网络信息安全

网络信息安全

计算机网络的发展，使信息共享应用日益广泛与深入，但是企业的信息在公共网络上传输，可能会被非法窃听、截取、篡改或破坏，而造成不可估量的损失。网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠地运行，网络服务不中断。

本章介绍了网络信息安全中的一些常用技术手段，包括防火墙技术、入侵检测技术、反病毒技术、内外网隔离技术和电子邮件的安全。

7.1 防火墙技术

网络的安全性可以定义为计算机机密性、完整性和可用性的实现。机密性要求只有授权才能访问信息；完整性要求信息保持不被意外或者恶意地改变；可用性指计算机系统在不降低使用的情况下仍能根据授权用户的需要提供资源服务。因特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。

7.1.1防火墙基础知识

Internet防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如图7.1.1所示。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。防火墙是一种被动的技术，因为它假设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络，例如企业的内部的局域网络等。 Internet 工作站服务器工作站工作站

图7.1.1基本的防火墙系统模型从实现上来看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由服务器上，控制经过它们的网络应用服务及数据。安全、管理、速度是防火墙的三大要素。防火墙已成为实现网络安全策略的最有效的工具之一，并被广泛地应用到Internet/Intranet 的建设上。

防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交流的点上。Internet防火墙是路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。如果仅设立防火墙系统，而没有全面的安

全策略，那么防火墙就形同虚设。全面的安全策略应告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。

防火墙系统可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或

子网同那些子网外的可能是不安全的系统隔绝。防火墙系统通常位于等级较高网关或网点与Internet的连接处。

防火墙基本上是一个独立的进程或一组紧密结合的进程，安置在路由器或服务器中来控制经过防火墙的数据。它确保一个单位内的网络与Internet之间所有的信息均符合该单位的安全方针，这个系统能为管理人员提供对一系列问题的答案：诸如：谁在使用网络？他们在网上做什么？他们什么时间使用过网络？他们上网时去了何处？谁要上网但没有成功？

引入防火墙是因为传统的子网系统会把自身暴露给不安全的服务，并受到网络上其他地方的主系统的试探和攻击。在没有防火墙的环境中，局域网内部上的每个节点都暴露给Internet上的其它主机，此时局域网的安全性要由每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点，子网越大，把所有主机保持在相同安全性水平上的可管理能力就越小，随着安全性的失误和失策越来越普遍，闯入时有发生，这些中有的不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。而防火墙是放置在局域网与外部网络之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有节点上，这就简化了局域网安全管理。

防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。主要表现在：1．防止易受攻击的服务

防火墙可以大大提高网络安全性，并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能通过防火墙。例如，防火墙可以禁止某些易受攻击的服务（如NFS）进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用，并用来减轻主系统管理负担。

2．控制访问网点系统

防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。

3．集中安全性

如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中，而不是分散到每个主机中，这样防火墙的保护就相对集中一些，也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等，放在防火

墙系统中更是优于放在每个Internet能访问的机器上。

4．增强保密，强化私有权

对一些站点而言，私有性是很重要的，使用防火墙系统，站点可以防止finger 以及DNS域名服务。

防火墙也能封锁域名服务信息，从而使Internet外部主机无法获取站点名和IP 地址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。

5．有关网络使用、滥用的记录和统计

如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警，则还提供防火墙和网络是否受到试探或攻击的细节。

采集网络使用率统计数字和试探的证据是很重要的，这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率统计数字可作为网络需求和风险分析活动的输入。

6．政策执行

防火墙是可提供实施和执行的网络访问政策的工具，可向用户和服务提供访问控制。因此，网络访问政策可以由防火墙执行，如果没有防火墙，这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协作，但是，它一般不可能，也不依赖Internet用户。

总的说来，防火墙的主要组成部分有：

" 网络政策；

" 先进的验证工具；

" 包过滤；

" 应用网关。

有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发布专用的网络访问政策，它用来定义那些有受限制的网络许可或明确拒绝的服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问，并过滤在高层政策所定义的服务。

服务访问政策应集中与上面定义的Internet专用的使用问题，或许也应集中与所有的外部网络访问问题（即拨入政策以及SLIP或PPP连接）。这种政策应当是整个机构有关保护机构信息资源政策的延伸。要使防火墙取得成功，服务访问政策必须既切合实际，又稳妥可靠，而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策，既能防护网络免受已知风险，而且仍能使用户利用网络资源。如果防火墙系统拒绝或限制服务，那么，它通常需要有力量的服务访问政策来防止防火墙的访问控制不会受到带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。