  
  虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的犯罪活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情,人性本身的变化是最难控制与防范的。因此,“主动安全”更多的就是要我们主动出击,防患于未然。
  
  比如,针对移动存储设备、外设端口、网络行为三个内部数据泄密的主要途径进行有效管理。对于各类目前已经广泛使用的移动存储设备(如:移动硬盘、闪盘、SD/CF/等),通过网络安全管理系统对其进行“身份认证”,只有通过认证的移动存储设备才可以在网络内使用,并可以将数据以加密形式存于移动存储设备当中,确保企业实现关键数据的安全。
  
  此外,还可以对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。
  
  在制度管理方面,防范来自企业内部的安全威胁,首先要建立规范的信息化管理系统,并且具备基本的安全保障系统,比如企业总部与分支机构的网络互联一定要使用VPN;二是要有安全管理制度体系,并且制度能够有效地执行;三是,企业领导对信息安全问题的高度重视。在上述三点中,最难的在于如何有效地制定并执行安全管理制度体系,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,也是最难把握的一个环节。
  
  怀疑一切
  
  网络安全管理的另一个主要挑战是安全问题的范围、其所涉及的复杂技术和如何建立有效的流程来解决它。
  
  针对网络安全采用的方法基于一个简单而强有力的准则:除了被明确地授权允许的访问以外,其它的一切将被自动地拒绝。因此,每一个被授权允许的访问的风险是被仔细评估过的,因而不应该有什么未知的风险。
  
  “默认拒绝”意味着设计一套经过深思熟虑的安全策略,并且必须实施集中化的管理;否则这一过程将耗时持久、错误百出、甚至有可能起反作用,特别是在大型网络上,因为庞大的设备数和用户数使严密的安全策略控制变得完全不可行。它同时要求一个基于策略的方案,以建立一套可以在整个网络上主动实施并控制的规则。
  
  为了达到预期的效果,IP网络安全策略必须被仔细地、彻底地实施在网络内所有的安全设备上。对于大型网络来说,尤其是在涉及多个厂商的情况下,安全规则的生成和维护是个异常繁琐并且容易出错的过程。随着时间的推移,数以千计的安全规则和数以百计的设备的维护成为一个沉重的负担,并且大大加大了管理员人工错误的可能。其它诸如集群设置、支持虚拟系统的防火墙等,都会进一步给管理带来新的复杂性。
  
  解决这些问题需要自动化,并且摒弃逐台管理设备的方式。安全设备、路由器和交换机有自己的过滤器语言;如果人工地设置,每一条指令都需要具体某个设备的专家才能完成。此外,设计过滤规则是一个单调乏味并且容易出错的过程,需要持续的评估规则的影响级别。当规则超过了数百条,出现错误的危险大大增加。
  
  主动的安全管理,首先要评估最重要的安全风险,比如哪些安全活动针对哪些核心业务系统?危害程度的高低?以此明确重点防护的方向。再有就是要建立基于策略的安全管理,不同于端到端的设备管理所采用的在网络上逐一配置的方式以获得适当的安全保护度,基于策略的管理通过在网络元素之间建立规则和关系的方式更接近于商业的需要和操作。
  
  总之,高效的安全管理系统通过对网络中各种资源以及网络中的行为的监管与关联分析;能够帮助用户从全局角度对网络安全状况进行分析、评估与管理,以获得全局网络安全视图;并能够通过制定安全策略指导或自动完成安全设施的重新部署或响应,来对网络中的异常行为进行控制或对网络中的安全风险进行主动的消减。
  
  手记 什么是“主动”的真义
  
  当安全被当作一个整体而重新认识的时候,更多的问题也随之浮出水面,从病毒蠕虫、漏洞扫描、网络钓鱼、内容过滤一直到身份认证,越来越多的安全威胁被发现潜伏在我们的周围,不同的安全问题需要用户了解不同的技术、购买不同的产品,而这一切又是一个“有机整体”,任何一点的疏忽和薄弱都可能导致整个防护系统的崩溃。
  
  复杂所带来的管理和维护上的困扰只是一个方面,更重要的是,它和安全本身,已经成为一对事实上的矛盾。
  
  过去,我们一直为网络性能和应用的飞速发展雀跃,然而现在,每一次速度的提升和每一种新应用的诞生,都会带来新的安全问题,比如高流量下的安全内容过滤,再如p2p、即时消息、RSS的红火应用,无一不闪现着安全的阴影。
  
  这是一个无法剥离的矛盾共同体:网络的日趋复杂与越来越高的安全要求就是矛盾的两个方面。网络性能越高,越复杂,它的安全性就越差。从某种角度来看,这就像发生交通事故的风险一样。当交通工具越来越快,越来越先进时,一旦发生事故,造成的安全伤害也越大。两个行走的人撞到一起不会有太大的问题,如果是两辆行驶的汽车,就会是一场事故,如果是飞机,那就是一场灾难。
  
  但是,正如我们不会因为安全隐患拒绝汽车和飞机一样,我们也不可能阻挡或压制网络的发展与应用,相反,我们会在满足安全的前提下,尽可能的促进和发展它。当然,这需要我们用智慧随时寻找最佳的平衡点,而这种平衡本身就蕴含了我们所追求的“沉静的力量”。
  
  “网络”和“安全”正陷入前所未有的困境之中,面对这样的困境,我们的企业不应该忙于算计要雇佣多少安全专业人员、花费多少投资来构筑自己的铜墙铁壁,厂商也不能忙于盘算可以兜售多少安全产品、占据多大的市场份额。而是要从市场、技术、应用等多个层面出发,释放“主动安全”的能量。
  
  市场的主动,可以让企业对安全问题有更强的针对性,与其他企业有更紧密的合作,从而创造更安全的产业环境。
  
  技术产品的主动,如自防御网络、自动化的补丁管理、病毒主动防御、入侵防御可以在很大程度上,抵御随时出现的安全威胁。
  
  应用的主动让我们以应用为中心,通过应用带动安全的发展,把安全从盲目的“深院高墙”概念落实到维护实际的生产力。而所有这一切,不仅表达了“主动”对于安全的真正含义,也由此为我们带来了一个真正无忧的网络应用空间。

网络服务器的通用及专用的保护方法


一:网站的通用保护方法
  
  针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保WWW服务的正常运行。象在Internet上的Emai
  
  l、ftp等服务器一样,可以用如下的方法来对WWW服务器进行保护:
  
  安全配置
  
  关闭不必要的服务,最好是只提供WWW服务,安装操作系统的最新补丁,将WWW服务升级到最新版本并安装所有补丁,对根据WWW服务提供者的安全建议进行配置等,这些措施将极大提供WWW服务器本身的安全。
  
  防火墙
  
  安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给WWW服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
  
  漏洞扫描
  
  使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
  
  入侵检测系统
  
  利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
  
  这些安全措施都将极大提供WWW服务器的安全,减少被攻击的可能性。
  
  二:网站的专用保护方法
  
  尽管采用的各种安全措施能防止很多黑客的攻击,然而由于各种操作系统和服务器软件漏洞的不断发现,攻击方法层出不穷,技术高明的黑客还是能突破层层保护,获得系统的控制权限,从而达到破坏主页的目的。这种情况下,一些网络安全公司推出了专门针对网站的保护软件,只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变,就进行恢复。一般情况下,系统首先需要对正常的页面文件进行备份,然后启动检测机制,检查文件是否被修改,如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较:
  
  监测方式
  
  本地和远程:检测可以是在本地运行一个监测端,也可以在网络上的另一台主机。如果是本地的话,监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话,WWW服务器需要开放一些服务并给监测端相应的权限,较常见的方式是直接利用服务器的开放的WWW服务,使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录,如FTP等。采用本地方式检测的优点是效率高,而远程方式则具有平台无关性,但会增加网络流量等负担。
  
  定时和触发:绝大部分保护软件是使用的定时检测的方式,不论在本地还是远程检测都是根据系统设定的时间定时检测,还可将被保护的网页分为不同等级,等级高的检测时间间隔可以设得较短,以获得较好的实时性,而将保护等级较低的网页文件检测时间间隔设得较长,以减轻系统的负担。触发方式则是利用操作系统提供的一些功能,在文件被创建、修改或删除时得到通知,这种方法的优点是效率高,但无法实现远程检测。
  
  比较方法
  
  在判断文件是否被修改时,往往采用被保护目录和备份库中的文件进行比较,比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下,一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较,这种方法虽然简单高效,但也有严重的缺陷:{恶意入侵者}可以通过精心构造,把替换文件的属性设置得和原文件完全相同,{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名,最常见的是MD5签名算法,由于数字签名的不可伪造性,数字签名能确保文件的相同。
  
  恢复方式
  
  恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话,恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行,那么需要文件共享或FTP的帐号,并且该帐号拥有对被保护目录或文件的写权限。
  
  备份库的安全
  
  当黑客发现其更换的主页很快被恢复时,往往会激发起进一步破坏的欲望,此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现,让黑客无法找到备份目录。另一种方法是对备份库进行数字签名,如果黑客修改了备份库的内容,保护软件可以通过签名发现,就可停止WWW服务或使用一个默认的页面。
  
  通过以上分析比较我们发现各种技术都有其优缺点,需要结合实际的网络环境来选择最适合的技术方案。
  
  三:网站保护的缺陷
  
  尽管网站保护软件能进一步提高系统的安全,仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。
  
  另外,有些攻击并不是针对页面文件进行的,前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面,网站保护软件本身会增加WWW服务器的负载,在WWW服务器负载本身已经很重的情况下,一定好仔细规划好使用方案。
  
  四:结论
  
  本文讨论了网站常用的保护方法,详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点,并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的,但使用这些工具能帮助提高安全性,减少安全风险。



[发帖际遇]: AYU琳琳梦到AYU粉悲哀,醒来时发现钱包里多了翱宇币100两.

家庭无线网络——安全七点小技巧




现在,多数家庭通过组建无线网络来访问因特网已经成为一个趋势。然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接,他只要在你无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问的的资源,如果你在内部网络传输的数据并未加密的话,更有可能被人家窥探你的数据隐私。此外,无线网络就其发展的历史来讲,远不如有线网络长,其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。在这篇文章里,让我来告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。
  
  1. 修改用户名和密码(不使用默认的用户名和密码)
  
  一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络,都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具,该设备通常也设有登陆界面,只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时,制造商给每一个型号的设备提供的默认用户名和密码都是一样,不幸的是,很多家庭用户购买这些设备回来之后,都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面,如果成功则立即取得该路由器/交换机的控制权。
  
  2. 使用加密
  
  所有的无线网络都提供某些形式的加密。之前我跟大家提过,攻击端电脑只要在无线路由器/中继器的有效范围内的话,那么它很大机会访问到该无线网络,一旦它能访问该内部网络时,该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话,黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密,这样即使你在无线网络上传输的数据被截取了也没办法(或者是说没那么容易)被解读。目前,无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是,如果你的网络中同时存在多个无线网络设备的话,这些设备的加密技术应该选取同一个。
  
  3. 修改默认的服务区标识符(SSID)
  
  通常每个无线网络都有一个服务区标识符(SSID),无线客户端需要加入该网络的时候需要有一个相同的SSID,否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络,不为其指定一个SSID或者只使用默认SSID的话,那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。
  
  4. 禁止SSID广播
  
  在无线网络中,各路由设备有个很重要的功能,那就是服务区标识符广播,即SSID广播。最初,这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个 SSID号后,利用这个SSID号才可以使用这个网络。但是,这个功能却存在极大的安全隐患,就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里,由于为了满足经常变动的无线网络接入端,必定要牺牲安全性来开启这项功能,但是作为家庭无线网络来讲,网络成员相对固定,所以没必要开启这项功能。
  
  5. 设置MAC地址过滤
  
  众所周知,基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址,当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常,许多这类设备都提供对MAC地址的操作,这样我们可以通过建立我们自己的准通过MAC地址列表,来防止非法设备(主机等)接入网络。但是值得一提的是,该方法并不是绝对的有效的,因为我们很容易修改自己电脑网卡的MAC地址,笔者就有一篇文章专门介绍如何修改 MAC地址的。
  
  6. 为你的网络设备分配静态IP
  
  由于DHCP服务越来越容易建立,很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患,那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中,我们可以通过为网络成员设备分配固定的IP地址,然后再再路由器上设定允许接入设备IP地址列表,从而可以有效地防止非法入侵,保护你的网络。
  
  7. 确定位置,隐藏好你的路由器或中继器
  
  大家都知道,无线网络路由器或中继器等设备,都是通过无线电波的形式传播数据,而且数据传播都有一个有效的范围。当你的设备覆盖范围,远远超出你家的范围之外的话,那么你就需要考虑一下你的网络安全性了,因为这样的话,黑客可能很容易再你家外登陆到你的家庭无线网络。此外,如果你的邻居也使用了无线网络,那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠,如果重叠的话就会引起冲突,影响你的网络传输,一旦发生这种情况,你就需要为你的路由器或中继器设置一个不同于邻居网络的频段(也称Channel)。根据你自己的家庭,选择好合适有效范围的路由器或中继器,并选择好其安放的位置,一般来讲,安置再家庭最中间的位置是最合适的。

分析解决方案以确保无线网络安全


无线网络的安全分析工作在网络建设和建好后的运行维护期间都是引人关注的, 新的分离分析技术有哪些改进之处,能否真的带给无线网络真正的安全。 

 无线网络安全工具的安全分析工作通常是在一个中心服务器上或者是在分布于整个无线局域网的传感器上进行的。利用中心服务器进行分析时,每个传感器都会将全部原始数据通过回程网络发送到服务器,服务器完成高级的分析工作,比如多传感器相关分析等。但是,由于网络中的传感器数目可能高达上千,而每个传感器都需要数兆比特每秒的带宽来传输数据,这就大大增加了回程网络的负荷,同时也会占用大量的服务器资源。  而与之相对应的是以传感器为中心的解决方案。以传感器为中心时,大部分的分析工作都是在传感器上进行的。由于这种方式只需将少的多的数据传送回服务器,网络带宽的使用效率将会提高而整个系统的可扩展性也会增强。但是,这种方案需要传感器拥有较强的处理能力和更多的内存,当系统需要很多传感器的时候,系统的成本就会变得很高。当传感器的覆盖区域重叠的时候,相邻的传感器会将不必要的重复信息传送给服务器。另外,这种方式不能检测某些特定形式的攻击,比如MAC地址欺骗,这种攻击只能通过多传感器相关分析才能监测出来。  分离分析技术(Split-Analysis)是一种混合式的射频安全解决方案。它解决了以服务器或者传感器为中心的解决方案所存在的问题。分离分析方案用智能的、特定制造的传感器来完成前期分析工作,用服务器来实现复杂的数据分析和异常监测工作。这种分布式智能可以提高监测的准确率、系统的可扩展性并简化系统管理。  当然,为了最大的提高安全工作的效率,人们必须要知道什么样的分析工作应该由传感器来完成,什么样的工作应该由服务器来完成。实际上,通过将分析功能分离,传感器只需进行一些不针对特定攻击或者漏洞的基本的分析工作。例如:传感器能够监测所有的上行的WLAN行动,并且可以从802.11协议、扩展认证协议(Extensible Authentication Protocol, EAP)、IP和UDP/TDP协议的数据包报头提取服务集标识SSI(Service Set Identifier)和地址等信息。传感器除了可以压缩和加密数据外还可以收集无线信道的信息,比如接收信号强度指示RSSI(Received Signal Strength Indication),噪声等。使用分离式的处理方式,传感器同服务器之间通讯所占的带宽只有大约1K到3K比特每秒。因此,利用分离式处理方式回程网络可以比较容易的进行扩展,从而实现对数千个的远程传感器的WLAN监视和分析数据的相关操作。  通过分离分析,服务器可以集成来自数千个传感器的数据,对所有覆盖区域有重叠的任意两个传感器数据进行相关,并使用复杂的异常监测算法来识别各种安全异常和性能异常。另外,服务器还可以生成警报和进行数据统计,帮助IT部门来选择正确和及时的行动。  对于无线侵入监测系统IDS来说,分离分析解决方案使得IT人员能够通过对服务器进行简单的警报升级就可以应对快速变化的各种威胁了。传感器上的固件并不需要升级,因为它们只进行基本的分析。因此分离分析的解决方案使得管理变得非常方便。特别是对于无线IDS来说,分离分析提供了更多的好处。智能的瘦传感器分担了服务器的分析工作,减少了对回程带宽的消耗,提供了更好的可扩展性。多传感器相关和实时网络状态数据库可以帮助减少错误识别,增加高级报警功能,从而提高了监测的准确性。



[发帖际遇]: AYU琳琳玩宠物的时候不幸损失翱宇币2两.

网络安全技术的局限与未来发展趋势



中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
  
  从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
  
  一、现阶段网络安全技术的局限性
  
  谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
  
  任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
  
  首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
  
  其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
  
  再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
  
  所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
  
  二、技术发展趋势分析
  
  1.防火墙技术发展趋势
  
  在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
  
  从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
  


  UTM的功能见图1。由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
  
  (1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
  
  (2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
  
  (3)有高可靠性、高性能的硬件平台支撑。
  
  (4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
  
  2.入侵检测技术发展趋势
  
  入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(IntrusionManagementSystem,入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测技术的发展方向。
  
  IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。
  
  3.防病毒技术发展趋势
  
  内网安全未来的趋势是SCM(SecurityComplianceManagement,安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点,精细化的内网管理可以使现有的内网安全达到真正的“可信”。
  
  目前,内网安全的需求有两大趋势:一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都非常重要。
  
  (1)从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,使IT管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、物力的浪费和服务质量的下降。
  
  (2)从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,而没有办法对业务行为的内容进行控制,SCM审计要求在合规行为下实现对业务内容的控制,实现对业务行为的认证、控制和审计。
  
  (3)对于内网来说,尽管Windows一统天下,但是随着业务的发展,Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要求内网安全管理实现从单一系统到异构平台的过渡,从而避免了由异构平台的不可管理引起的安全盲点的出现。
  
  最后,安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。



[发帖际遇]: AYU琳琳在大街上捡到翱宇币100两, 飞快的跑回家躲着.

数据统计中!!

看过该文章的网友还看过
最新评论共有  位网友发表了评论
发表评论(评论内容:请文明参与评论,禁止谩骂攻击!)
不能超过250字节,请自觉遵守互联网相关政策法规.
昵称:    发表评论 (Ctrl+Enter快速回复)
推荐新闻

关于本站 | 合作加盟 | 合作说明 | 免责声明 | 广告服务 | 网站地图

健康游戏忠告:抵制不良游戏 拒绝盗版游戏 注意自我保护 谨防受骗上当 适度游戏益脑 沉迷游戏伤身 合理安排时间 享受健康生活

如有意见和建议,请惠赐E-mail至350317@qq.com 联系QQ:350317

Copyright © 2010-2013 Www.27zG.CoM
苏ICP备11049833号