计算机网络安全和防火墙技术
制定一套安全管理规章制度,严禁员工私自拨号上网; 同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
例2:未考虑与其他安全产品的配合使用
问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
2.6 数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息
的公钥加密算法~nRSA是目前使用比较广泛的加密算法。 【5】。典型
2.7入侵检测系统
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入 13