亚洲嫩模一区二区三区四区_欧美肥妇肉交视频国产一级精_最新中文国产中文字幕第一章_无码精品国产一区二区三区蜜桃

摘要

安全事故的數(shù)量每一年都在以驚人的速度增加。安全威脅的復(fù)雜程度越來(lái)越高，因此，必須采取安全措施來(lái)保護(hù)網(wǎng)絡(luò)。如今，為了安全地部署和管理網(wǎng)絡(luò)，數(shù)據(jù)中心工作人員、網(wǎng)絡(luò)管理人員以及其他數(shù)據(jù)中心專家都需要掌握基本的安全知識(shí)。本白皮書(shū)闡述了網(wǎng)絡(luò)系統(tǒng)的基本安全知識(shí)，包括防火墻、網(wǎng)絡(luò)拓?fù)浜桶踩珔f(xié)議等。此外，還給出了佳方案，向讀者介紹了在保護(hù)網(wǎng)絡(luò)安全中某些比較關(guān)鍵的方面。

簡(jiǎn)介

要保護(hù)現(xiàn)代商業(yè)網(wǎng)絡(luò)和 IT 基礎(chǔ)設(shè)施的安全，不僅需要端對(duì)端的方法，還必須充分了解網(wǎng)絡(luò)中所存在的弱點(diǎn)以及相關(guān)的保護(hù)措施。雖然這些知識(shí)并不足以阻擋住所有網(wǎng)絡(luò)入侵或系統(tǒng)攻擊企圖，但可以使網(wǎng)絡(luò)工程師排除某些常見(jiàn)問(wèn)題，大量減少潛在的危害并迅速檢測(cè)出安全性漏洞。隨著攻擊數(shù)量的日益增加以及復(fù)雜程度的不斷提高，無(wú)論是大企業(yè)還是小公司，都必須采取謹(jǐn)慎的步驟來(lái)確保安全性。圖 1 顯示了歷年來(lái)安全事故次數(shù)的顯著上升趨勢(shì)，數(shù)據(jù)取自 CERT? Coordination Center（一家互聯(lián)網(wǎng)安全專業(yè)技術(shù)中心）。

人的問(wèn)題

在任何安全方案中，人確實(shí)都是薄弱的環(huán)節(jié)。很多人都不認(rèn)真對(duì)待保密的問(wèn)題，譬如，不重視對(duì)密碼和訪問(wèn)代碼的保密，而這些正是大多數(shù)安全系統(tǒng)的基礎(chǔ)。所有安全系統(tǒng)均依賴于一套控制訪問(wèn)、驗(yàn)證身份并防止泄漏敏感信息的方法。這些方法通常涉及一個(gè)或多個(gè)“秘密”。如果這些秘密被泄漏或偷竊，那么由這些秘密所保護(hù)的系統(tǒng)將受到威脅。這看起來(lái)似乎是再明顯不過(guò)的事實(shí)，但可惜大多數(shù)系統(tǒng)都是以這種非常低級(jí)的方式被攻擊的。譬如，將寫有系統(tǒng)密碼的便箋粘在計(jì)算機(jī)顯示器的一側(cè)，這種行為看起來(lái)十分的愚蠢，但事實(shí)上，很多人都有過(guò)這樣的舉動(dòng)。另一個(gè)類似的例子，某些網(wǎng)絡(luò)設(shè)備仍保留著出廠時(shí)的默認(rèn)密碼。此類設(shè)備可能包括UPS 的網(wǎng)絡(luò)管理接口。在安全方案中，無(wú)論是小型 UPS 還是足以為 100 臺(tái)服務(wù)器供電的大型 UPS，都往往是被忽略的環(huán)節(jié)。如果此類設(shè)備仍沿用默認(rèn)的用戶名和密碼，那么，即使是除設(shè)備類型及發(fā)布的默認(rèn)憑據(jù)之外一無(wú)所知的人，要獲得訪問(wèn)權(quán)限也只是時(shí)間問(wèn)題。如果服務(wù)器群集中的每臺(tái) Web 服務(wù)器和郵件服務(wù)器的安全協(xié)議都堅(jiān)不可摧，整個(gè)系統(tǒng)卻因?yàn)橐粋€(gè)無(wú)保護(hù)的 UPS 的簡(jiǎn)單關(guān)機(jī)操作被擊垮，該是多么令人震驚！

安全性，進(jìn)入正題

一家安全的公司，無(wú)論大小，都應(yīng)當(dāng)采取適當(dāng)步驟保護(hù)安全性，步驟必須全面而完整才能保證其有效性。但大多數(shù)公司機(jī)構(gòu)的安全性策略及其實(shí)施都未達(dá)到此標(biāo)準(zhǔn)。造成這種情況有多種原因，比如實(shí)施安全性保護(hù)需要花費(fèi)成本。這里的成本不僅是資金，還包括復(fù)雜性、時(shí)間和效率成本。為確保安全，必須花費(fèi)金錢、執(zhí)行更多的程序并等待這些程序完成（或者還可能涉及其他人）。事實(shí)是，真正的安全性計(jì)劃很難實(shí)現(xiàn)。通常的做法是選擇一個(gè)具有一定“成本”并實(shí)現(xiàn)一定安全性功能的方案。（這種安全性涵蓋的范圍幾乎總是比“全面、完整的”方案所涵蓋的范圍要窄。）關(guān)鍵是要為整個(gè)系統(tǒng)的每個(gè)方面做出明智的決策，并按照預(yù)計(jì)的方式有意識(shí)地或多或少地實(shí)施這些決策。如果知道某個(gè)區(qū)域缺乏保護(hù)，那么至少可以監(jiān)控此區(qū)域以確定問(wèn)題或漏洞所在。 

安全性基礎(chǔ)知識(shí)

了解網(wǎng)絡(luò)

如果連要保護(hù)的對(duì)象都未清楚地了解，那么要保護(hù)好它是不可能的。任何規(guī)模的組織都應(yīng)當(dāng)有一套記錄在案的資源、資產(chǎn)和系統(tǒng)。其中每個(gè)元素都應(yīng)當(dāng)具備相對(duì)價(jià)值，該價(jià)值是根據(jù)其對(duì)組織的重要性以某種方式指定的。應(yīng)予以考慮的設(shè)備包括服務(wù)器、工作站、存儲(chǔ)系統(tǒng)、路由器、交換機(jī)、集線器、網(wǎng)絡(luò)與電信鏈路以及其他任何網(wǎng)絡(luò)元素，如打印機(jī)、UPS 系統(tǒng)和 HVAC 系統(tǒng)等。此外，還有一些重要方面，如記錄設(shè)備位置以及它們之間的相關(guān)性。例如，大多數(shù)計(jì)算機(jī)都依賴于 UPS 等備用電源，如果這些系統(tǒng)受網(wǎng)絡(luò)管理，則它們可能也是網(wǎng)絡(luò)的一部分。環(huán)境設(shè)備，如 HVAC 設(shè)備和空氣凈化器可能也包括在內(nèi)。 

了解各種威脅

接下來(lái)是確定以上每個(gè)元素的潛在“威脅”，如表 1 所示。威脅既可能來(lái)自內(nèi)部，也可能來(lái)自外部。它們可能是人為操作的，或自動(dòng)執(zhí)行的，甚至還可能是無(wú)意的自然現(xiàn)象所導(dǎo)致的。后一種情況更適合歸類到安全威脅的反面 — 系統(tǒng)健康威脅中，不過(guò)這兩種威脅有可能互相轉(zhuǎn)換。以防盜警報(bào)器斷電為例。斷電可能是有人故意為之，也可能是某些自然現(xiàn)象（如閃電）而造成的。無(wú)論是哪種原因，安全性都降低了。

表 1 – 各種威脅及后果一覽

物理安全性，從內(nèi)部進(jìn)行保護(hù)

大多數(shù)專家都認(rèn)同，物理安全是一切安全性的起點(diǎn)?？刂茖?duì)計(jì)算機(jī)和網(wǎng)絡(luò)附加設(shè)備的物理訪問(wèn)，或許要比其他任何安全方面都更為重要。對(duì)內(nèi)部站點(diǎn)的任何類型的物理訪問(wèn)都將使站點(diǎn)暴露在危險(xiǎn)之中。如果能夠進(jìn)行物理訪問(wèn)，那么要獲得安全文件、密碼、證書(shū)和所有其他類型的數(shù)據(jù)并非難事。幸好有各種各樣的訪問(wèn)控制設(shè)備與安全柜可以幫助解決該問(wèn)題。有關(guān)數(shù)據(jù)中心和網(wǎng)絡(luò)機(jī)房物理安全的詳細(xì)信息，請(qǐng)參閱 APC 第 82 號(hào)白皮書(shū)“任務(wù)關(guān)鍵設(shè)備的物理安全”。采用防火墻劃分和保護(hù)網(wǎng)絡(luò)邊界

對(duì)于站點(diǎn)而言，除了基本的物理安全之外，另一個(gè)重要的方面便是對(duì)出入組織網(wǎng)絡(luò)的數(shù)字訪問(wèn)進(jìn)行控制。大多數(shù)情況下，控制數(shù)字訪問(wèn)即意味著控制與外部世界（通常為互聯(lián)網(wǎng)）的連接點(diǎn)。幾乎每家媒體和每個(gè)大公司在互聯(lián)網(wǎng)上都有自己的網(wǎng)站，并且有一個(gè)組織網(wǎng)絡(luò)與之相連。事實(shí)是，與互聯(lián)網(wǎng)時(shí)刻保持連通的小公司和家庭的數(shù)量在與日俱增。因此，確保安全的當(dāng)務(wù)之急是在外部互聯(lián)網(wǎng)與內(nèi)部企業(yè)網(wǎng)之間建立分界線。通常，內(nèi)部企業(yè)網(wǎng)被當(dāng)作“受信任”端，而外部互聯(lián)網(wǎng)則被當(dāng)作“不受信任”端。一般情況下這樣理解并沒(méi)有錯(cuò)，但不夠具體和全面，下文將對(duì)此進(jìn)行闡述。防火墻機(jī)制就像是一個(gè)受控的堡壘，用于控制進(jìn)出組織機(jī)構(gòu)的企業(yè)網(wǎng)的通信。從本質(zhì)上而言，防火墻其實(shí)就是特殊用途的路由器。它們運(yùn)行于專用的嵌入式系統(tǒng)（如網(wǎng)絡(luò)外設(shè)）上，或者，它們也可以是運(yùn)行于常見(jiàn)服務(wù)器平臺(tái)上的軟件程序。大多數(shù)情況下，這些系統(tǒng)都有兩個(gè)網(wǎng)絡(luò)接口，分別連接外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）和內(nèi)部企業(yè)網(wǎng)。防火墻進(jìn)程可以嚴(yán)格控制允許哪些服務(wù)可以通過(guò)防火墻。防火墻結(jié)構(gòu)既可以相當(dāng)簡(jiǎn)單，也可以非常復(fù)雜。對(duì)于安全的大多數(shù)方面而言，決定采用哪種類型的防火墻取決于多個(gè)因素，譬如，通信級(jí)別、需要保護(hù)的服務(wù)、所需規(guī)則的復(fù)雜程度，等等。需要穿過(guò)防火墻的服務(wù)數(shù)量越多，所需的防火墻也越復(fù)雜。防火墻的難點(diǎn)在于區(qū)分合法通信與非法通信。

防火墻可以提供哪方面的保護(hù)，以及無(wú)法提供哪方面的保護(hù)？防火墻與其他很多事物一樣，如果配置正確，則是防衛(wèi)外部威脅，包括某些拒絕服務(wù) (DOS) 攻擊的利器。相反，如果配置不正確，則會(huì)成為組織內(nèi)主要的安全漏洞。防火墻所提供的基本的保護(hù)便是可以阻止網(wǎng)絡(luò)通信到達(dá)某個(gè)目的地，包括 IP 地址和特定的網(wǎng)絡(luò)服務(wù)端口。如果站點(diǎn)希望 Web 服務(wù)器供外部訪問(wèn)，可以將所有通信限定在端口 80（標(biāo)準(zhǔn) HTTP 端口）。通常，此限制限定來(lái)自不受信任端的通信，受信任端的通信則不受限制。其他所有通信，如郵件通信、FTP、SNMP 等，都不允許通過(guò)防火墻進(jìn)入企業(yè)網(wǎng)。圖 2 顯示了一個(gè)簡(jiǎn)單的防火墻。

圖 2 – 簡(jiǎn)單的網(wǎng)絡(luò)防火墻

還有一個(gè)更簡(jiǎn)單的例子，使用家庭或小型企業(yè)用電纜/DSL 路由器的用戶使用的防火墻。通常，這種防火墻均設(shè)置為限制所有外部訪問(wèn)，只允許來(lái)自內(nèi)部的服務(wù)。認(rèn)真的讀者可能會(huì)意識(shí)到，在以上兩種情況中，防火墻實(shí)際上阻止了來(lái)自外部的所有通信。如果是這樣，那么如何能在網(wǎng)上沖浪并檢索網(wǎng)頁(yè)呢？防火墻所做的是限制來(lái)自外部的連接請(qǐng)求。在第1種情況中，來(lái)自內(nèi)部的所有連接請(qǐng)求都被傳遞至外部，隨后，所有數(shù)據(jù)通過(guò)該連接進(jìn)行傳輸。對(duì)于外部網(wǎng)絡(luò)而言，只有對(duì) Web 服務(wù)器的連接請(qǐng)求以及數(shù)據(jù)被允許通過(guò)，所有其他請(qǐng)求均被阻止。第二種情況則更加嚴(yán)格，干脆只允許從內(nèi)部到外部的連接。

比較復(fù)雜的防火墻規(guī)則可采用被稱為“狀態(tài)監(jiān)測(cè)”的技術(shù)。該方法對(duì)通信狀態(tài)與順序逐一進(jìn)行查看，以檢測(cè)欺騙攻擊和拒絕服務(wù)攻擊，從而增加了基本的端口阻止方法。規(guī)則越復(fù)雜，所需的防火墻計(jì)算能力也越強(qiáng)。大多數(shù)組織都會(huì)面臨這樣一個(gè)問(wèn)題：如何才能既使外部用戶能合法訪問(wèn) Web、FTP 和電子郵件等的“公共”服務(wù)，同時(shí)又嚴(yán)密保護(hù)企業(yè)網(wǎng)的安全。典型的做法是設(shè)置一個(gè)所謂的隔離區(qū) (DMZ)，這個(gè)來(lái)自冷戰(zhàn)時(shí)期的術(shù)語(yǔ)，如今用到了網(wǎng)絡(luò)上。該結(jié)構(gòu)存在兩個(gè)防火墻：一個(gè)位于外部網(wǎng)絡(luò)與 DMZ 之間，另一個(gè)位于 DMZ 與內(nèi)部網(wǎng)絡(luò)之間。所有的公共服務(wù)器都放置在 DMZ 中。采用該結(jié)構(gòu)之后，防火墻規(guī)則可以設(shè)置為允許公眾訪問(wèn)公共服務(wù)器，但內(nèi)部防火墻仍可以限制所有進(jìn)入的連接。比起僅僅處于單個(gè)防火墻之外，公共服務(wù)器在 DMZ 中仍受到了更多的保護(hù)。圖 3 顯示了 DMZ 的作用。

圖 3 – 雙防火墻及 DMZ

在各企業(yè)網(wǎng)的邊界使用內(nèi)部防火墻也有助于減少內(nèi)部威脅以及已通過(guò)邊界防火墻的威脅（如蠕蟲(chóng)）。內(nèi)部防火墻甚至可運(yùn)行于待機(jī)模式，不阻止正常的通信模式，而只是在出現(xiàn)問(wèn)題時(shí)啟用嚴(yán)格的規(guī)則。

工作站防火墻

有一個(gè)重要的網(wǎng)絡(luò)安全因素直到現(xiàn)在才為大多數(shù)人所認(rèn)知，那便是網(wǎng)絡(luò)上的每一個(gè)節(jié)點(diǎn)或工作站都可能是潛在的安全漏洞。過(guò)去，在考慮網(wǎng)絡(luò)安全時(shí)注意力基本上都集中在防火墻和服務(wù)器上，隨著 Web 的出現(xiàn)以及新的節(jié)點(diǎn)等級(jí)（如網(wǎng)絡(luò)外設(shè)）的不斷擴(kuò)張，保護(hù)網(wǎng)絡(luò)安全產(chǎn)生了新的問(wèn)題。各種蠕蟲(chóng)病毒程序攻擊計(jì)算機(jī)，并通過(guò)這些計(jì)算機(jī)進(jìn)一步擴(kuò)散及危害系統(tǒng)。如果組織的內(nèi)部系統(tǒng)能更有效地進(jìn)行“封鎖”，那么大部分蠕蟲(chóng)都可以被成功阻止或攔截。工作站防火墻產(chǎn)品即可以阻止不屬于主機(jī)正常需求的、出入各個(gè)主機(jī)的所有端口訪問(wèn)，此外，用以阻止來(lái)自組織外可疑連接的內(nèi)部網(wǎng)絡(luò)防火墻規(guī)則也有助于防止蠕蟲(chóng)擴(kuò)散回組織外部。在這兩個(gè)防火墻的共同作用下，蠕蟲(chóng)的內(nèi)部復(fù)制和外部復(fù)制機(jī)會(huì)都減少了。在絕大多數(shù)情況下，所有系統(tǒng)都應(yīng)當(dāng)能阻止無(wú)需使用的所有端口。

基本的網(wǎng)絡(luò)主機(jī)安全

端口防范并盡量減少運(yùn)行的服務(wù)默認(rèn)情況下，許多網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)主機(jī)都會(huì)啟動(dòng)網(wǎng)絡(luò)服務(wù)，而每一個(gè)服務(wù)對(duì)攻擊者、蠕蟲(chóng)和木馬而言都是攻擊機(jī)會(huì)。所有這些默認(rèn)服務(wù)往往并不是必需的。通過(guò)關(guān)閉服務(wù)來(lái)執(zhí)行端口防范可以減少攻擊的機(jī)會(huì)。以下的防火墻部分中將提到，與網(wǎng)絡(luò)防火墻一樣，臺(tái)式機(jī)和服務(wù)器也可以運(yùn)行基本的防火墻軟件來(lái)阻止對(duì)主機(jī)上不需要的 IP 端口的訪問(wèn)，或者限制來(lái)自某些主機(jī)的訪問(wèn)。當(dāng)外層防御已經(jīng)被突破或存在其他內(nèi)部威脅時(shí)，該方案對(duì)于內(nèi)部保護(hù)非常重要?？晒┻x擇的臺(tái)式機(jī)防火墻軟件包有很多種，都可以執(zhí)行保護(hù)主機(jī)的大量工作，例如，如Windows XP Service Pack 2 的功能，Microsoft 實(shí)際上構(gòu)建了一個(gè)基本的防火墻。

用戶名和密碼管理

如上文中所提到的，在大多數(shù)公司網(wǎng)絡(luò)中，用戶名和密碼管理不善是一個(gè)很常見(jiàn)的問(wèn)題。雖然可以采用復(fù)雜的集中式身份驗(yàn)證系統(tǒng)（后文將對(duì)此進(jìn)行討論）來(lái)幫助減少該問(wèn)題，但是，如果能遵照一些基本原則，也可以帶來(lái)很大的幫助。以下提供了用戶名和密碼應(yīng)當(dāng)遵從的四條基本規(guī)則：

1.不要使用太過(guò)明顯的密碼，如配偶的姓名、喜歡的體育團(tuán)隊(duì)等

2.采用數(shù)字與符號(hào)混合的較長(zhǎng)的密碼

3.定期更改密碼

4.網(wǎng)絡(luò)設(shè)備切勿沿用默認(rèn)憑據(jù)

如果計(jì)算機(jī)或設(shè)備無(wú)內(nèi)置策略來(lái)強(qiáng)制實(shí)施以上內(nèi)容，那么用戶應(yīng)當(dāng)約束自己遵從這些規(guī)則。至少可以通過(guò)采用網(wǎng)絡(luò)探測(cè)器來(lái)檢測(cè)設(shè)備憑據(jù)是否為默認(rèn)設(shè)置，以對(duì)規(guī)則 (4) 進(jìn)行檢查。

訪問(wèn)控制列表

許多類型的設(shè)備或主機(jī)都可以配置訪問(wèn)列表。這些列表定義了有權(quán)訪問(wèn)該設(shè)備的主機(jī)名或 IP 地址。一個(gè)典型的例子，便是可以限制組織網(wǎng)絡(luò)內(nèi)部對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn)。這可以防止任何類型的訪問(wèn)突破外部防火墻。作為后一道重要的防線，訪問(wèn)列表對(duì)于某些具有不同訪問(wèn)協(xié)議的不同規(guī)則的設(shè)備而言相當(dāng)有效。保護(hù)對(duì)設(shè)備與系統(tǒng)的訪問(wèn)的安全性

由于數(shù)據(jù)網(wǎng)絡(luò)無(wú)法保證始終能夠抵御入侵或數(shù)據(jù)“竊聽(tīng)”，可以提高相連網(wǎng)絡(luò)設(shè)備安全性的協(xié)議便應(yīng)運(yùn)而生。總體而言，安全問(wèn)題涉及兩個(gè)獨(dú)立的問(wèn)題：身份驗(yàn)證和防止泄密（加密）。有多種方案和協(xié)議能夠滿足安全系統(tǒng)與通信中的這兩個(gè)需求。我們將首先介紹

身份驗(yàn)證的基礎(chǔ)知識(shí)，然后再介紹加密。

網(wǎng)絡(luò)設(shè)備的用戶身份驗(yàn)證

當(dāng)有人想要控制對(duì)網(wǎng)絡(luò)元素，尤其是網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的訪問(wèn)時(shí)，必須提供身份驗(yàn)證信息。身份驗(yàn)證包含兩個(gè)概念：一般訪問(wèn)身份驗(yàn)證以及功能授權(quán)。一般訪問(wèn)用于控制特定用戶是否對(duì)特定網(wǎng)絡(luò)元素具有任意類型的訪問(wèn)權(quán)限。這些權(quán)限通常以“用戶帳戶”的形式體現(xiàn)。授權(quán)則指各個(gè)用戶的“權(quán)限”。例如，用戶通過(guò)身份驗(yàn)證后能進(jìn)行哪些操作？用戶是能配置設(shè)備，還是只能查看數(shù)據(jù)？表 2 總結(jié)了各種主要的身份驗(yàn)證協(xié)議、其功能及其相關(guān)的應(yīng)用。

表 2 – 主要身份驗(yàn)證協(xié)議一覽

限制對(duì)設(shè)備的訪問(wèn)是確保網(wǎng)絡(luò)安全重要的一點(diǎn)。由于基礎(chǔ)設(shè)施設(shè)備是網(wǎng)絡(luò)和計(jì)算設(shè)備的基礎(chǔ)，因此，倘若基礎(chǔ)設(shè)施受到危及，則可能導(dǎo)致整個(gè)網(wǎng)絡(luò)及其資源崩潰。很可笑的是，許多 IT 部門花費(fèi)了很大精力來(lái)保護(hù)服務(wù)器、設(shè)置防火墻并保護(hù)訪問(wèn)機(jī)制，但是對(duì)某些基礎(chǔ)設(shè)備卻只采用了很低級(jí)的安全措施。

起碼，所有設(shè)備都應(yīng)當(dāng)設(shè)置比較嚴(yán)謹(jǐn)?shù)挠脩裘艽a身份驗(yàn)證（10 個(gè)字符，字母、數(shù)字和符號(hào)混用）。并且，應(yīng)當(dāng)從數(shù)量和授權(quán)類型上對(duì)用戶進(jìn)行限制。在使用并不安全（即用戶名和密碼以明文形式在網(wǎng)絡(luò)上傳輸）的遠(yuǎn)程訪問(wèn)方法時(shí)，應(yīng)當(dāng)格外小心。密碼還應(yīng)當(dāng)定期進(jìn)行更改，譬如每三個(gè)月更改一次，如果使用工作組密碼，當(dāng)有員工離職時(shí)也應(yīng)當(dāng)進(jìn)行更改。

集中式身份驗(yàn)證方法

選用合適的身份驗(yàn)證方法作為基本的安全手段非常重要，不過(guò)，在以下情況中集中式身份驗(yàn)證方法可能更好：a) 設(shè)備的用戶數(shù)量很多；b) 網(wǎng)絡(luò)中的設(shè)備數(shù)量很大。過(guò)去，集中式身份驗(yàn)證通常用來(lái)解決情況 (a) 中存在的問(wèn)題，常用的是在遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)中。在遠(yuǎn)程訪問(wèn)系統(tǒng)（如撥號(hào) RAS）中，要靠 RAS 網(wǎng)絡(luò)設(shè)備自身來(lái)管理用戶簡(jiǎn)直是不可能的。網(wǎng)絡(luò)中的任何用戶都可能試圖使用現(xiàn)有的任何RAS 訪問(wèn)點(diǎn)。如果將所有用戶信息都放在每個(gè) RAS 設(shè)備中并一直保持這些信息的更新，這將超出任何大公司中的 RAS 設(shè)備的能力，并將是管理的夢(mèng)魘。

RADIUS 和 Kerberos 等集中式身份驗(yàn)證系統(tǒng)使用 RAS 設(shè)備，使用 RAS 設(shè)備或其他類型的設(shè)備都能安全訪問(wèn)的集中式用戶帳戶信息，從而解決了該問(wèn)題。這些集中式方案將信息集中存放在一個(gè)位置，而不是很多個(gè)不同的位置。因此，無(wú)需再在多個(gè)設(shè)備上管理用戶，而是通過(guò)一個(gè)位置進(jìn)行用戶管理。如果用戶信息需要更改，如更改密碼，只需一個(gè)簡(jiǎn)單的任務(wù)即可完成該操作。如果有用戶離開(kāi)，則可以刪除其帳戶以防該用戶使用集中式身份驗(yàn)證訪問(wèn)所有設(shè)備。在大型網(wǎng)絡(luò)中，若采用非集中式身份驗(yàn)證方法，一個(gè)典型問(wèn)題便是需要?jiǎng)h除位于各個(gè)地方的帳戶。RADIUS 等的集中式身份驗(yàn)證系統(tǒng)通常可以與其他用戶帳戶管理方案（如 Microsoft 的 ActiveDirectory 或 LDAP 目錄）無(wú)縫集成。雖然這兩個(gè)目錄系統(tǒng)本身并非身份驗(yàn)證系統(tǒng)，但它們可以用作集中式帳戶存儲(chǔ)機(jī)制。大多數(shù)RADIUS 服務(wù)器都可以通過(guò)普通的 RADIUS 協(xié)議與 RAS 或其他網(wǎng)絡(luò)設(shè)備通信，然后安全地訪問(wèn)存儲(chǔ)在目錄中的帳戶信息。icrosoftIAS Server 便通過(guò)這種方式在 RADIUS 與 Active Directory 之間建立起溝通的渠道。采用此方法后，不僅可以為 RAS 用戶和設(shè)備用戶提供集中式身份驗(yàn)證，而且?guī)粜畔⒁部梢耘c Microsoft 域帳戶統(tǒng)一。圖 4 顯示了一個(gè)同時(shí)作為 Active Directory 服務(wù)器和RADIUS 服務(wù)器的Windows 域控制器，它供網(wǎng)絡(luò)元素通過(guò)身份驗(yàn)證進(jìn)入 Active Directory 域。

圖 4 – Windows 域控制器

采用加密和身份驗(yàn)證保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全

在某些情況中，網(wǎng)絡(luò)元素、計(jì)算機(jī)或系統(tǒng)之間的信息交換是否足夠安全關(guān)系重大。無(wú)疑，某人能進(jìn)入并不屬于自己的銀行賬戶或截獲網(wǎng)絡(luò)上所傳輸?shù)膫€(gè)人信息，都是令人堪憂的事情。如果不希望數(shù)據(jù)在網(wǎng)絡(luò)上泄漏，那么必須對(duì)傳輸?shù)臄?shù)據(jù)采取加密的方法，這樣，即使有人在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)時(shí)采用某種方式截獲了數(shù)據(jù)，也無(wú)法辨認(rèn)這些數(shù)據(jù)?！凹用堋睌?shù)據(jù)的方法有很多種，本白皮書(shū)將介紹其中幾種主要的方法。對(duì)于如同 UPS 系統(tǒng)的網(wǎng)絡(luò)設(shè)備而言，我們并不關(guān)注傳統(tǒng)意義上保護(hù)數(shù)據(jù)所付出的代價(jià)，如 UPS 電壓和電源插板的電源，我們關(guān)注的是對(duì)這些網(wǎng)絡(luò)元素的訪問(wèn)的控制。

對(duì)于通過(guò)不安全的網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）進(jìn)行訪問(wèn)的任何系統(tǒng)而言，身份驗(yàn)證憑據(jù)（如用戶名和密碼）的保密非常關(guān)鍵。即使是在組織的專用網(wǎng)絡(luò)中，好也對(duì)這些憑據(jù)采取保護(hù)措施。雖然還未普及，不過(guò)很多組織都逐漸開(kāi)始對(duì)所有管理通信，而不僅僅是身份驗(yàn)證憑據(jù)進(jìn)行保護(hù)。不管是哪種情況，都必須采用某些形式的加密方法。

通常，數(shù)據(jù)的加密是通過(guò)使用特定的加密算法（如 3DES、AES 等）將明文數(shù)據(jù)（輸入）與一個(gè)密鑰相組合來(lái)實(shí)現(xiàn)的。其結(jié)果（輸出）為密文。如果某人（或計(jì)算機(jī)）沒(méi)有密鑰，則無(wú)法將密文轉(zhuǎn)換回明文。該基本方法是所有安全協(xié)議（后文將對(duì)此進(jìn)行介紹）的核心。加密系統(tǒng)的另一個(gè)基本構(gòu)成部分是“哈希散列”。散列法即對(duì)一些明文輸入以及可能的密鑰輸入進(jìn)行計(jì)算，然后得到一個(gè)稱為散列的大數(shù)。無(wú)論輸入的大小如何，其結(jié)果值都是固定長(zhǎng)度（位數(shù)）。加密方法是可逆的，可以用密鑰將密文恢復(fù)為明文，散列則不同。從數(shù)學(xué)的角度而言，要將散列恢復(fù)為明文是不可能的。散列被用作各種協(xié)議系統(tǒng)中的特殊 ID，因?yàn)樗峁┝祟愃朴诖疟P文件上的 CRC（循環(huán)冗余檢測(cè)）的數(shù)據(jù)檢測(cè)機(jī)制，可以檢測(cè)數(shù)據(jù)是否發(fā)生改變。散列還可用作數(shù)據(jù)身份驗(yàn)證方法（不同于用戶身份驗(yàn)證）。如果有人試圖在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)時(shí)秘密篡改數(shù)據(jù)，則數(shù)據(jù)的散列值也將改變，因而可以檢測(cè)出數(shù)據(jù)的變化。表 3 對(duì)各種加密算法及其用途進(jìn)行了簡(jiǎn)單比較。

表 3 – 主要加密算法一覽

安全訪問(wèn)協(xié)議

各種協(xié)議（如 SSH 和 SSL）采用各種加密機(jī)制，通過(guò)身份驗(yàn)證方法和加密方法來(lái)提供安全性。所提供的安全級(jí)別取決于很多因素，譬如，所用的加密算法、對(duì)所傳輸數(shù)據(jù)的訪問(wèn)、算法密鑰長(zhǎng)度、服務(wù)器與客戶端的執(zhí)行情況，還有重要的一點(diǎn)，人為因素。如果用戶的訪問(wèn)憑據(jù)（如密碼或證書(shū)）被第三方獲得，那么，即使是精巧的加密方案也是徒勞無(wú)效的。一個(gè)經(jīng)典的例子便是上文曾提到的將寫有密碼的便箋貼在顯示器上。

SSH 協(xié)議

Secure Shell (SSH) 客戶端-服務(wù)器協(xié)議產(chǎn)生于 20 世紀(jì) 90 年代中期，旨在為通過(guò)未保護(hù)的或“不安全的”網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)計(jì)算機(jī)控制臺(tái)或 Shell 提供安全機(jī)制。該協(xié)議通過(guò)對(duì)用戶和服務(wù)器進(jìn)行身份驗(yàn)證，以及對(duì)客戶端與服務(wù)器之間交換的所有通信進(jìn)行完全加密來(lái)提供確保安全的方法。協(xié)議有兩個(gè)版本：V1 和 V2，這兩個(gè)版本在提供的加密機(jī)制上略有區(qū)別。此外，V2 在防止某些類型的攻擊上要稍勝一籌。（未參與的第三方試圖攔截、偽造或以其他方式更改交換的數(shù)據(jù)均被視為攻擊。）

雖然 SSH 多年來(lái)一直作為計(jì)算機(jī)控制臺(tái)的安全訪問(wèn)協(xié)議，但過(guò)去很少將其用在輔助的基礎(chǔ)設(shè)施設(shè)備（如 UPS和 HVAC 設(shè)備中）。不過(guò)，隨著網(wǎng)絡(luò)及為其提供支持的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)于公司商務(wù)行為的重要性日漸提高，對(duì)所有設(shè)備均采用此類安全訪問(wèn)方法的做法正日趨流行。

SSL\TLS 協(xié)議

雖然 SSH 安全協(xié)議被廣泛用于控制臺(tái)命令行訪問(wèn)（如進(jìn)行管理）中，但安全套接字層 (SSL) 及后來(lái)的傳輸層安全 (TLS) 協(xié)議已成為保護(hù) Web 通信及其他協(xié)議（如 SMTP，用于郵件傳輸）的標(biāo)準(zhǔn)方法。TLS 是 SSL 的新版本，不過(guò)一般仍用 SSL 來(lái)指代TLS。SSL 與 SSH 在協(xié)議內(nèi)置的客戶端與服務(wù)器身份驗(yàn)證機(jī)制上區(qū)別很大。TLS 還被接受作為 IETF（互聯(lián)網(wǎng)工程任務(wù)組）標(biāo)準(zhǔn) ，而 SSH 盡管被廣泛當(dāng)作標(biāo)準(zhǔn)草案，但從未成為正式的 IETF 標(biāo)準(zhǔn)。SSL 是保護(hù) HTTP Web 通信的安全協(xié)議，也稱為 HTTPS(HTTP Secure)。Netscape 和Internet Explorer 均支持 SSL 和 TLS。在使用這些協(xié)議時(shí)，服務(wù)器將以服務(wù)器證書(shū)的形式對(duì)客戶端執(zhí)行正式的身份驗(yàn)證。我們隨后將介紹證書(shū)?？蛻舳艘部梢圆捎米C書(shū)進(jìn)行身份驗(yàn)證，不過(guò)常用的還是用戶名與密碼。由于 SSL“會(huì)話”全部為加密形式，因此，身份驗(yàn)證信息及網(wǎng)頁(yè)上的任何數(shù)據(jù)都是安全的。對(duì)于安全性要求較高的銀行業(yè)和其他商務(wù)用途而言，由于客戶往往通過(guò)公共互聯(lián)網(wǎng)訪問(wèn)網(wǎng)站，因此網(wǎng)站應(yīng)始終采用 SSL。

隨著對(duì)網(wǎng)絡(luò)設(shè)備（嵌入式 Web 服務(wù)器）基于 Web 的管理方式成為進(jìn)行基本配置和用戶訪問(wèn)常用的方法，保護(hù)此管理方式便成了重中之重。如果公司希望所有網(wǎng)絡(luò)管理能安全進(jìn)行，但仍采用圖形界面（如 HTTP），那么應(yīng)當(dāng)使用基于 SSL 的系統(tǒng)。如上文所述，SSL 還可以保護(hù)其他非 HTTP 通信。客戶端不僅應(yīng)使用基于非HTTP 的設(shè)備，還應(yīng)當(dāng)采用 SSL 作為其訪問(wèn)協(xié)議以確保系統(tǒng)的安全。全部采用 SSL 還有一個(gè)優(yōu)勢(shì)，即可使用包含通用身份驗(yàn)證方案和加密方案的標(biāo)準(zhǔn)協(xié)議。

網(wǎng)絡(luò)安全的方案仔細(xì)規(guī)劃的安全策略可以顯著提高網(wǎng)絡(luò)的安全性。策略既可以復(fù)雜繁瑣，也可以簡(jiǎn)單直接，但往往簡(jiǎn)單的卻是有用的。請(qǐng)考慮結(jié)合使用集中管理的防病毒更新系統(tǒng)與主機(jī)掃描程序來(lái)檢測(cè)新系統(tǒng)或過(guò)期的系統(tǒng)。雖然該系統(tǒng)需要具備設(shè)置、集中管理和軟件部署功能，不過(guò)如今的操作系統(tǒng)一般都囊括了以上所有功能。通常，策略與理想的自動(dòng)實(shí)施工具有助于減少系統(tǒng)安全中明顯的漏洞，因此，網(wǎng)絡(luò)管理人員可以集中精力應(yīng)對(duì)更為復(fù)雜的問(wèn)題。以下列出了一些具有代表性的公司網(wǎng)絡(luò)安全策略：

·在公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的所有交界處設(shè)置防火墻

·控制版本并集中部署防火墻規(guī)則集

·外部資源放在雙層防火墻之間，并保護(hù) DMZ 的安全

·所有網(wǎng)絡(luò)主機(jī)都應(yīng)對(duì)不需要的網(wǎng)絡(luò)端口采取防范措施，并關(guān)閉不需要的服務(wù)

·所有網(wǎng)絡(luò)主機(jī)均應(yīng)安裝集中管理的防病毒軟件

·所有網(wǎng)絡(luò)主機(jī)均應(yīng)安裝集中的安全更新程序

·保護(hù)集中式身份驗(yàn)證的安全，如 RADIUS 和 Windows/Kerberos/Active Directory

·采用含密碼策略（例如，必須每三個(gè)月更改一次密碼，必須采用安全密碼）的集中管理的用戶管理方式

·主動(dòng)進(jìn)行網(wǎng)絡(luò)掃描，掃描新的主機(jī)以及過(guò)期的系統(tǒng)

·對(duì)可疑行為進(jìn)行網(wǎng)絡(luò)監(jiān)控

·事故響應(yīng)機(jī)制（策略、人力、自動(dòng)等）

以上各條體現(xiàn)了策略中應(yīng)當(dāng)包含的關(guān)鍵之處。但策略中還可能涉及其他更為廣泛的方面。當(dāng)然，在確定策略的類型與幅度時(shí)，應(yīng)始終記住盡量權(quán)衡各種因素，如公司規(guī)模、風(fēng)險(xiǎn)分析、成本和商業(yè)影響等如上所述，通常情況下可以從系統(tǒng)分析入手，然后進(jìn)行商業(yè)分析。無(wú)論網(wǎng)絡(luò)的規(guī)模如何，都可能成為攻擊的目標(biāo)，因此即使是非常小的公司也應(yīng)當(dāng)具備某些形式的安全策略。

結(jié)論

隨著網(wǎng)絡(luò)威脅（如蠕蟲(chóng)、病毒和聰明的黑客）數(shù)量的日漸增加，安全性不再是一件可有可無(wú)的事情，即使是在專用網(wǎng)絡(luò)中也不應(yīng)當(dāng)被忽視。確保所有設(shè)備，包括物理基礎(chǔ)設(shè)施設(shè)備（如 UPS 系統(tǒng)和 HVAC 系統(tǒng)）的安全，對(duì)于維持系統(tǒng)正常運(yùn)行以及服務(wù)的無(wú)縫訪問(wèn)都至關(guān)重要。在整個(gè)公司范圍內(nèi)提供并維持安全性通常意味著管理成本的提高。從過(guò)去的經(jīng)驗(yàn)來(lái)看，這往往是廣泛實(shí)現(xiàn)安全性大的障礙。如今，修復(fù)僅僅由于一個(gè)蠕蟲(chóng)或病毒攻擊而損害的網(wǎng)絡(luò)所需要花費(fèi)的時(shí)間，都會(huì)輕易超過(guò)前期為充分確保公司安全所付出的時(shí)間。幸運(yùn)的是，有很多既可提高網(wǎng)絡(luò)安全性又可減少管理費(fèi)用的系統(tǒng)和軟件可供選擇。即使是基本的方案，例如，定期更新軟件、對(duì)所有設(shè)備采取防范措施以及使用集中式身份驗(yàn)證與安全訪問(wèn)方法，對(duì)降低網(wǎng)絡(luò)風(fēng)險(xiǎn)也大有幫助。建立適當(dāng)?shù)陌踩呗院徒?jīng)常檢查網(wǎng)絡(luò)可以進(jìn)一步提高網(wǎng)絡(luò)的整體保護(hù)力度。