【51CTO.com 獨家特稿】企業網絡及應用層由于網絡的開發性、網絡協議等自身設計的薄弱和脆弱性以及由于經濟利益驅動而導致的黑客技術的攻擊性和目標性的不斷增強等原因，經受著來自網絡和應用等多層次、多方面的網絡威脅和攻擊?？梢哉f，企業網絡信息安全能否得以保障，在絕大程度上取決于這個層次的安全防護技術的部署，本文將從企業網絡及應用層面臨的網絡威脅出發，闡述該層所必需的一些安全防護技術。

1、企業網絡及應用層面臨的網絡威脅

最近的研究表明，安全問題是企業目前面臨的最大挑戰。來自企業內部和外部的動態變化的安全威脅隨時會給企業運營帶來巨大的災難，并最終影響企業的盈利能力和客戶滿意度。此外，中小型企業還要注意遵從為了保護消費者隱私和保障電子信息安全而制定的各種法律法規。

1.蠕蟲和病毒

計算機蠕蟲和病毒是最常見的一類安全威脅。調查顯示，去年有75%的中小型企業感染過一種以上的病毒。蠕蟲和病毒會嚴重破壞業務的連續性和有效性。隨著病毒變得更智能、更具破壞性，其傳播速度也更快，甚至能在片刻間感染整個辦公場所，而要清除被感染計算機中的病毒所要耗費的時間也更長?？赡茉斐傻膰乐睾蠊ㄟz失訂單、破壞數據庫和降低客戶滿意度。雖然企業可以通過給計算機安裝防病毒軟件和升級操作系統補丁來加以防范，但是新病毒仍會隨時突破這些防線。同時，公司員工也可能通過訪問惡意網站、下載不可靠的資料或打開含有病毒代碼的電子郵件附件在不經意間傳播病毒和間諜軟件，進而給企業造成巨大的經濟損失。網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。

2.信息竊取

信息竊取是一個大問題。網絡黑客通過入侵企業網絡盜取客戶的信用卡和社會保障號碼而牟利。相對于大型企業，中小型企業的防范措施較弱因而更易遭受攻擊。僅僅在物理周邊加強防范還遠遠不夠，因為黑客可能會伙同公司內部人員，如員工或承包商，一起作案。信息竊取會對中小型企業的發展造成嚴重影響，因為它會破壞中小型企業賴以生存的企業商譽和客戶關系。此外，沒能采取充分措施保障信息安全的企業也可能會面臨負面報道、政府罰金和法律訴訟等問題。例如，美國加利福尼亞州在新出臺的消費者權益保護法中規定，任何企業在發現自己的客戶信息泄漏給非授權人員后必須馬上通知所有的客戶。任何安全策略必須能夠在企業內部和外部對敏感的電子信息進行保護。

3.業務有效性

計算機蠕蟲和病毒會嚴重影響企業網絡的可靠性，進而影響企業對客戶請求的響應速度。然而，蠕蟲和病毒并不是威脅業務有效性的唯一因素。隨著企業運營與網絡越來越密不可分，網絡恐怖分子以破壞公司網站和電子商務運行為威脅，對企業進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網絡攻擊會占用關鍵網絡組件的大量帶寬，使其無法正常處理用戶的服務請求。結果是災難性的：數據和訂單丟失，客戶請求被拒絕。而當被攻擊的消息公之于眾后，企業的聲譽也會受到影響。雖然見諸報端的DoS攻擊主要發生在銀行和全球500強企業，但實際上中小型企業由于自身較弱的防范能力而更易遭到攻擊。此外，其他攻擊形式也會影響中小型企業的業務有效性，并進而影響企業的盈利能力和客戶滿意度。例如，資源竊取攻擊會入侵企業的計算機和網絡，并利用這些設備進行非法的文件(如音樂、電影和軟件)交換服務。然而企業很難發現這種安全漏洞，它們的計算機和網絡響應客戶請求的速度會大打折扣，而且還會因參與非法的文件交換而面臨法律訴訟的危險。

4.垃圾郵件

2006年最后一個季度垃圾郵件猛增，這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過濾器造成的。由于發送大量垃圾郵件的成本很低--特別是通過"僵尸網絡"（botnet）。因此，網絡犯罪將更多地采用這種介質發布木馬病毒。

2、拒絕服務攻擊防護技術

DoS的英文全稱是Denial of Service，也就是"拒絕服務"的意思。從網絡攻擊的各種方法和所產生的破壞情況來看，DoS是一種很簡單但又很有效的進攻方式。其目的就是拒絕你的服務訪問，破壞服務器的正常運行，最終會使用戶的部分Internet連接和網絡系統失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務。DoS攻擊的基本過程是：首先攻擊者向服務器發送眾多的帶有虛假地址的請求，服務器發送回復信息后等待回傳信息，由于地址是偽造的，所以服務器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復發送偽地址請求的情況下，服務器資源最終會被耗盡。#p#

DDoS（分布式拒絕服務），其英文全稱為Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，像商業公司、搜索引擎和政府部門的站點。通常，DoS攻擊只要一臺單機和一個MODEM就可實現，與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。

拒絕服務攻擊攻擊很難解決。首先，被用來探測DDoS和DoS擊的網絡流沒有統一的特征；其次，DDoS布式特性使得它們極難被抵抗或追蹤；再次，配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到，攻擊者也可以使用IP偽裝技術來隱藏他們的真實身份，這就導致拒絕服務攻擊的追蹤更加困難。當前，較為成熟和可用的決絕服務攻擊防護技術包括：

（1）入侵預防：對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經發動的DoS攻擊，有許多DoS防御機制試圖使系統免遭DoS攻擊：

I）入口過濾：設置一個路由器來禁止帶有非法源地址的包進入網絡；

II）出口過濾：確定了離開網絡的分配的地址空間；

III）基于歷史的IP地址過濾：可以利用邊路由器根據之前建立的地址數據庫根據路由器之前的連接歷史來允許包進入。

（2）關閉不使用的服務：通常如果網絡服務不需要或沒有使用，則可以關閉這些服務來阻止攻擊發生的可能。

（3）應用安全補丁。

（4）負載平衡：使網絡提供方在重要的連接上增加帶寬，并防止萬一攻擊發生時帶寬下降。

（5）使用蜜罐：是具有一定安全性的系統，用來欺騙攻擊者來攻擊蜜罐而不是真正的系統。

3、垃圾郵件防護技術

隨著Internet的發展，電子郵件作為一種通信方式逐漸普及。當前電子郵件的用戶已經從科學和教育行業發展到了普通家庭中的用戶，電子郵件傳遞的信息也從普通文本信息發展到包含聲音、圖像在內的多媒體信息。電子郵件的廉價和操作簡便在給人們帶來巨大便利的同時，也誘使有些人將之作為大量散發自己信息的工具，最終導致了互聯網世界中垃圾郵件的泛濫。垃圾郵件問題已經極大地消耗了網絡資源，并給人們帶來了極大的不便。據中國互聯網協會（ISC）2005年第一次反垃圾郵件狀況調查顯示，中國郵件用戶2005年4月平均每人每天收到郵件16.8封，占收到郵件總數的60.87%。

（1）SMTP用戶認證

這是目前最常見、最簡單并且十分有效的方法。在郵件傳送代理（Mail Transport Agent，MTA）上對來自本地網絡以外的互聯網的發信用戶進行SMTP認證，僅允許通過認證的用戶進行遠程轉發。這樣既能夠有效避免郵件傳送代理服務器為垃圾郵件發送者所利用，又為出差在外或在家工作的員工提供了便利。如果不采取SMTP認證，則在不犧牲安全的前提下，設立面向互聯網的Web郵件網關也是可行的。此外，如果SMTP服務和POP3服務集成在同一服務器上，在用戶試圖發信之前對其進行POP3訪問驗證就是一種更加安全的方法，目前，新浪等大型網站都相繼采用了該功能，使得這些大型服務商的服務器被利用來發送垃圾郵件的概率大大降低，同時，在應用的時0候當前支持這種認證方式的郵件客戶端程序比較出色的是FoxMail。#p#

（2）逆向DNS解析

無論哪一種認證，其目的都是避免郵件傳送代理服務器被垃圾郵件發送者所利用，但對于發送到本地的垃圾郵件仍然無可奈何。要解決這個問題，最簡單有效的方法是對發送者的IP地址進行逆向名字解析，即通過DNS查詢來判斷發送者的IP與其聲稱的名字是否一致，例如，其聲稱的名字為pc.sina.com，而其連接地址為120.20.96.68，與其DNS記錄不符，則予以拒收。這種方法可以有效過濾掉來自動態IP的垃圾郵件，對于某些使用動態域名的發送者，也可以根據實際情況進行屏蔽。但是上面這種方法對于借助Open Relay的垃圾郵件依然無效。對此，更進一步的技術是假設合法的用戶只使用本域具有合法互聯網名稱的郵件傳送代理服務器發送電子郵件。需要指出的是，逆向名字解析需要進行大量的DNS查詢。這樣，在網絡中將會出現大量的UDP數據包。

（3）黑名單過濾

黑名單服務是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數據庫，最著名的是RBL、DCC和Razor等。這些數據庫保存了頻繁發送垃圾郵件的主機名字或IP地址，供MTA進行實時查詢以決定是否拒收相應的郵件。簡單地說，即數據庫中保存的IP地址或者域名都應該是非法的，都應該被阻斷。但是，目前各種黑名單數據庫難以保證其正確性和及時性，一般該名單的形成需要一段時間的積累。例如，曾經一段時期，北美的RBL和DCC包含了我國大量的主機名字和IP地址，其中有些是早期的Open Relay造成的，有些則是由于誤報造成的。但這些遲遲得不到糾正，在一定程度上阻礙了我國與北美地區的郵件聯系，也妨礙了我國的用戶使用這些黑名單服務。

（4）白名單過濾

白名單過濾是相對于上述的黑名單過濾來說的。它建立的數據庫的內容和黑名單的一樣，但是其性質是：庫中存在的都是合法的，不應該被阻斷。同樣，該過濾方法存在的缺點與黑名單類似，也是更新和維護難以達到實時，一些正常的、不為系統白名單所收集的郵件有可能被阻斷。從應用的角度來說，在小范圍內使用白名單是比較成功的，可以通過在企業或者是公司的網關處通過一段時間內獲取由內部發出的郵件的相關信息的辦法來生成白名單。

（5）內容過濾

即使使用了前面諸多環節中的技術，仍然會有相當一部分垃圾郵件漏網。對此情況，目前最有效、最根本的方法是基于郵件標題或正文的內容過濾。其中比較簡單的方法是，結合內容掃描引擎，根據垃圾郵件的常用標題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進行過濾。更加復雜但同時更具智能性的方法是，基于貝葉斯概率理論的統計方法、支持向量機（SVM）方法、人工神經網絡、Winnow等方法所進行的內容過濾，這些方法的理論基礎是通過對大量垃圾郵件中常見關鍵詞等采用上述方法進行機器學習后分析后得出其分布的統計模型，并由此推算目標郵件是垃圾郵件的可能性。這些方法具有一定的自適應、自學習能力，目前已經得到了廣泛的應用。最有名的垃圾郵件內容過濾是Spamassassin，它使用Perl語言實現，集成了以上兩種過濾方法，可以與當前各種主流的MTA集成使用。內容過濾是以上所有各種方法中耗費計算資源最多、最有效的辦法，在郵件流量較大的場合，需要配合高性能服務器使用。

4、病毒防護技術

對于當今網絡來說，病毒和蠕蟲成為了一對"孿生兄弟"，兩者幾乎總會同時出現，而且對企業網絡及其應用系統造成的危害也是非常致命的。從病毒的發展過程我們可以看出病毒有如下的發展趨勢：

◆病毒向有智能和有目的的方向發展

◆未來凡能造成重大危害的，一定是"蠕蟲"。"蠕蟲"的特征是快速地不斷復制自身，以求在最短的時間內傳播到最大范圍。

◆病毒開始與黑客技術結合，他們的結合將會為世界帶來無可估量的損失#p#

◆從Sircam、"尼姆達"、"求職信"、"中文求職信"到"中國黑客"，這類病毒越來越向輕感染文件、重復制自身的方向發展。

◆病毒的大面積傳播與網絡的發展密不可分

◆基于分布式通信的病毒很可能在不久即將出現

◆未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應和處理速度，將成為反病毒廠商的核心競爭力之一。

當今有幾種典型反病毒技術：

◆特征值技術：所謂特征值查毒法，就是在獲取病毒樣本后，提取出其特征值，然后通過該特征值對各個文件或內存等進行掃描。如果發現這種特征值，這說明感染了這種病毒，然后針對性地解除病毒；

◆虛擬機技術：隨著病毒技術的發展，加密技術漸漸成熟起來，很多病毒的特征都在那么容易提取。這樣，虛擬機殺毒技術出現，所謂虛擬機技術，就是用軟件先虛擬一套運行環境，讓病毒先在該虛擬環境下運行，看看他的執行效果。由于加密的病毒在執行時最終還是要解密的。這樣，在其解密之后我們可以通過特征值查毒法對其進行查殺；

◆啟發式掃描技術：新病毒不斷出現，傳統的特征值查毒法完全不可能查出新出現的病毒。啟發式掃描技術產生了。一個病毒總存在其與普通程序不一般的地方，譬如他會格式化硬盤，重定位，改回文件時間，修改文件大小，能夠傳染等等，通過在各個層面進行病毒屬性的確定和加權，就能發現新的病毒；

◆計算機病毒疫苗："計算機病毒免疫"發源于生物免疫技術，就象為動物注射某種病毒的免疫疫苗后可以對此病毒產生自然抵抗能力一樣。"計算機病毒免疫"就是一種具有類似特點的技術，它的設計目標是不依賴于病毒庫的更新而讓電腦具有對所有病毒的抵抗能力。普通防毒軟件的最大缺點是總要等到病毒出現后才能制定出清除它的辦法，并且還要用戶及時的升級到新的病毒庫。這就讓病毒有更多的機會去蔓延傳播，而病毒免疫則完全打破這種思路，它可以讓電腦具有自然抵抗新病毒的能力，當有新病毒感染計算機系統時不用升級病毒庫而同樣可以偵測出它。

5、密碼技術和PKI技術

隨著計算機網絡和計算機通訊技術的發展，計算機密碼學得到前所未有的重視并迅速普及和發展起來。在國外，它已成為計算機安全主要的研究方向。密碼學是一門古老而深奧的學科，對一般人來說是非常陌生的。長期以來，只在很小的范圍內使用，如軍事、外交、情報等部門。計算機密碼學是研究計算機信息加特別是20世紀70年代后期，由于計算機、電子通信的廣泛使用，現代密碼學得到了空前的發展。

除了提供機密性外，密碼學可以為企業安全需要提供三方面的功能：鑒別、完整性和抗抵賴性。這些功能是通過計算機進行社會交流，至關重要的需求。

鑒別：消息的接收者應該能夠確認消息的來源；入侵者不可能偽裝成他人。

完整性：消息的接收者應該能夠驗證在傳送過程中消息沒有被修改；入侵者不可能用假消息代替合法消息。

抗抵賴性：發送消息者事后不可能虛假地否認他發送的消息。

基于密鑰的算法通常有兩類：對稱算法和公開密鑰算法（非對稱算法）。對稱算法有時又叫傳統密碼算法，加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數對稱算法中，加解密的密鑰是相同的。對稱算法要求發送者和接收者在安全通信之前，協商一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加解密。公開密鑰算法（非對稱算法）的加密的密鑰和解密的密鑰不同，而且解密密鑰不能根據加密密鑰計算出來，或者至少在可以計算的時間內不能計算出來。之所以叫做公開密鑰算法，是因為加密密鑰能夠公開，即陌生者能用加密密鑰加密信息，但只有用相應的解密密鑰才能解密信息。加密密鑰叫做公開密鑰（簡稱公鑰），解密密鑰叫做私人密鑰（簡稱私鑰）。#p#

對稱加密系統最著名的是美國數據加密標準DES、AES(高級加密標準)和歐洲數據加密標準IDEA。而自公鑰加密問世以來，學者們提出了許多種公鑰加密方法，它們的安全性都是基于復雜的數學難題。

根據所基于的數學難題來分類，有以下三類系統目前被認為是安全和有效的：大整數因子分解系統(代表性的有RSA)、橢園曲線離散對數系統(ECC)和離散對數系統(代表性的有DSA)。當前最著名、應用最廣泛的公鑰系統RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統)，它的安全性是基于大整數素因子分解的困難性，而大整數因子分解問題是數學上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統是公鑰系統的最具有典型意義的方法，大多數使用公鑰密碼進行加密和數字簽名的產品和標準使用的都是RSA算法。

PKI是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設施，網絡通訊、網上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統，即安全認證系統-CA/RA系統是PKI不可缺的組成部分。

PKI（Public Key Infrastructure）公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。X.509格式的證書和證書廢除列表(CRL)；CA/RA操作協議；CA管理協議；CA政策制定。

從廣義上講，所有提供公鑰加密和數字簽名服務的系統，都可叫做PKI系統，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網絡運行環境，使用戶可以在多種應用環境下方便的使用加密和數字簽名技術，從而保證網上數據的機密性、完整性、有效性，數據的機密性是指數據在傳輸過程中，不能被非授權者偷看，數據的完整性是指數據在傳輸過程中不能被非法篡改，數據的有效性是指數據不能被否認。一個有效的PKI系統必須是安全的和透明的，用戶在獲得加密和數字簽名服務時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應用系統至少應具有以下部分：

◆公鑰密碼證書管理。

◆黑名單的發布和管理。

◆密鑰的備份和恢復。

◆自動更新密鑰。

◆自動管理歷史密鑰。

◆支持交叉認證。

6、IPSec技術

在網絡層實現安全服務有很多的優點。首先，由于多種傳送協議和應用程序可以共享由網絡層提供的密鑰管理架構，密鑰協商的開銷被大大地削減了。其次，若安全服務在較低層實現，那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。IPSec 針對攻擊原型的安全措施。IPsec提供三項主要的功能：認證功能(AH)，認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務；ESP分為兩部分，其中ESP頭提供數據機密性和有限抗流量分析服務，在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。#p#

IPSec提供了一種標準的、健壯的以及包容廣泛的機制，可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法，以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議，為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網絡攻擊，同時保持易用性。IPSec有兩個基本目標：保護IP數據包安全；為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理，三者共同實現上述兩個目標，IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設，就是假定數據通信的傳輸媒介是不安全的，因此通信數據必須經過加密，而掌握加解密方法的只有

IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。

◆驗證：通過認證可以確定所接受的數據與所發送的數據是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的。

◆數據完整驗證：通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。

◆保密：使相應的接收者能獲取發送的真正內容，而無關的接收者無法獲知數據的真正內容。

7、訪問控制技術

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

（1）入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。 對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的"證件"、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。 用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問"資費"用盡時，網絡還應能對用戶的賬號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

（2）權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（irm）可作為兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。

（3）目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。#p#

（4）屬性安全控制

當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。

（5）服務器安全控制

網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

8、防火墻技術

防火墻的一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。只有符合安全策略的數據流才能通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護企業內部網絡，就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業內部網絡的安全策略，使允許的通信不受影響，而不允許的通信全部被拒絕于內部網絡之外。

隨著新的網絡攻擊的出現，防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。

◆防火墻包過濾技術

◆用戶身份驗證防火墻：一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

◆多級過濾技術：所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關（應用層）一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發，又有很多內容可以擴展，為將來的防火墻技術發展打下基礎。

◆病毒防火墻：使防火墻具有病毒防護功能?，F在通常被稱之為病毒防火墻，當然目前主要還是在個人防火墻中體現，因其為純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少企業的損失。

◆防火墻的體系結構

隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC（特殊應用集成電路，Application Specific Integrated Circuit）的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，需要在很大程度上依賴于軟件的性能；但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。#p#

與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得其缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

◆防火墻的系統管理

總體說來，防火墻的系統管理有如下幾種發展趨勢：

◆集中式管理：集中式管理可以降低管理成本，并保證在大型網絡中安全策略的一致性?？焖夙憫涂焖俜烙惨蟛捎眉惺焦芾硐到y。

◆強大的審計功能和自動日志分析功能：這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可讓管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等。不過具有這種功能的防火墻通常是比較高級的，早期的靜態包過濾防火墻是不具有的。

◆網絡安全產品的系統化：隨著網絡安全技術的發展，現在有一種體系結構的提法，叫做"建立以防火墻為核心的網絡安全體系"。因為實踐表明，僅使用現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

9、入侵檢測技術

Intrusion Detection System（入侵檢測系統）顧名思義，便是對入侵行為的發覺，其通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。通常說來，其具有如下幾個功能：

◆監控、分析用戶和系統的活動。

◆核查系統配置和漏洞。

◆評估關鍵系統和數據文件的完整性。

◆識別攻擊的活動模式并向網管人員報警。

◆對異常活動的統計分析。

操作系統審計跟蹤管理，識別違反政策的用戶活動。

按照技術以及功能來劃分，入侵檢測系統可以分為如下幾類：

◆基于主機的入侵檢測系統：其輸入數據來源于系統的審計日志，一般只能檢測該主機上發生的入侵。

◆基于網絡的入侵檢測系統：其輸入數據來源于網絡的信息流，能夠檢測該網段上發生的網絡入侵。

◆采用上述兩種數據來源的分布式入侵檢測系統：能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，一般為分布式結構，由多個部件組成。#p#

10、統一威脅管理技術

UTM是與企業防火墻、入侵檢測和防御以及防病毒等結合為一體的設備，將成為未來的應用趨勢。IDC同時預測，UTM市場到2008年將占整個信息安全市場的半壁江山，達到57.6%。UTM的一個特點是可以只用到該產品的某一個專門用途，比如用于網關防病毒或是用于內部的入侵檢測，也可以全面應用所有功能。當UTM作為一種單點產品來應用時，企業能獲得統一管理的優勢，并且也能在不增加新設備的情況下開啟自身需要的任何功能。UTM產品為網絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產品聯動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設備，也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是，用戶可以隨時在這個平臺上增加或調整安全功能。

UTM技術可以進行改良的信息包檢查，識別應用層信息，命令入侵檢測和阻斷，蠕蟲病毒防護以及高級的數據包驗證機制。這些特性和技術使得IT管理人員可以很容易地控制如Instant Message信息傳輸，BT多線程動態應用下載，Skype等新型軟件的應用，并且阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。同時，設備可以支持動態的行為特征庫更新，更具備7層的數據包檢測能力。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內容效果明顯。但UTM技術必須要有強大的硬件平臺支撐，否則，難以適應當前的網絡性能要求。

UTM的應用優勢在于：

◆降低安全管理復雜度

◆集成的維護平臺

◆單一服務體系結構

◆集中的安全日志管理

◆組合式的安全保護

◆應用的靈活性

◆良好的可擴展性

◆進一步降低成本

UTM設備可以減少與安全功能相關的采集，安裝，管理支出，確保企業網絡的連續性，和可用性，為目前流行的安全威脅提供有效的防御。

【51CTO.com獨家特稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. 變廢為寶：將舊電腦改造成強勁的防火墻和路由器
2. Web應用層防火墻真的像宣傳的那般好用嗎？
3. DDoS攻擊：網絡戰爭的尖頭兵
4. 下一代防火墻已經到來 你做好準備了嗎？
5. DDoS攻擊原理以及對其實際應用工具的描述