十五、 Internet防火墻

　　Internet防火墻是這樣的系統(或一組系統)，它能增強機構內部網絡的安全性。 防火墻系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經過防火墻，接受防火墻的檢查。防火墻只允許授權的數據通過，并且防火墻本身也必須能夠免于滲透。

　　1、 Internet防火墻與安全策略的關系

　　防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合，防火墻是安全策略的一個部分。

　　安全策略建立全方位的防御體系，甚至包括：告訴用戶應有的責任，公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。

　　3、 Internet防火墻的作用

　　Internet防火墻允許網絡管理員定義一個中心“ 扼制點” 來防止非法用戶，比如防止黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網絡的安全性是在防火墻系統上得到加固，而不是分布在內部網絡的所有主機上。

　　在防火墻上可以很方便的監視網絡的安全性，并產生報警。(注意：對一個與Internet相聯的內部網絡來說，重要的問題并不是網絡是否會受到攻擊，而是何時受到攻擊?)網絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警并審查常規記錄，防火墻就形同虛設。在這種情況下，網絡管理員永遠不會知道防火墻是否受到攻擊。

　　Internet防火墻可以作為部署NAT(Network Address Translator，網絡地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。

　　Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并根據機構的核算模式提供部門計費。

　　十六、Internet安全隱患的主要體現

　　1. Internet是一個開放的、無控制機構的網絡，黑客(Hacker)經常會侵入網絡中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓。

　　2. Internet的數據傳輸是基于TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。

　　3. Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。

　　4.在計算機上存儲、傳輸和處理的電子信息，還會有像傳統的郵件通信那樣進行信幣保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄漏等，在應用支持的服務協議中是憑著君子協定來維系的。

　　5.電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。

　　6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

　　十七、絡安全攻擊的形式主要有四種方式：中斷、截獲、修改和偽造。

　　一、中斷是以可用性作為攻擊目標，它毀壞系統資源，使網絡不可用。

　　截獲是以保密性作為攻擊目標，非授權用戶通過某種手段獲得對系統資源的訪問。修改是以完整性作為攻擊目標，非授權用戶不僅獲得訪問而且對數據進行修改。偽造是以完整性作為攻擊目標，非授權用戶偽造的數據插入到正常傳輸的數據中。網絡安全的解決方案一、入侵檢測系統部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。對來自外部網和校園網內部的各種行為進行實時檢測，及時發現各種可能的攻擊企圖，并采取相應的措施。具體來講，就是對入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異?，F象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據;如果情況嚴重，系統可以發出實時報警，使得學校管理員能夠及時采取應對措施。

　　二、漏洞掃描系統

　　采用目前最先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查，并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，為提高網絡安全整體產生重要依據。

　　三、網絡版殺毒產品部署

　　在該網絡防病毒方案中，我們最終要達到一個目的就是：要在整個區域網內杜絕病毒的感染、傳播和發作，為了實現這一點，我們應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

　　十八、網絡安全設備

　　在網絡設備和網絡應用市場蓬勃發幕的帶動下，近年來網絡安全市場迎來了高速發展期，一方面隨著網絡的延伸，網絡規模迅速擴大，安全問題變得日益復雜，建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提;另一方面隨著網絡所承載的業務日益復雜，保證應用的安全是網絡安全發展的新的方向。

　　隨著網絡技術的快速發展，原來網絡威脅單點疊加式的防護手段已經難以有效抵御日趨嚴重的混合型安全威脅。構建一個多部安全、全面安全、智能安全的整體安全體系，為用戶提供多冪次、全方位的立體防護體系成為信息安全建設的新理念。在此理念下，網絡安全產品帆發生了一系列的變革。

　　結合實際應用需要，在新的網絡安全理念的指引下，網絡安全解決方案正向著以下幾個方向來發展：

　　主動防御走向市場。主動防御的理念已經發展了一些年，但是從理論走向應用一直存在著多種阻礙。主動防御主要是通過分析并掃描指定程序或線程的行為，根據預先設定的規則，判定是否屬于危險程序或病毒，從而進行防御或者清除操作。不過，從主動防御理念向產品發展的最重要因素就是智能化問題。由于計算機是在一系列的規則下產生的，如何發現、判斷、檢測威脅并主動防御，成為主動防御理念走向市場的最大阻礙。

　　由于主動防御可以提升安全策略的執行效率，對企業推進網絡安全建設起到了積極作用，所以監管其產品還不完善，但是隨著未來幾年技術的進步，以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防御型產品類與傳統網絡安全設備相結合。是隨著技術的發展，高效準確的對病毒、蠕蟲、木馬等惡意攻擊行為的主動防御產品就逐步發展成熟并推向市場，主動防御技術走向市場就成為一種必然的趨勢。

　　安全技術融合備受重視。隨著網絡技術的日新月異，網絡普及率的快速提高，網絡所面臨的潛在威脅也越來越大，單一的防護產品早已不能滿足市場的需要。發展網絡安全整體解決方案已經成為必然趨勢，用戶對務實有效的安全整體解決方案需求倍加迫切。安全整體解決方案需要產品更加集成化、智能化、便于集中管理。未來幾年開發網絡安全整體解決方案就成為主要廠商差異化競爭的重要手段。

　　軟硬結合，管理策略走入安全整體解決方案。面對規模越來越龐大和復雜的網絡，僅依靠傳統的網絡安全設備來保證網絡的安全和暢通已經不能滿足網絡的可管、可控要求，因此以終端準入解決方案為代表的網絡管理軟件開始融合進整體的安全解決方案。終端準入解決方案通過控制用戶終端安全接入網絡入手，對接入用戶終端強制實施用戶安全策略，嚴格控制終端網絡使用行為，為網絡安全提供了有效保障，幫助用戶實現更加主動的安全防護，實現高效、便捷地網絡管理目標，全面推動網絡整體安全體系建設的進程。