网络安全技术之Web服务

　　这种情况非常普遍，ISP或ICP，企业的网页，在INTERNET上提供息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为，必须允许用户能够访问到你提供服务的主机，都属于这种情况。

　　对访问服务行业而言，访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的地方，也就是说，主机安全几乎是唯一的。除非明确地知道谁会对你的访问惊醒，才可以对出口由器或出口防火墙惊醒一些针对性的访问控制的设定，否则，访问控制变得毫无意义。

　　主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念，首先是要有一个安全的操作系统，建立在一个不安全、甚至稳定性都很差的操作系统上，是无法作到一个安全的主机。然后是仔细的检查你所提供的服务，如果不是你所必须提供的服务，除掉一切你所不需要的进程，对你的服务而言，它们都是你安全上的隐患。

　　可以采用一些安全检测或网络扫描工具来确定你的服务器上到底有伸麽服务，以是否有安全漏洞或隐患。最后是对主机确定非常严格的访问规则，除了允许提供商愿意提供的服务之外，宣纸并所有未允许的服务，这是一个非常严格的措施。

　　除了主机安全以外，如果还需要提高服务的安全性，就该考虑采用网络实时和交互式动态防火墙。网络实时系统，会自动捕捉网络上所有的通信包，并对其进行分析和解析，并判断出用户的行为和。如果发现用户的行为或与服务商所允许的服务不同，交互式防火墙立即采取措施，封堵或用户的访问，将其在防火墙之外，并报警。网络实时系统和交互式防火墙具有很强的审计功能，但成本相对偏高。

　　企业一方面访问INTERNET，得到INTERNET所带来的好处，另一方面，却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。

　　防火墙的基本思想不是对每台主机系统进行，而是让所有对系统的访问通过某一点，并且这一点，并尽可能地对受的内部网和不可信任的网络之间建立一道屏障，它可以实施比较惯犯的安全政策来控制信息流，防止不可预料的潜在的入侵。

　　根据企业内部网安全政策的不同，采取防火墙的技术手段也有所不同。

　　1.包过滤防火墙

　　怎么给路由器设置密码包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上，所有信息都是以包的形式传输的，信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链状态等信息读出，并按照预先设定过滤原则过滤信息包。那些不符合的IP地址的信息包会被防火墙过滤掉，以网络系统的安全。

　　包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息（源IP地址、封装协议、端口号等）判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做；建立安全策略；写出所允许的和的任务；将安全策略为数据包分组字段的逻辑表达式；用相应的句法重写逻辑表达式并设置之，

　　包过滤防火墙主要是防止外来，或是内部用户访问某些外部的资源。如果是防止外部，针对典型的过滤规则，大体有：

　　对入侵者假冒内部主机，从外部传输一个源IP地址为内部网络IP地址的数据包的这类，防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。

　　入侵者使用TCP/IP数据包分段特性，创建极小的分段并将TCP/IP头信息分成多个数据包，以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类，防火墙只需将TCP/IP协议片断位移植（FragmentOffset）为1的数据包全部丢弃即可。

　　包过滤防火墙简单、透明，而且非常行之有效，能解决大部分的安全问题，但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。

　　对于采用动态分配端口的服务，如很多RPC（远程过程调用）服务相关联的服务器在系统启动时随机分配端口的，就很难进行有效地过滤。

　　包过滤防火墙只按照规则丢弃数据包而不对其作日志，导致对过滤的IP地址的不同用户，不具备用户身份认证功能，不具备检测通过高层协议（如应用层）实现的安全的能力。

　　2.代理防火墙

　　包过滤防火墙从很大意义上像一场战争，黑客想，防火墙予以。而代理服务器则是另外一种方式，能回避就回避，甚至干脆隐藏起来。代理服务器接收客户请求后会检查验证其性，如其，代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被住。

　　代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络，而也不希望内部的用户无的使用或INTERNET。采用代理服务器，可以把企业的内部网络隐藏起来，内部的用户需要验证和授权之后才可以去访问INTERNET。

　　代理服务器包含两大类：一类是电级代理网关，另一类是应用级代理网关。

　　电级网关又称线级网关，它工作在会话层。它在两主机收次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被的主机连接时则担当客户机角色、起代理服务的作用。它两主机建立连接时的握手信息，如Syn、Ack和序列数据等是否合乎逻辑，信号有效后网关仅复制、传递数据，而不进行过滤。电网关中特殊的客户程序只在初次连接时进行安全协商控制，其后就透明了。只有懂得如何与该电网关通信的客户机才能到达防火墙另一边的服务器。

　　电级网关的防火墙的安全性比较高，但它仍不能检查应用层的数据包以消除应用层的。

　　应用级网关使用软件来转发和过滤特定的应用服务，如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过，也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议，如过滤FTP连接、使用FTP放置命令等。应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。

　　两种代理技术都具有登记、日记、统计和报告功能，有很好的审计功能。还可以具有严格的用户认证功能。先进的认证措施，如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。

　　3.状态技术

　　网络状态技术普遍被认为是下一代的网络安全技术。传统的网络状态技术对网络安全正常的工作完全没有影响的前提下，采用捕捉网络数据包的方法对网络通信的各个层次实行监测，并作安全决策的依据。模块支持多种网络协议和应用协议，可以方便地实现应用和服务扩充。状态服务可以RPC（远程过程调用）和UDP（用户数据包）端口信息，而包过滤和代理服务则都无法做到。

　　网络状态对主机的要求非常高，128M的内存可能是一个基本的要求，硬盘的要求也非常大，至少要求9G，对SWAP区至少也要求192M以上。一个好的网络状态系统，处理的量可能高达每秒45M左右（一条T3的线）。

　　网络状态的的结果，直接就是要求能够有一种交互式的防火墙来满足客户较高的要求。中网的IP防火墙就是这样一种产品。

　　虚拟专用网VPN

　　EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法电安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。

　　系统知识：合理设置Vista系统防火墙让...

　　系统知识：Windows7中对应用程序的安...

　　系统知识：避免泄密Vista下轻松删除历...

　　系统知识：Windows系统任务管理器的另...

　　系统知识：给IE浏览器加个参数不怕IE...

　　网络安全技术之Web服务器

　　网络安全技术之网络安全

　　网络安全技术之计算机安全

　　网络安全技术之网络现状分析