企業(yè)內部網信息安全建設的技術要求、配置方案及建議

精品文檔精心整理精品文檔可編輯的精品文檔企業(yè)內部網信息安全建設的技術要求、配置方案及建議美國安泰成發(fā)國際集團公司

企業(yè)網網絡安全解決方案引言1999年已經到來,人類處在21世紀前夜。1998年是全球信息革命和Internet新騰飛的一年?！皫挶ā?用戶超億,網上協(xié)同攻破密碼等等創(chuàng)造性的應用層出不窮。Internet已成為全新的傳播媒體,克林頓丑聞材料在48小時內就有2000萬人上網觀看。電子商務發(fā)展更出人意料,網上購物僅圣誕節(jié)就突破3億美元的銷售額,比預計的全年20億還多。美國對“Internet經濟”投資達到1240億,第二代Internet正式啟動,第三代智能網絡已在醞釀,以Internet為代表和主體的信息網絡必將在21世紀成為人類生產、生活、自下而上的一個基本方式。世界各國都以戰(zhàn)略眼光注視著它的發(fā)展,并在積極謀取網上的優(yōu)勢和主動權。但是Internet網的信息安全問題在1998年也較突出,除兩千年蟲問題已進入倒計時外,下面摘錄上電報導:病毒感染事件1998年增加了二倍,宏病毒入侵案件占60%,已超過1300種,而1996只有40種。網上攻擊事件大幅上升,對50個國家的抽樣調查顯示:去年有73%的單位受到各種形式的入侵,而1996年是42%。據估計,世界上已有兩千萬人具有進行攻擊的潛力。網上經濟詐騙增長了五倍,估計金額達到6億美元,而同年暴力搶劫銀行的損失才5900萬。一份調查報告中說:有48%的企業(yè)受過網上侵害,其中損失最多的達一百萬美元。對美軍的非絕密計算機系統(tǒng)的攻擊試驗表明,成功率達到88%。而被主動查出的只占5%。1998年5月美CIA局長在信息安全的報告中正式宣布:“信息戰(zhàn)威脅確實存在?！本W上賭博盛行,去年在200個網點上的賭博金額達到60億美元,預計今年還會增加一倍。網上色情泛濫,通過瀏覽器、電子郵件等方式大量擴散。由于問題嚴重,西方12個國家的警方在去年九月進行了一次聯(lián)合行動,共抓96人,其中一個網址竟有25萬張黃色圖像。聯(lián)合國科教文組織決定今年一月召開會議,研究遏制網上色情。歐盟正式發(fā)表了對網上有害和非法信息內容的處理法規(guī)。電子郵件垃圾已被新聞界選為1998年Internet壞消息之一,美國一家網絡公司一年傳送的電子郵件中有三分之一是電子垃圾。網上違反保密和密碼管制的問題已成為各國政府關注的一個焦點。暴露個人隱私問題突出,例如通過美國一個網站很容易量到別人的經濟收入信息,另一網址只要輸入車牌號碼就可查到車主地址,為此這些網址已被封閉。在電子郵件內傳播個人隱私的情況更為嚴重。帶有政治性的網上攻擊在1998年有較大增加,包括篡改政府機構的網頁,侵入競選對手的網站竊取信息,在東南亞經濟危機中散布謠言,偽造世界熱點地區(qū)的現(xiàn)場照片,煽動民族糾紛等等,已引起各國政府的高度重視。我國的情況也大致相仿。一方面Internet上網人數(shù)增加,僅下半年年就由117萬劇增到210萬,另一方面,同一時期內外電對在我國發(fā)生的Internet安全事件的報道數(shù)量也大增,比1997年全年還多6倍,其中包括經濟犯罪、竊密、黑客入侵,造謠惑眾等等。以上報導只是全部景觀的一角,卻預示著下一個世紀全球信息安全形勢不容樂觀。我國正處于網絡發(fā)展的初級階段,又面臨著發(fā)達國家信息優(yōu)勢的壓力,要在信息化進程中趨利避害,從一開始就做好信息安全工作十分重要。這是這項工作難度也非常大,經常遇到十分困難的選擇,甚至非難。人們對于“該不該”和“能不能”抓好信息安?全也尚有不同的看法。我們應當充分相信我國的制度優(yōu)越性和人民的智慧與覺悟,積極尋求解決中國特色的Internet安全問題的辦法。在此,僅就企業(yè)內部網的信息安全的建設作一個詳細的討論。1．企業(yè)網絡的現(xiàn)狀世紀之交，信息化已成為國際性發(fā)展趨勢，作為國民經濟信息化的基礎，企業(yè)信息化建設受到國家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網絡的建設是基礎，從計算機網絡技術和應用發(fā)展的現(xiàn)狀來看，Intranet是得到廣泛認同的企業(yè)網絡模式。Intranet并不完全是原來局域網的概念，通過與Internet的聯(lián)結，企業(yè)網絡的范圍可以是跨地區(qū)的，甚至跨國界的?，F(xiàn)在，Internet的發(fā)展已成燎原之勢，隨著WWW上商業(yè)活動的激增，Intranet也應運而生。近幾年，許多有遠見的企業(yè)領導者都已感到企業(yè)信息化的重要性,陸續(xù)建立起了自己的企業(yè)網和Intranet并通過各種WAN線路與Internet相連。國際互聯(lián)網Internet在帶來巨大的資源和信息訪問的方便的同時，它也帶來了巨大的潛在的危險，至今仍有很多企業(yè)仍然沒有感到企業(yè)網安全的重要性。在我國網絡急劇發(fā)展還是近幾年的事，而在國外企業(yè)網領域出現(xiàn)的安全事故已經是數(shù)不勝數(shù)。因此，我們應該在積極進行企業(yè)網建設的同時，就應借鑒國外企業(yè)網建設和管理的經驗，在網絡安全上多考慮一些，將企業(yè)網中可能出現(xiàn)的危險和漏洞降到最低。使已經花了不少財力、人力和時間后，建立起來的網絡真正達到預想的效果。從總體上來說,企業(yè)網絡建設以下幾方面的誤區(qū)：解決方案上的誤區(qū)、應用開發(fā)上的誤區(qū)和系統(tǒng)管理上的誤區(qū)。解決方案上的誤區(qū)在解決方案上的誤區(qū)主要包括：認為只要肯花錢就萬事大吉了。誠然，投資是企業(yè)網絡建設的基本，但并非所有的東西都能直接買來。事實上，數(shù)據、應用軟件、網絡系統(tǒng)管理及網絡的應用水平等都不是簡單買來了事的。不根據實際需求，盲目認為購買的硬件、軟件產品越先進越好，甚至要求達到10年不落后等要求。這種提法本身就不科學，信息技術的發(fā)展是日新月異的，10年前誰也不知道現(xiàn)在的計算機會發(fā)展到如此水平，同樣，10年后如何也無法預料。這樣一來，后果是可以想到的：平臺越先進，設備越昂貴，技術越復雜，建設的投入與產出相比一定很高，這當然不是企業(yè)需要得到的結果。認為有了網絡、服務器、數(shù)據庫、聯(lián)通了Internet就能要什么就有什么了，忽視總體數(shù)據體系規(guī)劃和組織、應用系統(tǒng)開發(fā)，數(shù)據的采集、傳輸、加工、存儲和查詢等具體應用工作。而缺少這些，網絡的作用就不能充分發(fā)揮出來，這恰恰與企業(yè)網絡建設的初衷相違。認為可以“畢其功于一役”地搞企業(yè)網絡建設，實際上，這是一項長期的工作。認為只要找到好的供應商、系統(tǒng)集成商就肯定可以把網絡建好，沒有想到只有良好的合作才能獲得成功，只有建立自己的技術隊伍才能保持成功之果。應用開發(fā)上的誤區(qū)應用開發(fā)是企業(yè)網絡系統(tǒng)建設中的重要內容，也是網絡建設成功與否的關鍵。不少企業(yè)網絡建設項目中，在應用開發(fā)方面也存在一些誤區(qū)：認為只要有好的計算機專業(yè)人員去干就可以了，業(yè)務人員不參與應用開發(fā)工作，甚至不很好地配合。事實上，由于專業(yè)計算機人員缺少具體業(yè)務知識和經驗，無法獨立開發(fā)出很適合業(yè)務部門的應用軟件。認為凡是業(yè)務部門、業(yè)務人員提出的需求都要進行開發(fā)。在應用開發(fā)的范圍上，不進行認真地分析，不分主次。實際上，許多現(xiàn)成的工具軟件已包含了許多功能，例如EXECL，但由于不重視業(yè)務人員計算機技能的提高，一切功能都寄希望于開發(fā)。這就造成開發(fā)成本的提高和工作重點的分散。認為只有采用最新潮的開發(fā)工具和最時髦的開發(fā)語言才能開發(fā)好的軟件，而不顧自己的實際需求，也不問那些工具和語言到底有什么用。認為開發(fā)軟件與操作軟件一樣容易，所以不重視開發(fā)人員的工作，隨意提出需求，之后又隨意改動。這樣的改動，很可能給開發(fā)增加許多工作量，更為嚴重的是，破壞開發(fā)的總體規(guī)劃，導致開發(fā)進度的延遲。企業(yè)高級領導認為開發(fā)工作是下面的事情，不參與總體規(guī)劃，卻對開發(fā)抱著過高的期望，以為開發(fā)結果一定應符合自己的想象。1.3系統(tǒng)管理上的誤區(qū)企業(yè)網絡效果的發(fā)揮離不開系統(tǒng)管理，決不僅僅是安裝好企業(yè)網絡的設備，配置好軟件那么簡單，同樣一個運行良好的企業(yè)網離不開人的管理，系統(tǒng)管理在網絡建設和維護中是至關重要的，目前在系統(tǒng)管理方面存在的誤區(qū)主要包括：認為系統(tǒng)管理只要有計算機人員就可以了，不建立規(guī)范、有效的管理制度，沒有想到系統(tǒng)管理實際上是企業(yè)管理中必不可少的一部分。認為系統(tǒng)管理就是對計算機、網絡設備、系統(tǒng)軟件的管理，沒考慮到對企業(yè)整體信息資源的管理，不注重對數(shù)據信息的規(guī)范化、標準化管理。認為系統(tǒng)管理簡單，費用不高，投入的財力、人力、物力不足。有許多企業(yè)的系統(tǒng)管理員只會“玩”PC而已，網管軟件也被當作是可有可無的東西。殊不知，隨著網絡技術的發(fā)展和信息的增多，系統(tǒng)管理工作是相當復雜和繁重的。認為系統(tǒng)管理工作只是輔助性工作，不能為企業(yè)創(chuàng)造直接效益，可以不予重視。結果導致專業(yè)計算機人才流失，只好使用非專業(yè)人員，使管理效果大打折扣。認為只有看的見的東西才值錢，因而不愿意在服務上花錢。在系統(tǒng)管理上無法得到專業(yè)廠商的支持，導致管理水平業(yè)余而落后。Intranet與網絡安全技術2.1信息安全的重要性和內涵長期以來,人們把信息安全理解為對信息的機密性、完整性和可獲性的保護,這固然是對的,但這個觀念是在二十多年前主機時代形成的。當時人們需要保護的是設在專用機房內的主機以及數(shù)據的安全性,因此它是面向單機、面向數(shù)據的。八十年代進入了微機和局域網時代,計算機已從專用機房內解放到分散的辦公桌面乃至家庭,由于它的用戶/網絡結構比較簡單、對稱,所以既要依靠技術措施保護,還要制定人人必須遵守的規(guī)定。因此,這個時代的信息安全是面向網管、面向規(guī)約的。九十年代進入了互聯(lián)網時代,每個用戶有都可以聯(lián)接、使用乃至控制散布在世界上各個角落的上網計算機,因此Internet的信息安全內容更多,更為強調面向連接、面向用戶(“人”)。因為在這個嶄新的世界里,人與計算機的關系發(fā)生了質的變化。人、網、環(huán)境相結合,形成了一個復雜的巨系統(tǒng)。通過網上的協(xié)同和交流,人的智能和計算機快速運行的能力匯集并融合起來,創(chuàng)造了新的社會生產力,豐富著大量應用(電子商務,網上購物等等)和滿足著人們的各種社會需要(交流、學習、醫(yī)療、消費、娛樂、安全感、安全環(huán)境等等)。在這個復雜巨系統(tǒng)中,“人”以資源使用者的身份出現(xiàn),是系統(tǒng)的主體,處于主導地位,而系統(tǒng)的資源(包括硬軟件、通訊網、數(shù)據、信息內容等)則是客體,它是為主體即“人”服務的,與此相適應,信息安全的主體也是“人”(包括用戶、團體、社會和國家),其目的主要是保證主體對信息資源的控制?？梢赃@樣說:面向數(shù)據的安全概念是前述的保密性、完整性和可獲性,而面向使用者的安全概念則是鑒別、授權、訪問控制、抗否認性和可服務性以及在于內容的個人隱私、知識產權等的保護。這兩者結合就是信息安全體系結構中的安全服務功能),而這些安全問題又要依靠密碼、數(shù)字簽名、身份驗證技術、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制(措施)加以解決。其中密碼技術和管理是信息安全的核心,安全標準和系統(tǒng)評估是信息安全的基礎。總之從歷史的、人網大系統(tǒng)的概念出發(fā),現(xiàn)代的信息安全涉及到個人權益、企業(yè)生存、金融風險防范、社會穩(wěn)定和國家的安全。它是物理安全、網絡安全、數(shù)據安全、信息內容安全、信息基礎設施安全與公共、國家信息安全的總和。信息安全的完整內涵是和信息安全的方法論相匹配的,信息安全系統(tǒng)是一個多維、多因素、多層次、多目標的系統(tǒng)。因此,有必要從方法論的角度去理解現(xiàn)有的信息安全模式。1.分析與綜合的辯證思維方法:要在分析過程中從整體上把握好分析要素的內部矛盾,例如:*在威脅分析中的環(huán)境災害與人員失誤、無意疏忽與有意破壞、外部人員與內部職員、竊密篡改與拒絕服務、個人行為與有組織的信息戰(zhàn)威脅等關系。在脆弱性分析中的軟件、協(xié)議缺陷與嵌入后門、網絡層、系統(tǒng)層、應用層薄弱環(huán)節(jié)的關聯(lián)等。在攻擊分析中的利用技術漏洞與社會工程、行為模式與隱蔽方式等關系。在綜合方法上則應該面向過程,著眼發(fā)展:風險管理的綜合方法:立足于盡量減少風險,實行資產評估,風險估算,重點選擇,綜合平衡,政策制定,系統(tǒng)實施,審計監(jiān)管等的全過程和全面質量管理。安全評估的綜合方法:面向設計過程,強調系統(tǒng)總體評價。在評估標準上掌握好傳統(tǒng)與現(xiàn)實、國際通用互認和中國特點的關系。在保護輪廓內掌握好安全功能和保障的關系。2.從系統(tǒng)復雜性的觀點理解和解決安全問題:信息安全是過程、政策、標準、管理、指導、監(jiān)控、法規(guī)、培訓和工具技術的有機總和。這需要在不同層面上面向目標,用定性與定量相結合、技術措施與專家經驗相結合的綜合集成方法加以解決。對信息內容的管理則要從源頭、傳遞、網關、服務網站和用戶層面進行綜合治理。以創(chuàng)新精神跟上網絡和安全技術的新發(fā)展我們處在網絡調整發(fā)展和科技突飛猛進的時代,信息安全技術是具有對抗性的敏感技術,面對日益迫切的需要,唯一的出路就是自主?創(chuàng)新。但是自主創(chuàng)新并不排斥吸取國外的先進技術相反,只有密切跟蹤國際信息安全技術的新進民才能知已知彼,為我所用,在技術創(chuàng)新上以下發(fā)展值得注意:1.在信息安全系統(tǒng)的構建、模式、評估方面風險管理技術已由傳統(tǒng)的相對固定的模式向靈活的不斷反饋、不斷演進的彈性模式轉化,強調可測量的方法體系,形成所謂“有適應能力的風險管理模式”。十年前,信息安全系統(tǒng)構建理念是“自上而下”即頂層設計。從Internet的歷史特點和發(fā)展現(xiàn)實出發(fā),需要先“自下而上”赴,接著“上下結合”,然后再在網絡的確定范圍內從全局上規(guī)劃,構成安全體系。系統(tǒng)安全不能作到一勞永逸,需要動態(tài)的構建模型。在安全功能、服務的配置上,過去是先從整體定義入手,但是Internet量個多元化的應用環(huán)境,而且日新月異。因此現(xiàn)實的解決辦法是“分而治之”。各種應用,各個部門,先在統(tǒng)一的規(guī)范下,“從我做起”或者分層分步實施。這在相當一段時間內,是推動網絡發(fā)展、激勵安全應用的現(xiàn)實途徑。新的安全協(xié)議不斷出現(xiàn),有的已趨于成熟,例如大家熟知IPv6已被公認安全性較強,又能比IPv4提供更好的互連互通功能,很有可能進入主流,如何使我們的安全產品能同時支持IPv6已提到日程上人類社會向來是正義與邪惡并存,在科學技術進步的同時人類也面臨新的威脅,計算機技術的發(fā)展帶來的計算機犯罪就是其中典型的例子。下面談談實施一個完整的安全體系應該考慮的問題。國內的信息系統(tǒng)安全嗎?在國家范圍的網絡建設方面,國家電信事業(yè)迅速發(fā)展,取得了巨大的成績。但是,國家通信網絡的交換機及其通信設備有相當一部分由于沒有經過安全檢測,安全問題沒有保證,這是由于安全檢測工作的建設滯后造成的。交換機的嵌入操作系統(tǒng)的安全性也存在問題。通信業(yè)務的計算機系統(tǒng)也多采用開放式的操作系統(tǒng),安全級別都很低,也沒有附加安全措施。這些系統(tǒng)不能抵抗黑客的攻擊與信息炸彈的攻擊。在國家政府部門,應當說對信息系統(tǒng)的安全性還是重視的,但苦于沒有好的解決問題的方案和安全建設經費不足,行業(yè)系統(tǒng)安全問題還是相當嚴重的,計算機系統(tǒng)也多采用開放式的操作系統(tǒng),安全級別較低。不能抵抗黑客的攻擊與信息炸彈的攻擊。有些系統(tǒng)網絡多路出口,對信息系統(tǒng)安全沒有概念,完全沒有安全措施,更談不上安全管理與安全策略的制定。有的行業(yè)的信息系統(tǒng)業(yè)務是在沒有安全保障的情況下發(fā)展的。在金融領域,有些系統(tǒng)采用了開放操作系統(tǒng)UNIX。在系統(tǒng)采購時,有些單位沒有采購安全系統(tǒng)或安全系統(tǒng)建設不完善。這些系統(tǒng)安全級別較低,安全問題是普遍性的。有的商品交易所與證券公司使用的信息系統(tǒng)采用的是微機網絡系統(tǒng),已經出現(xiàn)內外黑客的攻擊,應當說問題已經相當嚴重。在產業(yè)發(fā)展決策方面,當然改革開放以來取得巨大成績,在行業(yè)規(guī)劃方面一度存在輕系統(tǒng)重應用的發(fā)展思路,對目前出現(xiàn)的信息系統(tǒng)安全問題是有影響的。行業(yè)部門應當重視系統(tǒng)軟件的建設工作,因為單靠企業(yè)發(fā)展系統(tǒng)軟件是不可能在較短的時間內取得地位的,要在系統(tǒng)軟件領域占有一席之地應當成為國策,甚至不亞于芯片建設的重要性。要加強信息系統(tǒng)安全的標準化工作,要啟動信息系統(tǒng)安全建設的內需,要明確信息系統(tǒng)安全建設的要求和規(guī)范。應當引起我們注意的是操作系統(tǒng)、網絡系統(tǒng)與數(shù)據庫管理系統(tǒng)的安全問題,是信息系統(tǒng)的核心技術,沒有系統(tǒng)的安全就沒有信息的安全。我們應當特別注意,我國在信息系統(tǒng)安全方面與美國是不平等的。在信息系統(tǒng)安全管理部門信息系統(tǒng)產品的認證和檢測工作剛剛開始,任重而道遠2.3影響網絡信息安全的因素現(xiàn)今的網絡信息安全存在的威脅主要表現(xiàn)在以下幾個方面。1.非授權訪問。指對網絡設備及信息資源進行非正常使用或越權使用等。2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限,以達到占用合法用戶資源的目的。3.破壞數(shù)據的完整性。指使用非法手段,刪除、修改、重發(fā)某些重要信息,以干擾用戶的正常使用。4.干擾系統(tǒng)正常運行。指改變系統(tǒng)的正常運行方法,減慢系統(tǒng)的響應時間等手段。5.病毒與惡意攻擊。指通過網絡傳播病毒或惡意Java、XActive等。6.線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。2.4計算機安全分類及基本功能根據國家計算機安全規(guī)范,可把計算機的安全大致分為三類。一是實體安全,包括機房、線路,主機等;二是網絡與信息安全,包括網絡的暢通、準確及其網上的信息安全;三是應用安全,包括程序開發(fā)運行、輸入輸出、數(shù)據庫等的安全。下面重點探討第二類網絡與信息的安全問題。網絡信息安全需求可以歸結為以下幾類:1.基本安全類包括訪問控制、授權、認證、加密和內容安全等。訪問控制是提供企業(yè)內部與外界及內部不同信息源之間隔離的基本機制,也是企業(yè)的基本要求。但是提供隔離不是最終目的,企業(yè)利用Internet技術的最終目的應當是在安全的前題下提供方便的信息訪問,這就是授權需求。同時,用戶也希望對授權的人的身份進行有效的識別,這就是認證的需求。為了保證信息在存儲和傳輸中不被纂改、竊聽等需要加密功能,同時,為了實施對進出企業(yè)網的流量進行有效的控制,就需要引入內容安全要求。2.管理與記帳類包括安全策略管理、企業(yè)范圍內的集中管理、記帳、實時監(jiān)控,報警等功能。3.網絡互聯(lián)設備安全類包括路由器安全管理、遠程訪問服務器安全管理、通信服務器安全管理、交換機安全管理等。4.連接控制類主要為發(fā)布企業(yè)消息的服務器提供可靠的連接服務,包括負載均衡、高可靠性以及流量管理等。2.5安全缺口安全策略經常會與用戶方便性相矛盾,從而產生相反的壓力,使安全措施與安全策略相脫節(jié)。這種情況稱為安全缺口。為什么會存在安全缺口呢?有下面四個因素:1、網絡設備種類繁多——當前使用的有各種各樣的網絡設備,從WindowsNT和UNIX服務器到防火墻、路由器和Web服務器,每種設備均有其獨特的安全狀況和保密功能;2、訪問方式的多樣化——一般來說,您的網絡環(huán)境存在多種進出方式,許多過程拔號登錄點以及新的Internet訪問方式可能會使安全策略的設立復雜化;3、網絡的不斷變化——網絡不是靜態(tài)的,一直都處于發(fā)展變化中。啟用新的硬件設備和操作系統(tǒng),實施新的應用程序和Web服務器時,安全配置也有不盡相同;4、用戶保安專業(yè)知識的缺乏——許多組織所擁有的對網絡進行有效保護的保安專業(yè)知識十分有限,這實際上是造成安全缺口最為主要的一點。2.6網絡安全評估為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網絡安全狀況進行評估:1、從企業(yè)外部進行評估:考察企業(yè)計算機基礎設施中的防火墻;2、從企業(yè)內部進行評估:考察內部網絡系統(tǒng)中的計算機;3、從應用系統(tǒng)進行評估:考察每臺硬件設備上運行的操作系統(tǒng)。2.7計算機網絡的安全策略2.7.1物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。2.7.2訪問控制策略訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。1)入網訪問控制入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。用戶帳號應只有系統(tǒng)管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數(shù)。用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數(shù)量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。2)網絡的權限控制網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。3)目錄級安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限（Supervisor）；讀權限（Read）、；寫權限（Write）；創(chuàng)建權限（Create）；刪除權限（Erase）；修改權限（Modify）；文件查找權限（FileScan）；存取控制權限（AccessControl）；用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。4)屬性安全控制當用文件、目錄和網絡設備時，網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執(zhí)行修改、顯示等。5)網絡服務器安全控制網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。6)網絡監(jiān)測和鎖定控制網絡管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該帳戶將被自動鎖定。7)網絡端口和節(jié)點的安全控制網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證2.8確保網絡安全的措施由于網絡安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網絡連入Internet，那麼最好盡可能地把與Internet連接的機器與網絡的其余部分隔離開來。實現(xiàn)這個目標的最安全的方法是將Internet服務器與網絡實際隔開。當然，這種解決方案增加了機器管理的難度。但是如果有人闖入隔離開的機器，那麼網絡的其余部分不會受到牽連。最重要的是限制訪問。不要讓不需要進入網關的人都進入網關。在機器上用戶僅需要一個用戶帳號，嚴格限制它的口令。只有在使用su時才允許進入根帳號。這個方法保留一份使用根帳號者的記錄。在Internet服務器上提供的一些服務有FTP、、遠程登陸和WAIS（廣域信息服務）。但是，F(xiàn)TP和是使用最普遍的服務。它們還有潛力泄露出乎用戶意料之外的秘密。與任何其它Internet服務一樣，F(xiàn)TP一直是（而且仍是）易于被濫用的。值得一提的弱點涉及幾個方面。第一個危險是配置不當。它使站點的訪問者（或潛在攻擊者）能夠獲得更多超出其預期的數(shù)據。他們一旦進入，下一個危險是可能破壞信息。一個未經審查的攻擊者可以抹去用戶的整個FTP站點。最后一個危險不必長篇累牘，這是因為它不會造成破壞，而且是低水平的。它由用戶的FTP站點構成，對于交換文件的人來說，用戶的FTP站點成為“麻木不仁的窩臟點”。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換如何進行的呢？簡單的很。發(fā)送者發(fā)現(xiàn)了一個他們有權寫入和拷入可疑文件的FTP站點。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以訪問。一般說來，F(xiàn)TP用戶不是用戶的系統(tǒng)中已經有的。因此，用戶要建立FTP用戶。無論如何要保證將外殼設置為真正外殼以外的東西。這一步驟防止FTP用戶通過遠程登錄進行注冊（用戶或許已經禁止遠程登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯）。將所有文件和目錄的主人放在根目錄下，不要放在ftp下。這個預防措施防止FTP用戶修改用戶仔細構思出的口令。然后，將口令規(guī)定為755（讀和執(zhí)行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項工作。盡管這個規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來。用戶還需要編制某些可用的庫。然而，由于用戶已經在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib中。接著將~ftp/usr/lib上的口令改為555，并建立主接收器。最后，用戶需要在~ftp/dev/中建立/dev/null和/dev/socksys設備結點。用戶可以用mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會更加容易。SCO文檔說用cpio,但是copy（非cp）很管用。如果用戶想建立一個人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預防措施防止它成為麻木不仁的窩臟點。人們可以在這里放入他們想放的任何東西，但是他們不能將它們取出。如果用戶認為信息比較適合共享，那麼將拷貝到另一個目錄中。2.9提高企業(yè)內部網安全性的幾個步驟限制對網關的訪問。限制網關上的帳號數(shù)。不要允許在網絡上進行根注冊；不要信任任何人。網關不信任任何機器。沒有一臺機器應該信任網關；不要用NFS向網關傳輸或接收來自網關的任何文件系統(tǒng)；不要在網關上使用NIS（網絡信息服務）；制訂和執(zhí)行一個非網關機器上的安全性方針；關閉所有多余服務和刪除多余程序刪除網關的所有多余程序（遠程登錄、rlogin、FTP等等）；定期閱讀系統(tǒng)記錄。3.Intranet安全解決方案3.1Intranet安全解決方案過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實網絡信息安全牽涉到方方面面的問題,是一個極其復雜的系統(tǒng)工程。從簡化的角度來看,要實施一個完整的網絡與信息安全體系,至少應包括三類措施,并且三者缺一不可。一是社會的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關部門、企業(yè)的主要領導應當扮演重要的角色。二是技術方面的措施,如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等。只有技術措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術與社會措施。其主要措施有:實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等,以防患于未然。企業(yè)要實施一個安全的系統(tǒng)應該三管齊下。其中法律、企業(yè)領導層的重視應處于最重要的位置。沒有社會的參與就不可能實施安全保障。網絡信息安全包括了建立安全環(huán)境的幾個重要組成部分,其中安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標準和方法。第二部分為增強的用戶認證,用戶認證在網絡和信息的安全中屬于技術措施的第一道大門,最后防線為審計和數(shù)據備份,不加強這道大門的建設,整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據以下三種因素提供認證。1.用戶持有的證件,如大門鑰匙、門卡等等;2.用戶知道的信息,如密碼;3.用戶特有的特征,如指紋、聲音、視網膜掃描等等。根據在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。第三部分是授權,這主要為特許用戶提供合適的訪問權限,并監(jiān)控用戶的活動,使其不越權使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可。第四部分是加密。在上述的安全體系結構中,加密主要滿足以下幾個需求。1.認證——識別用戶身份,提供訪問許可;2.一致性——保證數(shù)據不被非法篡改;3.隱密性——保護數(shù)據不被非法用戶查看;4.不可抵賴——使信息接收者無法否認曾經收到的信息。加密是信息安全應用中最早開展的有效手段之一,數(shù)據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網絡與信息安全建設中,利用加密技術至少應能解決以下問題:1.鑰匙的管理,包括數(shù)據加密鑰匙、私人證書、私密等的保證分發(fā)措施;2.建立權威鑰匙分發(fā)機構;3.保證數(shù)據完整性技術;4.數(shù)據加密傳輸;5.數(shù)據存儲加密等。第五部分為審計和監(jiān)控,確切說,還應包括數(shù)據備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責任追查、重要數(shù)據復原等保障。在網絡和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎,如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權的控制過程以及事后的審計等的工作就會變得非常困難。3.2網絡信息安全產品為了實施上面提出的安全體系,可采用防火墻產品來滿足其要求。采用NetScreen公司的硬件防火墻解決方案NetScreen-10&NetScreen-100可以滿足以下功能。(1)訪問控制實施企業(yè)網與外部、企業(yè)內部不同部門之間的隔離。其關鍵在于應支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應用協(xié)議以及用戶自定義協(xié)議等。(2)普通授權與認證提供多種認證和授權方法,控制不同的信息源。(3)內容安全對流入企業(yè)內部的網絡信息流實施內部檢查,包括URL過濾等等。(4)加密提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。(5)網絡設備安全管理目前一個企業(yè)網絡可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網內不同部門和分公司之間可能亦會有由多級網絡設備隔離的小網絡。根據信息源的分布情況,有必要對不同網絡和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務器的安全管理。(6)集中管理實施一個企業(yè)一種安全策略,實現(xiàn)集中管理、集中監(jiān)控等。(7)提供記帳、報警功能實施移動方式的報警功能,包括E-mail、SNMP等。企業(yè)如何選擇合適的防火墻計算機網絡將有效的實現(xiàn)資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進一步加強，隨之而來的信息安全問題也日益突出。并不是每一款防火墻都適應于每個用戶的需求，根據用戶需求的不同，所需要的防火墻可能完全不同。下面列舉了幾種網絡中的防火墻應用。INTERNET或信息發(fā)布服務這種情況非常普遍，ISP或ICP，企業(yè)的網頁，在INTERNET上提供息服務或提供數(shù)據庫服務等。任何一種想提供普遍服務或廣而告之的網絡行為，必須允許用戶能夠訪問到你提供服務的主機，都屬于這種情況。對訪問服務行業(yè)而言，訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方，也就是說，主機安全幾乎是唯一的保證。除非明確地知道誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定，否則，訪問控制變得毫無意義。主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念，首先是要有一個安全的操作系統(tǒng)，建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務，如果不是你所必須提供的服務，建議除掉一切你所不需要的進程，對你的服務而言，它們都是你安全上的隱患。可以采用一些安全檢測或網絡掃描工具來確定你的服務器上到底有伸麼服務，以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規(guī)則，除了允許提供商愿意提供的服務之外，宣紙并拒絕所有未允許的服務，這是一個非常嚴格的措施。除了主機安全以外，如果還需要提高服務的安全性，就該考慮采用網絡實時監(jiān)控和交互式動態(tài)防火墻。網絡實時監(jiān)控系統(tǒng)，會自動捕捉網絡上所有的通信包，并對其進行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務商所允許的服務不同，交互式防火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報警。網絡實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能，但成本相對偏高。INTERNET和內部網企業(yè)一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內部數(shù)據庫和網絡。企業(yè)當然沒有辦法去建立兩套網絡來滿足這種需求。防火墻的基本思想不是對每臺主機系統(tǒng)進行保護，而是讓所有對系統(tǒng)的訪問通過某一點，并且保護這一點，并盡可能地對受保護的內部網和不可信任的外界網絡之間建立一道屏障，它可以實施比較慣犯的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。根據企業(yè)內部網安全政策的不同，采取防火墻的技術手段也有所不同。包過濾防火墻包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預先設定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網絡系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務；將安全策略轉化為數(shù)據包分組字段的邏輯表達式；用相應的句法重寫邏輯表達式并設置之，包過濾防火墻主要是防止外來攻擊，或是限制內部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則，大體有：對付源IP地址欺騙式攻擊（SourceIPAddressSpoofingAttacks）對入侵者假冒內部主機，從外部傳輸一個源IP地址為內部網絡IP地址的數(shù)據包的這類攻擊，防火墻只需把來自外部端口的使用內部源地址的數(shù)據包統(tǒng)統(tǒng)丟棄掉。對付殘片攻擊（TinyFragmentAttacks）入侵者使用TCP/IP數(shù)據包分段特性，創(chuàng)建極小的分段并強行將TCP/IP頭信息分成多個數(shù)據包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（FragmentOffset）為1的數(shù)據包全部丟棄即可。包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。對于采用動態(tài)分配端口的服務，如很多RPC（遠程過程調用）服務相關聯(lián)的服務器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾。包過濾防火墻只按照規(guī)則丟棄數(shù)據包而不對其作日志，導致對過濾的IP地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議（如應用層）實現(xiàn)的安全攻擊的能力。代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務器象一臺客戶機一樣取回所需的信息再轉發(fā)給客戶。它將內部系統(tǒng)與外界隔離開來，從外面只能看到代理服務器而看不到任何內部資源。代理服務器只允許有代理的服務通過，而其他所有服務都完全被封鎖住。代理服務器非常適合那些根本就不希望外部用戶訪問企業(yè)內部的網絡，而也不希望內部的用戶無限制的使用或濫用INTERNET。采用代理服務器，可以把企業(yè)的內部網絡隱藏起來，內部的用戶需要驗證和授權之后才可以去訪問INTERNET。代理服務器包含兩大類：一類是電路級代理網關，另一類是應用級代理網關。電路級網關又稱線路級網關，它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務器接收外來請求，轉發(fā)請求；與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監(jiān)視兩主機建立連接時的握手信息，如Syn、Ack和序列數(shù)據等是否合乎邏輯，信號有效后網關僅復制、傳遞數(shù)據，而不進行過濾。電路網關中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網關通信的客戶機才能到達防火墻另一邊的服務器。電路級網關的防火墻的安全性比較高，但它仍不能檢查應用層的數(shù)據包以消除應用層攻擊的威脅。應用級網關使用軟件來轉發(fā)和過濾特定的應用服務，如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過，也就是說只有那些被認為“可信賴的”服務才被允許通過防火墻。另外代理服務還可以過濾協(xié)議，如過濾FTP連接、拒絕使用FTP放置命令等。應用級網關的安全性高，其不足是要為每種應用提供專門的代理服務程序。兩種代理技術都具有登記、日記、統(tǒng)計和報告功能，有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施，如驗證授權RADIUS、智能卡、認證令牌、生物統(tǒng)計學和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點。狀態(tài)監(jiān)控技術網絡狀態(tài)監(jiān)控技術普遍被認為是下一代的網絡安全技術。傳統(tǒng)的網絡狀態(tài)監(jiān)控技術對網絡安全正常的工作完全沒有影響的前提下，采用捕捉網絡數(shù)據包的方法對網絡通信的各個層次實行監(jiān)測，并作安全決策的依據。監(jiān)視模塊支持多種網絡協(xié)議和應用協(xié)議，可以方便地實現(xiàn)應用和服務擴充。狀態(tài)監(jiān)視服務可以監(jiān)視RPC（遠程過程調用）和UDP（用戶數(shù)據包）端口信息，而包過濾和代理服務則都無法做到。網絡狀態(tài)監(jiān)控對主機的要求非常高，128M的內存可能是一個基本的要求，硬盤的要求也非常大，至少要求9G，對SWAP區(qū)至少也要求192M以上。一個好的網絡狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達每秒45M左右（一條T3的線路）。網絡狀態(tài)的監(jiān)控的結果，直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網的IP防火墻就是這樣一種產品。虛擬專用網VPNEXTRANET和VPN是現(xiàn)代網絡的新熱點。虛擬專用網的本質實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網絡安全、應用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密碼的問題?？紤]到我國對密碼管理的體制情況，密碼是一個單獨的領域。對防火墻而言，是否防火墻支持對其他密碼體制的支持，支持提供API來調用第三方的加密算法和密碼，非常重要。如何構筑虛擬專用網VPN企業(yè)利用Internet構筑虛擬專用網絡(VPN)，意味著可以削減巨額廣域網成本，然而在VPN中確保關鍵數(shù)據的安全等因素又是企業(yè)必須面對的問題。削減廣域網成本，吸引新客戶，這是當今每一位企業(yè)主管的求勝之路。但是涉及到Internet，企業(yè)有得又有失，比如專用線路的高可靠性及安全性就是VPN需要重點考慮的地方。相比之下VPN比租用專線的費用低近80%，而且可以將Internet上的多個網站連接起來，使企業(yè)接觸新的企業(yè)伙伴和客戶。明確遠程訪問的需求首先企業(yè)要明確需要與哪種WAN連接，用戶是通過LAN/WAN還是撥號鏈路進入企業(yè)網絡，遠程用戶是否為同一機構的成員等問題。WAN的連接有兩類：內聯(lián)網連接和外聯(lián)網連接。內聯(lián)網連接著同一個機構內的可信任終端和用戶，這一類典型連接是總部與下屬辦事處、遠程工作站及路途中用戶的連接。對于內聯(lián)網連接，VPN應提供對企業(yè)網絡相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。內聯(lián)網VPN執(zhí)行的安全決策通常是標準的公司決策，遠程用戶至少要經過一次認證。圍繞下屬辦事處，VPN要考慮的一個關鍵問題是這些辦事處的物理安全性。物理安全性涵蓋了一切因素，從下屬辦事處的密鑰和鎖，到計算設備的物理訪問，再到可訪問設施的非雇員數(shù)量等等。如果所有這一切都萬無一失，在總部和下屬辦事處之間就可以建立一個“開放管道”的VPN。這類似于LAN到LAN的連接。即不需要基于VPN的用戶認證，因為我們認為這樣的連接是安全的。但是，如果這些地方有問題，網絡設計人員就要考慮采用更嚴格的安全措施。例如，VPN需要嚴格認證，或者將對總部網絡的訪問限制在某個孤立的子網中。VPN對外聯(lián)網的安全要求通常十分嚴格，對保密信息的訪問只有在需要時才能獲準，而敏感的網絡資源則禁止訪問。由于外聯(lián)網連接可能會涉及機構外人員，解決用戶的變化問題則很有挑戰(zhàn)性。從根本上說，這是嚴格政治問題。但在機構確定用戶時，這是嚴格急需解決的技術問題。注重管理企業(yè)網絡是攻擊者垂涎的目標,因此,管理層必須保護公司網絡免遭遠程入侵。一個機構的安全決策應界定何種形式的遠程訪問是允許的或不允許的，決策中還要確定相應的VPN設備和實施選擇方法。一般來說，決策者應解決VPN特有的幾個問題：遠程訪問的資格，可執(zhí)行的計算能力，外聯(lián)網連接的責任，以及VPN資源的監(jiān)管。另外，還應包括為出差旅行的員工及遠程工作站的員工提供的訪問步驟。當然，決策中應包括一些技術細節(jié)，例如加密密鑰長度，如果VPN的加密算法要求公開認證，則還需要法律的支持保護。對外另外而言，決策中應具體說明及時通報遠程用戶人員變更的步驟，被解雇的人員必須盡快從數(shù)據庫中清除。這需要外聯(lián)網用戶機構同VPN管理人員之間進行良好的協(xié)作。通常，企業(yè)的人事部門已制定有人事管理規(guī)定，這些規(guī)定可能也適用于VPN用戶。確定最佳的產品組合可選擇的VPN產品很多，但產品基本上可分成三大類：基于系統(tǒng)的硬件、獨立的軟件包和基于系統(tǒng)的防火墻。大部分產品對LAN到LAN及遠程撥號連接都支持。硬件VPN產品是典型的加密路由器,由于它們在設備的硅片中存儲了加密密鑰,因此,較之基于軟件的同類產品更不易被破壞.另外,加密路由器的速度快,事實上,如果鏈路的傳輸速度超過T1(1.554Mbps),這樣的VPN是名列前茅的?；谲浖腣PN可能提供更多的靈活性。許多產品允許根據地址或協(xié)議打開通道，而硬件產品則不同，它們一般為全部信息流量打開通道，而不考慮協(xié)議要求。因流量類型不同，特定的通道在遠程站點可能遇到混合信息流時分優(yōu)先級，例如有些信息流需要通過VPN進入總部的數(shù)據庫，有些信息流則是在網上沖浪。在一般情況下，如通過撥號鏈路連接的用戶，軟件結構也許是最佳的選擇。軟件系統(tǒng)的問題在于難于管理，它要求使用者熟悉主機操作系統(tǒng)、應用程序本身以及相應的安全機制，甚至一些軟件包需要對路由表和網絡地址方案進行改動。基于防火墻的VPN則利用了防火墻安全機制的優(yōu)勢，可以對內部網絡訪問進行限制。此外，它們還執(zhí)行地址的翻譯，滿足嚴格的認證功能要求，提供實時報警，具備廣泛的登錄能力。大多數(shù)商業(yè)防火墻還能通過剔除危險或不必要的服務加固主機操作系統(tǒng)內核。由于很少有VPN廠商提供操作系統(tǒng)級的安全指導，因此，提供操作系統(tǒng)保護是這種VPN的一大優(yōu)勢。什么時候企業(yè)選擇基于防火墻的VPN呢？一般是在遠程用戶或網絡充滿潛在敵意的時候。這時，網管員可建立起所謂的非軍事區(qū)（DMZ），部分，系統(tǒng)一般使用在防火墻上的一個第三方界面，并有自己的訪問控制規(guī)則。攻擊者也許能到達DMZ，但不能破壞內部部分。基于防火墻的VPN對于僅僅實施內聯(lián)網應用的企業(yè)還是蠻好的，它是軟件產品中最容易保證安全和管理的產品。對于這三種VPN產品，網管員還要在四個領域進行考核：協(xié)議處理、IP安全支持、認證服務器支持和加密密鑰的引出。例如：雖然大多數(shù)公司網絡為多協(xié)議型，但VPN產品只解決IP協(xié)議的傳輸，如果其他協(xié)議如IPX或SNA需要傳送，用戶需要尋找能為這些協(xié)議加密，或者能將它們打包成IP，讓基于IP的VPN系統(tǒng)處理的方案。顯然，后一種選擇可能會降低系統(tǒng)性能。Ipsec是IETF(InternetEngineeringTaskForce)組織為TCP/IP協(xié)議集增加的標準認證與加密功能。隨著Ipsec越來越穩(wěn)定和實施越來越廣泛，VPN的終端用戶可以不必使用同一廠商的產品以保證可靠工作，但是到目前為止，實施成功的VPN通常意味著要從同一家廠商購買所有的設備。盡管大部分VPN可保留自己的認證數(shù)據庫，但網管員也希望借助于現(xiàn)有的認證服務器。比如，許多遠程訪問服務器使用下述兩種協(xié)議之一的外部系統(tǒng)來認證用戶：遠程認證撥入用戶服務器（Radius）或終端訪問控制器訪問系統(tǒng)(Tacscs)。獨立認證服務器的優(yōu)勢在于可收縮性，即無論增加多少臺訪問設備，一臺認證服務器就足矣。如果一個企業(yè)的VPN延伸到海外，網管員還必須解決出口問題。目前美國法律禁止128位加密算法出口，盡管未來立法可能會或多或少地放寬限制，但一般跨國經營的美國公民可能需要部署兩個VPN系統(tǒng)：一個加密功能較弱，用于國際用戶的，一個加密功能較強，用于國內用戶。進行測試企業(yè)不能武斷地選擇某種VPN方案，一般要通過廣泛測試，運行兩到三種VPN產品，再作出決定。企業(yè)首先要確定一個遠程用戶間的測試伙伴小組，由他們測試系統(tǒng)的情況。注意，測試小組中一定要包括各種技術工種的員工，這一點對于保證VPN測試的公正以及評估系統(tǒng)管理人員排除故障的能力至關重要。成功的VPN測試包括6個方面：首先，測試VPN是否可按照機構的遠程訪問決策進行配置；其次，測試VPN是否支持所有正在使用的認證與授權機構；第三，驗證VPN可有效地產生和分配的密鑰；第四，測試VPN是否允許遠程用戶加入到公司網絡中，就像他們在物理上是連接起來的一樣；第五，驗證系統(tǒng)為排除故障和提供明顯線索的能力；最后，驗證是否技術與非技術人員同樣能輕松運用VPN。確定系統(tǒng)大小為企業(yè)系統(tǒng)選擇合適的硬件時,網絡決策者要估計系統(tǒng)用戶的總數(shù),同時舉行網絡會議的典型數(shù)量,以及數(shù)據的時間敏感性（它決定所需的密鑰長度）。例如對于基于軟件的VPN，假設采用三倍的DES（數(shù)據加密標準）加密，使用128位密鑰、數(shù)據壓縮和信息認證，這樣，200MHzPentium處理器就能處理T1網絡連接。鑒于內存越大，可允許同時連接的信息流越多，因此，系統(tǒng)在服務器上可以指定盡可能多的RAM。正如以上所述，速度高于T1的網絡連接則可能需要基于硬件的VPN。如果廠商提供產品性能基準，網絡管理員注意務必了解如何進行測試的詳細說明。為了能對不同廠商的產品進行公平比較，網管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認證算法的現(xiàn)狀。另外，網管員在設計生產系統(tǒng)時，還要考慮備份和冗余問題，大型機構或信息流量大的機構也許還想考慮多服務器上的負載均衡問題。為VPN服務器選擇位置遠程用戶的從屬關系有助于確定VPN設備放置的位置。對于期望通過遠程訪問復制辦事處工作環(huán)境的員工來說，VPN服務器最好直接放在專用網絡中，但這一方法也最易成為攻擊者的攻擊目標。對于員工企業(yè)，如果絕大多數(shù)遠程用戶屬于外部機構，將VPN設備放在DMZ網絡上意義更大，因為它要比內部網絡更為安全，屏蔽DMZ的防火墻有助于保護其間的設備。這種方法也比將VPN設備完全放在安全設施周邊之外更安全。如果一臺認證服務器屬于DMZ子網，它會得到細心的管理和保護，免于內部和外部的威脅。企業(yè)在設計安全內聯(lián)網和外聯(lián)網時，安置VPN和認證服務器是關鍵的一步。其中，建立與下屬辦事處的鏈路最簡單：一對VPN服務器只需在兩個站點間建立加密通道。因為出差旅行的員工或遠程工作站需要進行認證，因此，它們建立與VPN服務器的鏈路，將認證請求傳送到DMZ上的認證服務器。外界顧問不需要認證，他們只需同另一臺VPN服務器連接起來，這一臺服務器應位于第二個DMZ上，以保護公司的認證服務器。另外值得注意的是，企業(yè)為業(yè)務伙伴進行的連接配置最需要技巧，連接請求首先到達第二個DMZ上的VPN服務器，之后請求被傳送到第一個DMZ上的認證服務器，最后，批準的請求被傳送到請求訪問的資源中。重新配置其他網絡設備安裝VPN，特別是涉及IP地址管理和防火墻時，公司可能要對網絡上的其他設備重新進行配置。VPN通常使用網絡地址翻譯器（NAT），如IETFRFC1918中所述，NAT將專用地址（通常從一組保留的地址中選出）映射到一個或幾個在Internet上可見的地址上。網管員至少要使VPN設備的配置清楚哪些地址要保留下來供內部使用。此外，許多基于VPN的防火墻還支持動態(tài)主機配置協(xié)議（DHCP）。網管員需將DHCP和VPN功能協(xié)調起來，否則，客戶機可能最終將信息只發(fā)送到Internet而不是專用網絡上。一些VPN設備使用虛擬網絡適配器將有效的IP地址分配到專用網絡上，如DEC公司的Altavista通道服務器，或使用由微軟公司開發(fā)的點到點通道協(xié)議（PPTP）都可以將這些地址分配到未使用的地址中，并對路由器及其他需要進行地址更新的網絡設備進行必要的修改。如果VPN服務器在防火墻以內，網絡管理員還要對防火墻進行重新配置。大多數(shù)VPN將所有信息流閉合起來，形成一股使用單一TCP端口號的信息流。這樣，防火墻需要一個類屬代理或用于傳遞封閉VPN信息流的規(guī)則，以及允許將信息流傳送到VPN設備上的規(guī)則。如果VPN設備位于DMZ部分的外聯(lián)網中，防火墻還需要一個允許加密信息流從Internet流動到DMZ上的規(guī)則，另外，還有讓應用程序流從DMZ流動到內部網絡上的規(guī)則。如果認證服務器位于內部網絡上，防火墻的配置一定要有允許DMZ和專用網絡間的認證請求。網絡管理員應該注意，網絡中中有一個千萬不能被篡改的地方是專用網絡的域名系統(tǒng)（DNS）服務器，它負責專用網絡設備的主機名稱到IP地址的解析。如果DNS可在Internet上看到，那么攻擊者可了解專用網絡的布局。安裝和配置VPN對于基于軟件的VPN和那些圍繞防火墻制作的產品，從安全系統(tǒng)入手是根本。在安裝前從服務器中取消所有不必要的服務、應用程序和用戶帳戶，以確保安裝的是最新的、安全的產品，這樣安裝VPN軟件才是安全的。對VPN進行配置時，網管員要為一系列因素設定參數(shù)，包括密鑰長度、主要與次要認證服務器及相關的共享秘密資源、連接和超時設置、證書核查VPN終點設備（而不是用戶）的身份，大部分VPN產品都提供此功能。對此，一些廠商的實現(xiàn)的方式是，讓所有信息進入總部設備下載相關信息。而對于遠程用戶，則需要建立口令，準備連接腳本，確立認證步驟。網管員還要讓認證和授權程序協(xié)調起來。兩者聽起來差不多，但有些微妙且重要的差別。認證是要證明遠程用戶是她或他聲稱的身份（在外聯(lián)網設置中，要證明的則相反，即服務器可信）。授權是要確定遠程用戶有權訪問何種網絡資源。如果認證服務器還控制授權分組，例如營銷或策劃小組的授權，則系統(tǒng)還要注意核查它是否能正確地同VPN設備聯(lián)絡組信息。監(jiān)控和管理VPN這一步是要建立監(jiān)控Internet連接的機制，它可以測定VPN對網絡的利用和吞吐量，而且也是培訓訪問臺員工操作VPN設備及認識認證服務器和防火墻互相間的影響的重要一步。另外，機構中的所有網管員都應該了解VPN的基本操作，認識到管理VPN的人不應該只是那些安裝和配置的人，最終用戶也需要接受Internet了解及VPN軟件工作原理的基本培訓。而且，讓最終一接受一些基本故障排除方法的培訓，可以使他們能自己解決一些小故障。進行備份隨著用戶對VPN的進一步熟悉，企業(yè)可能會涉及到一些由任務決定的應用程序，例如公司要為客戶建立一個電子商店。在這樣的情況下，備份連接是必須的，因此網管員在設計網絡階段就應為冗余鏈路和設備制定計劃。信息流量大的站點應選擇支持多設備負載均衡的VPN，原因在于提供負載均衡能力的VPN廠商非常少，目前NetScreen的防火墻產品支持負載均衡和流量控制的功能同時也支持冗余路徑。即使網絡應用并不重要，進行備份也不失為避免用戶投訴的好辦法。在這方面，保留幾臺調制解調器和電話線路用于緊急情況可能就足矣。然而，這種方法的費用較高，而且速度慢，對于LAN到LAN的連接，備份連接最好由ISDN或其他專用線路來滿足。要注意的是，一定要定期測試備份連接系統(tǒng)。復合型防火墻體系防火墻體系的采納是一個非常專業(yè)化的過程，不是一個簡單的是和非。當然可以根據具體的情況，作出一定的安全政策，并采用某種上述特定的防火墻。但絕大多數(shù)情況是，根據具體的安全需求，通過某種體系構架，來實現(xiàn)更高強度的安全體系。或者是采用包含上述功能的復合型防火墻。我們就具體的情況作一個簡單的說明：屏蔽主機網關由一個運行代理服務雙穴網關和一個具有包過濾功能的路由器組成，功能的分開提高了防護系統(tǒng)的效率。一個獨立的屏蔽子網位于Intranet與Internet之間，起保護作用。它由兩臺過濾路由器和一臺代理服務主機構成。路由器過濾掉禁止或不能識別的信息，將合法的信息送到代理服務主機上，并讓其檢查，并向內或向外轉發(fā)符合安全要求。4、NetScreen網絡安全解決方案4.1公司背景NetScreen科技公司成立于1997年10月，總部位于美國加州的硅谷。公司的奠基者有過在Cisco和Intel等科技領先公司多年的工作經驗。1998年11月，RobertThomas即Sun公司的執(zhí)行總裁加盟NetScreen公司，任公司總裁。公司致力于發(fā)展一種新型的與網絡安全有關的高科技產品，把多種功能集成到一起，創(chuàng)造新的業(yè)界性能紀錄。NetScreen創(chuàng)建新的體系結構并已取得了專利。該項技術能有效消除傳統(tǒng)防火墻實現(xiàn)數(shù)據加盟時的性能瓶頸，能實現(xiàn)最高級別的IP安全（Ipsec），先進的系統(tǒng)級的設計允許產品提供多種功能，并且這些功能都具有無與倫比的性能。NetScreen科技公司已經為業(yè)界在虛擬專用網領域設立了新的安全解決系統(tǒng)的標準。所有的功能全部放在有關專有的硬件平臺的盒子里，并且這些功能都有著無與倫比的性能。目前公司由SequoiaCapital投資贊助。Sequoia是一家領先的風險投資公司，成立于1974年，已成功地為超過350家公司提供了最初的風險投資基金，其中包括3Com公司、Cisco系統(tǒng)公司、Oracle公司、Symantec公司和Yahoo公司等等。其中大部分公司的股票都已成功上市。NetScreen科技公司目前有50多名員工公司在全美的主要城市都設有辦事處，而且積極拓展海外市場。用戶群包括HP、日立、日本電訊電話公司和美國在線等，覆蓋了歐美亞等十幾個國家和地區(qū)。NetScreen公司的產品NetScreen-100獲得了KeyLabs工作組的“測試首選獎”，在1998年4月舉行的數(shù)據通訊雜志的評測中，NetScreen-100的VPN吞吐量是獲得第二名的2.5倍。1998年11月，NetScreen公司再次榮獲“測試者選擇獎”，這是數(shù)據通訊雜志的年度獎。在同類產品中，NetScreen是唯一員工把防火墻、虛擬專用網（VPN）、負載均衡及流量控制結合起來，且提供100M的線速性能的產品。NetScreen保證這一點。在1998年的8月和9月，NetScreen-10和NetScreen-100通過了ICSA(國際計算機安全協(xié)會)的防火墻認證。1998年9月，NetScreen推出了VPN遠程存取客戶端軟件。1998年10月，NetScreen宣布推出NetScreen-1000的產品。這是第一個支持千兆位傳輸?shù)木哂蟹阑饓蚔PN功能的產品。1998年6月，NetScreen-100被HP公司選為它在防火墻方面的新的合作伙伴。HP的合作伙伴是在全球范圍年為HP提供集成解決系統(tǒng)，并在增強用戶的Internet上的應用。NetScreen是HP選中的二家防火墻廠家的一家，而且是唯一一家基于硬件的產品。1998年12月日立公司宣布它將在日本推廣NetScreen產品。日立公司準備在未來三年內賣出10000套NetScreen產品。4.2產品系列目前，NetScreen有NetScreen-10用于10MB傳輸?shù)木W絡。NetScreen-100用于100MB傳輸?shù)木W絡。NetScreen-100端口是自適應的端口，也可用于目前傳輸為10MB并計劃將來升級為100MB的網絡。NetScreen-1000不久將要面市，它將為那些大型企業(yè)和網絡主干的供應商提供千兆網安全的解決方案。NetScreen-5目前正在測試階段。它的大小類似一個CDROM。它是為小型辦公室或個人用戶而設計的。NetScreen遠程VPN客戶軟件可提供遠程VPN訪問的解決方案。4.3產品功能及特點NetScreen產品是基于安全包處理器的產品。全新的技術包括定制的專有的芯片免費加盟和策略實現(xiàn)。高性能的多總線體系結構、內嵌的高速RISCCPU和專用軟件。NetScreen防火墻的專用ASIC芯片提供存取策略的功能。該功能以硬件方式實現(xiàn)，它比軟件防火墻有著無可比擬的速度優(yōu)勢。CPU可專門負責管理數(shù)據流。（策略存取執(zhí)行防火墻保護和加密解密功能）。由于做到了系統(tǒng)級的安全處理功能。NetScreen消除了基于PC平臺的防火墻的需管理多個部件所引起的性能下降的瓶頸。NetScreen提供了多功能和高安全性能的無縫連接，NetScreen-1000,NetScreen-100和NetScreen-10分別提供了1000M、100M和10M的傳輸性能。NetScreen-1000是市場上唯一的千兆的集防火墻、VPN和流量管理于一身的防火墻產品。同樣，NetScreen-100是業(yè)界最快的防火墻，另外，NetScreen自動調整端口速率，使其達到10M和100M自適應。因為是基于硬件的設計，NetScreen是唯一一家安全解決系統(tǒng)的提供商，NetScreen產品的高性能允許用戶享受到高速的好處，可提供多條E1線路，甚至更高如E3的線路。另外，該產品允許用戶在遠程實現(xiàn)加密通信，并且這種VPN功能不影響性能。NetScreen提供給ISP們一個價廉物美的安全解決方案。NetScreen－10為中小企業(yè)提供他們負擔得起的全面的安全解決方案。允許他們在自己的企業(yè)網內部構筑安全體系。性能NetScreen產品動態(tài)加密保護和按優(yōu)先級實時監(jiān)控未來數(shù)據，它專有的獨特的系統(tǒng)設計保證了它的高性能，ASIC芯片可以獨自處理并過濾包。先進的多總線結構比基于PC的平臺上的防火墻產品快。同樣基于系統(tǒng)級的安全功能設計消除了傳輸?shù)钠款i。用戶認證和策略NetScreen支持高性能的存取為每一個當前用戶，無論是遠程還是在防火墻內，支持創(chuàng)紀錄的并行連接用戶數(shù)。NetScreen-1000創(chuàng)紀錄地實現(xiàn)了TCP/IP并發(fā)連接（超過256000）；策略數(shù)（多于5000）和并發(fā)的VPN連接數(shù)（超過10000）。NetScreen-100支持每秒4370個連接，（基于32個客戶），領先于它的最接近的競爭對手。根據獨立的測試機構，KeyLab的測試報告，NetScreen－100支持32000個并發(fā)用戶連接，NetScreen-10支持16000個并發(fā)連接。所有產品都支持超過5000個存取策略，并提供簡單易用的過濾界面。防火墻NetScreen全功能防火墻包括了包過濾、代理服務器和動態(tài)線路級過濾器。該產品提供了高級的包檢查和事件日志功能。該產品與Ipsec協(xié)議兼容。VPNNetScreen會集了VPN功能，保證了數(shù)據在傳輸過程中的加密和解密，但在數(shù)據被加、解密之前，首先要滿足預定的策略。不論NetScreen－100還是NetScreen－10都支持業(yè)界的加密標準。包括網絡密鑰交換（IKE,或以前的ISAKMP)通過IP，DES，TripleDES。并且還支持數(shù)據簽名（MD5）算法。NetScreen將支持X.509認證公鑰算法（PKI），可以自動地管理VPN。NetScreen-1000建立了新的VPN性能測試基準，與其它同類產品比較，NetScreen-1000有著更高的吞吐量，更廣泛的安全性和更低的價位。流量管理