防火墻
Internet防火墻就是這樣壹個系統(或壹組系統),它可以增強壹個組織內部網絡的安全性。防火墻系統決定哪些內部服務可以被外界訪問;哪些外部人員可以訪問哪些內部服務,哪些外部服務可以由內部人員訪問。要使防火墻有效,所有進出互聯網的信息都必須通過防火墻並接受防火墻的檢查。防火墻只允許授權的數據通過,防火墻本身必須不被滲透。
互聯網防火墻負責管理互聯網和組織內部網絡之間的訪問。當沒有防火墻時,內部網絡上的每個節點都暴露在互聯網上的其他主機面前,極易受到攻擊。這意味著內網的安全性是由每臺主機的牢固程度決定的,安全性等於最弱的系統。
Internet防火墻允許網絡管理員定義壹個中心“瓶頸”,以防止非法用戶(如黑客和網絡破壞者)進入內部網絡。禁止存在安全漏洞的服務進出網絡,抵禦來自各種路由的攻擊。Internet防火墻可以簡化安全管理,網絡安全是在防火墻系統上得到加強的,而不是分布在內部網絡的所有主機上。
在防火墻上監控網絡的安全性並產生警報是很方便的。註意:對於壹個連接到互聯網的內部網絡,重要的問題不是網絡會不會被攻擊,而是什麽時候被攻擊。誰在進攻?網絡管理員必須審核並記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警並查看定期記錄,防火墻就沒用了。在這種情況下,網絡管理員永遠不會知道防火墻是否受到攻擊。
Internet防火墻可以用作部署NAT(網絡地址轉換器)的邏輯地址。因此,使用防火墻可以緩解地址空間不足的問題,消除組織更換ISP時重新尋址的麻煩。
互聯網防火墻是審計和記錄互聯網使用情況的最佳場所。網絡管理員可以在這裏向管理部門提供互聯網連接的費用,找出潛在帶寬瓶頸的位置,並根據組織的會計模型提供部門級計費。
在設計理念上,防火墻以應用為主,安全為輔,也就是說在支持盡可能多的應用的前提下,能夠保證使用的安全性。防火墻的這種設計理念使其能夠在盡可能多的領域得到廣泛應用,擁有更廣闊的市場,甚至個人電腦都可以使用,但其安全性往往不盡如人意。網關以安全為主,在保證安全的前提下,支持盡可能多的應用。網關主要應用於安全性要求高的領域,如政府網絡和工業控制系統的保護。
安全策略
防火墻不僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,也是安全策略的壹部分。
安全策略建立了全方位的防禦體系,甚至包括:告知用戶應盡的責任、網絡接入、服務訪問、本地和遠程用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施、員工培訓等。所有可能被攻擊的地方都必須受到同等級別的安全保護。
只設置了防火墻系統,沒有全面的安全策略,那麽防火墻是沒有用的。
系統安全
操作系統的安全控制:如電腦開機時用戶輸入的密碼(部分微機主板有“主密碼”),文件的讀寫訪問控制(如Unix系統的文件屬性控制機制)。
網絡接口模塊的安全控制。來自其他機器的網絡通信過程在網絡環境下被安全地控制。主要包括:身份認證、客戶權限的設置和判別、審計日誌等。
網絡互聯設備的安全控制。監控整個子網內所有主機的傳輸信息和運行狀態。主要通過網管軟件或者路由器配置。
電子商務/電子商務
電子商務安全從整體上可以分為兩部分:計算機網絡安全和商務交易安全。
(1)計算機網絡安全的內容包括:
(1)不執行與操作系統相關的安全配置。
無論采用什麽操作系統,在默認安裝條件下都會存在壹些安全問題。只有針對操作系統的安全性進行相關的、嚴格的安全配置,才能達到壹定程度的安全性。不要以為用強密碼系統默認安裝操作系統就安全了。網絡軟件的漏洞和“後門”是網絡攻擊的首選目標。
(2)沒有進行CGI程序代碼審計。
如果是壹般的CGI問題,防範起來稍微容易壹點。但很多網站或軟件商專門開發的CGI程序存在嚴重的CGI問題,對於電子商務網站來說,會出現惡意攻擊者利用他人賬號進行網購等嚴重後果。
(3)拒絕服務(DoS)攻擊。
隨著電子商務的興起,網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的攻擊效果比任何傳統的恐怖主義和戰爭手段都更強,破壞力更大,傷害更快,範圍更廣,而攻擊者本身的風險很小,甚至在攻擊開始前就消失了,使對方無法報復。
(4)安全產品使用不當
雖然很多網站都采用了壹些網絡安全設備,但是這些產品由於自身問題或者使用問題,並沒有發揮出應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超過了普通網管人員的技術要求。即使廠商最初對用戶進行了正確的安裝和配置,壹旦系統發生改變,當相關安全產品的設置需要改變時,也很容易產生很多安全問題。
(5)缺乏嚴格的網絡安全管理制度
網絡安全最重要的是從思想上高度重視。壹個網站或局域網的內部安全需要有壹套完整的安全體系來保障。建立和實施嚴密的計算機網絡安全體系和策略是真正實現網絡安全的基礎。
(二)計算機業務交易安全的內容包括:
(1)竊取信息
由於沒有采取加密措施,數據信息在網絡上以明文形式傳輸,入侵者可以在數據包經過的網關或路由器上截獲傳輸的信息。通過多次竊取和分析,找到信息的規律和格式,進而得到傳輸信息的內容,導致網絡上傳輸的信息泄露。
(2)篡改信息
入侵者在掌握了信息的格式和規律後,在中途對網絡上傳輸的信息數據進行修改,然後通過各種技術手段和方法發送到目的地。這種方法並不新鮮,這種工作可以在路由器或網關上完成。
(3)偽造
由於掌握了數據格式,篡改了傳遞的信息,攻擊者可以冒充合法用戶發送虛假信息或者主動獲取信息,遠程用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以訪問網絡,他可能修改網絡中的信息,掌握網絡上的機密信息,甚至潛入網絡,後果非常嚴重。
協議安全性
TCP/IP協議數據流以明文傳輸。
源地址欺騙或IP欺騙。
源路由欺騙。
路由信息協議攻擊(RIP攻擊)。
認證攻擊。
TCP序列號欺騙。
TCP SYN泛洪攻擊,簡稱SYN攻擊。
容易被欺騙。