2022年网际网络安全技术分析和对策.docx

《2022年网际网络安全技术分析和对策.docx》由会员分享，可在线阅读，更多相关《2022年网际网络安全技术分析和对策.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年网际网络安全技术分析和对策内部网 目前的局域网基本上都采纳以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的全部数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的平安隐患。A.局域网平安事实上，Internet上很多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。当前，局域网平安的解决方法有以下几种：1网络分段网络分段通常被认为是限制网络广播风暴的一种基本手段，但其实

2、也是保证网络平安的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。目前，海关的局域网大多采纳以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问限制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的平安限制。例如：在海关系统中普遍运用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问限制，也就是上述的基于数据链路层的物理分段。2以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，以太网侦听的危急仍旧存在。这是因为网络最终用户的接入

3、往往是通过分支集线器而不是中心交换机，而运用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危急的状况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客供应了机会。因此，应当以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能限制单播包而无法限制广播包（Broadcast Packet）和多播包（Multicast

4、 Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。3VLAN的划分为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠敏捷，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算供应了可能性，但同时也潜藏着遭遇MAC欺诈攻击的隐患。而基于协议的VLAN，理论上特别志向，但实际应用却尚不成熟。在集中式网络环境下，我们通常将中心的

5、全部主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地爱护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的全部服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采纳交换实现，而VLAN与VLAN之间的连接则采纳路由实现。目前，大多数的交换机（包括海关内部普遍采纳的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。假如有特别须要，必需运用其他路由协议（如CISCO公司的EIGRP或支持DECnet的ISIS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路

6、由功能。当然，这种状况下，路由转发的效率会有所下降。无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在限制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，假如局域网内存在这样的入侵监控设备或协议分析设备，就必需选用特别的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，供应给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，

7、又使原有的Sniffer协议分析仪“英雄有用武之地”。广域网B.广域网平安由于广域网大多采纳公网来进行数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。假如没有专用的软件对数据进行限制，只要运用Internet上免费下载的“包检测”工具软件，就可以很简单地对通信数据进行截取和破译。因此，必需实行手段，使得在广域网上发送和接收信息时能够保证：除了发送方和接收方外，其他人是无法知悉的（隐私性）；传输过程中不被篡改（真实性）；发送方能确知接收方不是假冒的（非伪装性）；发送方不能否认自己的发送行为（不行抵赖性）。为了达到以上平安目的，广域网通常采纳以下平安解决方法：1加密技术加密型

8、网络平安技术的基本思想是不依靠于网络中数据通道的平安性来实现网络系统的平安，而是通过对网络数据的加密来保障网络的平安牢靠性。数据加密技术可以分为三类，即对称型加密、不对称型加密和不行逆加密。其中不行逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下运用。计算机系统中的口令就是利用不行逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不行逆加密算法的应用渐渐增加，常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛运用的Cisco路由器，有两种口令加密方式：Enable Secret和Enable Passwo

9、rd。其中，Enable Secret就采纳了MD5不行逆加密算法，因而目前尚未发觉破解方法（除非运用字典攻击法）。而Enable Password则采纳了特别脆弱的加密算法（即简洁地将口令与一个常数进行XOR与或运算），目前至少已有两种破解软件。因此，最好不用Enable Password。2VPN技术VPN（虚拟专网）技术的核心是采纳隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务供应商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就犹如通过自己的专用网建立内部网一样，享有较高的平安性、优先性、牢靠性和可

10、管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算供应了可能。因此，VPN技术一经推出，便红遍全球。但应当指出的是，目前VPN技术的很多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务供应商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，肯定要慎重选择VPN服务供应商和VPN设备。3身份认证技术对于从外部拨号访问总部内部网的用户，由于运用公共电话网进行数据传输所带来的风险，必需更加严格限制其平安性。一种常见的做法是采纳身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的T

11、ACACS以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V23软件进行RADIUS身份认证。外部网C.外部网平安海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采纳基于TCPIP的Internet协议族。Internet协议族自身的开放性极大地便利了各种计算机的组网和互联，并干脆推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对平安问题的忽视，以及Internet在运用和管理上的无政府状态，渐渐使Internet自身的平安受到威逼，黑客事务频频发生。对外部网平安的威逼主

12、要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外部网平安解决方法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网平安设计中，往往实行上述三种技术（即防火墙、入侵检测、网络防病毒）相结合的方法。笔者在厦门海关外部网设计中，就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。