本文目录一览:
网站怎么防止黑客攻击,网站功能用了几次会不会改变
不知道你说的攻击是指哪方面的.但是你可以去了解一下关于DDOS及CC相关的东西.作为一个网站.先从最基本的安全措施改起.比如修改数据库位置.后台位置等.另外某些网管管理系统本来存在漏洞.你要把它找出来加以修改.
有啥可以帮助我们预防黑客入侵企业内网呢?
我们在电视或者电影中经常会看到这样的情景,间谍或者警察,在某户人家的电话线总线上,拉出一根电话分线,对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。
由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时,都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式,他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。可见,网络监听是一把双刃剑,用到正处,可以帮助我们管理员工的网络行为;用的不好,则会给企业的网络安全以致命一击。
一、监听的工作原理。
要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。知己知彼,百战百胜。只有如此,才能有针对性的提出一些防范措施。
现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下,只有主机B才会接收这个数据包。其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。
但是,若此时局域网内有台主机C,其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。
在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。在这种工作模式下,若把主机设置为监听模式,则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话,那么后果就可想而知了。
二、常见的防范措施。
1、采用加密技术,实现密文传输。
从上面的分析中,我们看到,若把主机设置为监听模式的话,则局域网中传输的任何数据都可以被主机所窃听。但是,若窃听者所拿到的数据是被加密过的,则其即使拿到这个数据包,也没有用处,无法解密。这就好像电影中的电报,若不知道对应的密码,则即使获得电报的信息,对他们来说,也是一无用处。
所以,比较常见的防范局域网监听的方法就是加密。数据经过加密之后,通过监听仍然可以得到传送的信息,但是,其显示的是乱码。结果是,其即使得到数据,也是一堆乱码,没有多大的用处。
现在针对这种传输的加密手段有很多,最常见的如IPSec协议。Ipsec 有三种工作模式,一是必须强制使用,二是接收方要求,三是不采用。当某台主机A向主机B发送数据文件的时候,主机A与主机B是会先进行协商,其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用,也就是说,无论是主机A还是主机B都必须支持IPSec,否则的话,这个传输将会以失败告终。二是请求使用,如在协商的过程中,主机A会问主机B,是否需要采用IPSec。若主机B回答不需要采用,则就用明文传输,除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密,则主机A就会先对数据包进行加密,然后再发送。经过IPSec技术加密过的数据,一般很难被破解。而且,重要的是这个加密、解密的工作对于用户来说,是透明的。也就是说,我们网络管理员之需要配置好IPSec策略之后,员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等,员工主机之间会自己进行协商,而不需要我们进行额外的控制。
在使用这种加密手段的时候,唯一需要注意的就是如何设置IPSec策略。也就是说,什么时候采用强制加密,说明时候采用可有可无的。若使用强制加密的情况下,一定要保证通信的双方都支持IPSec技术,否则的话,就可能会导致通信的不成功。最懒的方法,就是不管三七二十一,给企业内的所有电脑都配置IPSec策略。虽然,都会在增加一定的带宽,给网络带来一定的压力,但是,基本上,这不会对用户产生多大的直接影响。或者说,他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。
2、利用路由器等网络设备对网络进行物理分段。
我们从上面的以太网工作原理的分析中可以知道,如果销售部门的某位销售员工发送给销售经理的一份文件,会在公司整个网络内进行传送。我们若能够设计一种方案,可以让销售员工的文件直接给销售经理,或者至少只在销售部门内部的员工可以收的到的话,那么,就可以很大程度的降低由于网络监听所导致的网络安全的风险。
如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接,而是利用路由器进行连接的话,就可以起到很好的防范局域网监听的问题。如此时,当销售员A发信息给销售经理B的时候,若不采用路由器进行分割,则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反,若我们利用路由器来连接销售部门跟其他部门的网络,则数据包传送到路由器之后,路由器会检查数据包的目的IP地址,然后根据这个IP地址来进行转发。此时,就只有对应的IP地址网络可以收到这个数据包,而其他不相关的路由器接口就不会收到这个数据包。很明显,利用路由器进行数据报的预处理,就可以有效的减少数据包在企业网络中传播的范围,让数据包能够在最小的范围内传播。
不过,这个利用路由器来分段的话,有一个不好地地方,就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内,若有一台主机被设置为网络监听,则其虽然不能够监听到销售部门以外的网络,但是,对于销售部门内部的主机所发送的数据包,仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话,有路由器转发到销售部门的网络后,这个数据包仍然会到达销售部门网络内地任一主机。如此的话,只要销售网络中有一台网络主机被设置为监听,就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理,由于总经理的网段不在销售部门的网段,所以数据包不会传送给财务部门所在的网络段,则销售部门中的侦听主机就不能够侦听到这些信息了。
另外,采用路由器进行网络分段外,还有一个好的副作用,就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话,会给网络带来比较大的压力。相反,通过路由器进行网络分段,从而把数据包控制在一个比较小的范围之内,那么显然可以节省网络带宽,提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候,可以减少其危害性。
3、利用虚拟局域网实现网络分段。
我们不仅可以利用路由器这种网络硬件来实现网络分段。但是,这毕竟需要企业购买路由器设备。其实,我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术,就可以利用它来实现网络分段,减少网络侦听的可能性。
虚拟局域网的分段作用跟路由器类似,可以把企业的局域网分割成一个个的小段,让数据包在小段内传输,将以太网通信变为点到点的通信,从而可以防止大部分网络监听的入侵。
不过,这毕竟还是通过网络分段来防止网络监听,所以,其也有上面所说的利用路由器来实现这个需求的缺点,就是只能够减少网络监听入侵的几率。在某个网段内,仍然不能够有效避免网络监听。
所以,比较好的方法,笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害,特别似乎防止用户名、密码等关键信息被窃听。
网管 管什么?
网络管理员行业对网络管理员的要求基本就是大而全,不需要精通,但什么都得懂一些。所以,总结下来,一个合格的网络管理员最好在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用开发等六个方面具备扎实的理论知识和应用技能,才能在工作中做到得心应手,游刃有余。国家职业资格对网管员的定义是从事计算机网络运行、维护的人员。
定义
按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。一般而言,网络管理有五大功能:失效管理、配置管理、性能管理、安全管理和计费管理。目前有影响的网络管理协议是SNMP(Simple Network Management Protocol, 简单网络管理协议)、CMIS/CMIP(the Common Management Information Service/Protocol, 公共管理信息服务和协议)和RMON(远程监控)。
网络管理员是指向社会公众开放的营业性上网服务提供场所里的管理员。“网管”是个很模糊的概念,可以简单划分为:
网络管理员:负责网络架构设计、安装、配置、维护,主要人员为大多数系统集成公司的员工。
系统管理员:负责网络服务器的安装、配置、运行,主要人员为大型公司IT总部系统管理员。
客户端管理员(桌面支持):负责解决最终用户的问题,比如客户端重装,解决不能上网,机器有病毒等问题,主要人员为小型公司IT管理员和网吧网管。
网管能力
1:了解网络设计
拥有丰富的网络设计知识,熟悉网络布线规范和施工规范,了解交换机、路由器、服务器、软硬件,等网络设备,掌握局域网基本技术和相关技术,规划设计包含路由的局域网络和广域网络,为中小型网络提供完全的解决方案。
2:掌握网络施工
掌握充分的网络基本知识,深入了解TCP/IP网络协议,独立完成路由器、交换机等网络设备的安装、连接、配置和操作,搭建多层交换的企业网络,实现网络互联和Internet连接。掌握网络软件工具的使用,迅速诊断、定位和排除网络故障,正确使用、保养和维护硬件设备。
3:熟悉网络安全
设计并实施完整的网络安全解决方案,以降低损失和被攻击风险。在Internet和局域网络中,路由器、交换机和应用程序,乃至管理不严格的安全设备,都可能成为遭受攻击的目标。网管必须全力以赴,加强戒备,以防止来自黑客、外来者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。
4:熟悉网络操作系统
熟悉Windows和Linux操作系统,具备使用高级的Windows和Linux平台,为企业提供成功的设计、实施和管理商业解决方案的能力。
5:了解Web数据库
了解Web数据库的基本原理,能够围绕Web数据库系统开展实施与管理工作,实现对企业数据的综合应用。
6:素质能力
具有强烈的求知欲且能自学的能力,相关的计算机专业词汇英文阅读能力,动手能力,较强的应变能力,敏锐的观察能力和出色的分析判断能力。
岗位职责
网络管理员主要职责有一下8项:
1、基础设施管理
(1)确保网络通信传输畅通;
(2)掌握主干设备的配置情况及配置参数变更情况,备份各个设备的配置文件;
(3)对运行关键业务网络的主干设备配备相应的备份设备,并配置为热后备设备;
(4)负责网络布线配线架的管理,确保配线的合理有序;
(5)掌握用户端设备接入网络的情况,以便发现问题时可迅速定位;
(6)采取技术措施,对网络内经常出现的用户需要变更位置和部门的情况进行管理;
(7)掌握与外部网络的连接配置,监督网络通信状况,发现问题后与有关机构及时联系;
(8)实时监控整个局域网的运转和网络通信流量情况;
(9)制定、发布网络基础设施使用管理办法并监督执行情况。
2、操作系统管理
(2)在网络运行过程中,网络管理员应随时掌握网络系统配置情况及配置参数变更情况,对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求,动态调整系统配置参数,优化系统性能。
(3)网络管理员应为关键的网络操作系统服务器建立热备份系统,做好防灾准备。
3、应用系统管理
(1) 确保各种网络应用服务运行的不间断性和工作性能的良好性,出现故障时应将故障造成的损失和影响控制在最小范围内。
(2) 对于要求不可中断的关键型网络应用系统,除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。
(3) 对于用户访问频率高、系统负荷重的网络应用服务,必要时网络管理员还应该采取分担的技术措施。
4、用户服务与管理
(1) 用户的开户与撤销;
(2)用户组的设置与管理;
(3) 用户可用服务与资源的的权限管理和配额管理;
(4) 用户计费管理;
(5) 包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。
5、安全保密管理
(2) 对于普通级别的网络,网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击,可以加配入侵检测系统对关键服务提供安全保护。
(3) 对于安全保密级别要求高的网络,网络管理员除了应该采取上述措施外,还应该配备网络安全漏洞扫描系统,并对关键的网络服务器采取容灾的技术手段。
(4) 更严格的涉密计算机网络,还要求在物理上与外部公共计算机网络绝对隔离,对安置涉密网络计算机和网络主干设备的房间要采取安全措施,管理和控制人员的进出,对涉密网络用户的工作情况要进行全面的管理和监控。
6、信息存储备份管理
(1) 采取一切可能的技术手段和管理措施,保护网络中的信息安全。
(2) 对于实时工作级别要求不高的系统和数据,最低限度网络管理员也应该进行定期手工操作备份。
(3)
对于关键业务服务系统和实时性要求高的数据和信息,网络管理员应该建立存储备份系统,进行集中式的备份管理。
(4) 最后将备份数据随时保存在安全地点更是非常重要。
7、机房管理
(1) 掌握机房数据通信电缆布线情况,在增减设备时确保布线合理,管理维护方便;
(2) 掌管机房设备供电线路安排,在增减设备时注意负载的合理配置;
(3) 管理网络机房的温度、湿度和通风状况,提供适合的工作环境;
(4) 确保网络机房内各种设备的正常运转;
(5) 确保网络机房符合防火安全要求,火警监测系统工作正常,灭火措施有效;
(6) 采取措施,在外部供电意外中断和恢复时,实现在无人值守情况下保证网络设备安全运行;
(7) 保持机房整洁有序,按时记录网络机房运行日志,制定网络机房管理制度并监督执行。
8、其它
(1) 配合其它部门进行部门局域网络的建设,提出规划、标准。
(2) 配合保卫部门,对网络不良行为进行取证。
(3) 做到网络中心服务反馈工作,及时通报网络运行信息。
职业定位
其次,网管员要建立终身学习的理念
终身学习是对传统教育的观念、体系、结构、组织的终结者。其价值理念源自当代社会知识爆炸和信息急剧增长的现状,已成为现代一种新的生活方式。传统知识教育中并没有针对网管员职业设置的专业,另外,注重理论的讲授无法满足强调动手能力的工作要求。从业人员只能通过在工作中不断地学习和探索来满足岗位的需求;而另一方面,IT技术无疑是这个时代发展最为迅猛的技术之一,其普及与应用的速度也是无与伦比。这就要求“网管员”必须建立终身学习的理念,通过参加培训、自学、交流等种种渠道学习和掌握最新、最实用的技术,构建和完善自身的技术体系。
最后,什么是合格的计算机网络管理员?一个计算机网络管理员需要掌握哪些技能呢?
依据企业的业务性质与规模不同,对网管员的工作要求也有较大的差异。IT信息系统规模大的企业,分工较细,网管员可能只需要负责计算机机房的网络运行和维护;而一些小型企业,只设一个网管员,他(她)可能不但要负责IT系统运行维护中的设备管理,还要负责网络管理和系统管理,还有的企业需要网管员进行一些简单的网站建设和网页制作等工作。
总之,对网管员的要求基本就是大而全,不需要精通,但什么都得懂一些。所以,总结下来,一个合格的网络管理员最好在网络操作系统、网络数据库、网络设备、网络管理、网络安全、应用开发等六个方面具备扎实的理论知识和应用技能,才能在工作中做到得心应手,游刃有余。
必备技能
用户管理
无论是UNIX还是NT,对于用户的管理都是居于第一位的,作为一个新手,首先必须立刻掌握对用户的增加和删除以及限制等操作。这包括两个方面:
二是学会字符命令行下的用户管理,主要在UNIX或Linux环境下,包括用编辑工具Vi、emacs等对/etc/passwd进行操作或直接使用addusr、deleusr等用户管理命令以及使用pwconv命令使/etc/passwd与shadow文件保持一致,使用SCO的/etc/rmuser命令删除用户,用newgrp命令将用户添加到新组,另外包括用户目录的建立命令mkdir,赋于用户属性和组属性命令chown和chgrp,以及用户区域限制命令quota限制用户区域大小,用来避免用户区域占用硬盘空间过大,而使系统崩溃。其中,特别提醒一点,如果想对用户权限进行严格限制时,用户的注册shell可使用/usr/lib/rsh。用户的.profile和.login文件可使用系统标准的配置文件,或者也可在.profile中进行相应设置,用SU命令或SU
Username进入用户环境以进行具体检测。另外,对用户的消息发布系统,在NT中是使用Alert功能发出,对远程主机则使用Server
Manager中的computer|send
message功能。在Novell中采用send命令。在UNIX中是使用wall或write指令,也可使用每日消息文件/etc/motd或news命令发出/usr/new文件内容。
安全及日志管理
作为一个系统管理员,必须要能对系统事故找到故障原因,这就涉及到必须对系统的各项日志进行察看分析。在NT中是使用Administrative
Tools菜单中Event
Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor
options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件;UNIX中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab
-l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls
-lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。个人强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设机文立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
系统进程管理
在UNIX中,系统报告命令包括df用来报告自由磁盘块数;du用来总结磁盘使用状况;nice用来改变某个命令所设优先权;Pstat用来报告系统信息,如节点表或进程表;sar用来报告系统的活动状态如CPU的使用和缓冲区的活动状况;time用来打印过去的时间、系统时间以及命令的执行时间;uptime用来报告系统的活动状况,如系统启动时间及已运行时间;vmsfat用来报告页数及系统统计数字,如分支点的情况。BSD
UNIX中的ps -aux或system V中的ps -ef以及LINUX中的ps
aux用来查看进程状态及其宿主,并使用kill命令及时停止不正常的进程。在NT中则使用Task Manager查看cpu和内存的使用情况,进行进程管理,另外也使用performance
monitor进行状态监控,以及时做出调节。值得注意的是,随着网络应用的扩大,病毒成为对网络安全的一大威协。为此,在网络上安装病毒检测和清除工具已经成为网络管理必须要做的。
备份管理
作为一个较重要的系统,及时备份是必需的,那么在一开始就必须养成及时定时备份的习惯。掌握备份的基本方法和步骤,以及使用基本的备份还原命令,如:NT中使用管理工具集中的NTBackup程序。因在Backup中不存在调度能力,备份必须手工完成或用AT命令行实现调度;以及采用第三方的备份解决方案。UNIX中系统V使用tar、cpio以及backup、restor、rolcopy,BSD中则使用tar、dump、restor等等,SCO中使用sysadmin进行文件系统后备和恢复文件。备份还必须制定计划,指定何时进行何种备份,包括全集备份和递增备份,如可以每周做一次全集备份,每天进行一次递增备份,或者如系统不经常变化,则可每月一次全集备份,每周一次递增备份。恢复与容错管理
当系统出现故障时,作为系统管理员必须能定位并解决问题,这依赖于对控制台出错信息以及日志文件的分析,更重要的是平日的备份以及应急系统盘的制备。对于NT而言,是建立系统引导盘、紧急修复盘等,并使用Disk Adminstrator建立镜像等RAID操作。对于UNIX而言,也依赖于系统安装盘与紧急修复盘的建立。特别地,系统做任何改动后,都要重新生成新的系统恢复盘,并进行同步备份和使用单用户模式来排除系统的绝大部分问题,即启动时使用boot
-single命令,这是一个关键。当然,管理员的口令是绝对不能忘记的,否则,那会造成很大麻烦,但对于管理人员而言,自己以及其它用户都加上口令的使用限制,如口令字长度和日期限制以及其它限制,是非常必要的。太过简单的口令往往会造成不安全的隐患。在容错上则还包括经常地运行各类维护系统命令,如超级块维护命令SYNC,文件系统检查命令fsck。
文件系统与开关机管理
在所有的多用户系统中,由于广泛采用文件缓冲,
使对文件的修改在内存进行之后再写入磁盘,内核程序定时刷新这些缓冲区,以保持文件与缓冲区间同步。因而,不终止系统就关机,往往会造成同步的破坏,而出现文件系统的错误。在NT中,使用启动菜单中的关闭系统选项来关闭系统;UNIX则采用shutdown、halt(haltsys)、reboot等命令。一般推荐使用shutdown加参数来关机或进入单用户备份状态,直到完成关机程序后,才能关闭电源,无论如何,这是必须牢记的。
另外,在维护文件系统时,应经常运行超级块一致命令sync,文件系统检查及错误修改命令fsck,新建一个文件系统时使用mkfs命令,系统V的fsstat将报告文件系统的状态,以及设备管理命令mount、umount。
NOVELL中采用FILER菜单管理文件服务器的文件系统。
网络管理
网络管理,包括对E-mail、DNS以及WWW的调试。对于E-mail而言,是使用sendmail -bt -C
filename进行,或先mail user,再telnet host 110,通过user username;pass passwd;list;retr
*;quit等pop3命令进行调试。对于DNS,则使用nslookup命令进行域名解析,看能否正确解析出IP地址。对于WWW,则是通过浏览器进行检查。另外是察看~/httpd/下的浏览日志,对于NT而言,则通过管理工具下的server
manager察看各服务程序是否正常运行,其余检测步骤则与UNIX系统相同,只是不使用sendmail命令,而采用telnet host 25,用helo
host,send from: yourname@hostname ,rcpt to: username@hostname
,data,messagebody,“.”,exit等smtp命令进行检测,POP3命令都相同。
WWW的管理则直接通过http形式的在线管理方式进行,操作简易明了,应该不会有什么问题。 另外,在网络日常管理中,则包括使用ping察看网络连接状态,netstat察看协议统计数据和当前网络的连接状态,ifconfig进行网络接口设置,tracert进行路由状态监察。对NT系统而言,除以上命令外,还包括使用/winnt/system32/Regedit32来控制注册表,以及IPconfig察看IP设置,以及用与NT
server配套的Network monitor进行网络负载和性能统计。Novell系统中则使用NETADMIN实用程序或图形界面的管理工具Netware
Adminstrator来管理和规划网络,以及用monitor菜单监控本地服务器的各项状态。相对于UNIX的第三方工具集,能够作为管理者运行的网络管理软件主要有HP的OpenView、BAY的optivity、IBM的Netview和SUN的SunNetManager
网络安全的关键技术有哪些?
一.虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙枝术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。
五.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
网络安全技术主要有哪些?
1、防火墙
网络防火墙技术是一种特殊的网络互联设备,用于加强网络间的访问控制,防止外网用户通过外网非法进入内网,访问内网资源,保护内网运行环境。它根据一定的安全策略,检查两个或多个网络之间传输的数据包,如链路模式,以决定网络之间的通信是否允许,并监控网络运行状态。
目前防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)、电路层网关、屏蔽主机防火墙、双宿主机等。
2、杀毒软件技术
杀毒软件绝对是使用最广泛的安全技术解决方案,因为这种技术最容易实现,但是我们都知道杀毒软件的主要功能是杀毒,功能非常有限,不能完全满足网络安全的需求,这种方式可能还是能满足个人用户或者小企业的需求,但是如果个人或者企业有电子商务的需求,就不能完全满足。
幸运的是,随着反病毒软件技术的不断发展,目前主流的反病毒软件可以防止木马等黑客程序的入侵。其他杀毒软件开发商也提供软件防火墙,具有一定的防火墙功能,在一定程度上可以起到硬件防火墙的作用,比如KV300、金山防火墙、诺顿防火墙等等。
3、文件加密和数字签名技术
与防火墙结合使用的安全技术包括文件加密和数字签名技术,其目的是提高信息系统和数据的安全性和保密性。防止秘密数据被外界窃取、截获或破坏的主要技术手段之一。随着信息技术的发展,人们越来越关注网络安全和信息保密。
目前,各国除了在法律和管理上加强数据安全保护外,还分别在软件和硬件技术上采取了措施。它促进了数据加密技术和物理防范技术的不断发展。根据功能的不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性判别等。
扩展资料:
首届全VR线上网络安全大会举办
日前,DEF CON CHINA组委会正式官宣,历经20余月的漫长等待,DEF CON CHINA Party将于3月20日在线上举办。
根据DEF CON CHINA官方提供的信息,本次DEF CON CHINA Party将全程使用VR的方式在线上进行,这也是DEF CON历史上的首次“全VR”大会。为此,主办方构建了名为The DEF CONstruct的虚拟空间和赛博世界。在计算机语言中,Construct通常被译为结构体。