局域网安全(下)

原创 2001年03月30日 12:37:00
广域网安全

  由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。

  因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:

  ①除了发送方和接收方外,其他人是无法知悉的(隐私性);

  ②传输过程中不被篡改(真实性);

  ③发送方能确知接收方不是假冒的(非伪装性);

  ④发送方不能否认自己的发送行为(不可抵赖性)。

  为了达到以上安全目的,广域网通常采用以下安全解决办法:

  1.加密技术

  加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。

其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。因此,最好不用Enable Password。

  2.VPN技术

  VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技术一经推出,便红遍全球。

  但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。

3.身份认证技术

  对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。

  外部网安全

  海关的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。

  对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

  外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。笔者在厦门海关外部网设计中,就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件,将防火墙技术、入侵检测技术与网络防病毒技术融为一体,紧密结合,相得益彰,性价比比较高。

技术点详解——局域网安全

技术点详解——局域网安全 什么是网络安全 提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网...
  • qq_35904259
  • qq_35904259
  • 2017年03月10日 13:12
  • 252

大型企业局域网安全解决方案

第一章 总则 本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他...
  • jj97007
  • jj97007
  • 2004年10月14日 11:52
  • 2199

局域网安全

什么是网络安全 提到网络安全,大家觉得就和搞情报工作的特务似的黑客,和自己遥不可及。应该说网络安全属于情报工作的一部分,但情报工作涉及到社会的方方面面,网络安全也时时刻刻在我们身边,我们离不开网络,...
  • dolphin98629
  • dolphin98629
  • 2015年08月27日 09:27
  • 363

解决局域网调用服务器文件执行时出现的安全警告窗口

批处理解决方案 @ECHO OFF REG Add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations /v ...
  • zm2714
  • zm2714
  • 2012年09月10日 10:56
  • 1997

大型企业局域网安全解决方案

前言: 这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考...
  • itkbase
  • itkbase
  • 2008年03月11日 15:15
  • 190

局域网共享与安全

 一. 局域网内的邻居网络的基本作用是实现资源共享,而作为最小网络分布结构的局域网(Local Area Network,LAN)更是把这个概念淋漓尽致的发展起来,那么,局域网内的共享是怎么实现的呢?...
  • sanshao27
  • sanshao27
  • 2007年01月16日 20:28
  • 535

谈局域网安全

谈局域网安全在谈局域网安全前,得讲一下个人电脑的安全。有人认为公司里配有硬件防火墙后个人电脑就不用在装防火墙,也不用装杀毒软件;这是一种误区,其实,有调查说大多数攻击不是来于外网,而是来源于局域网内部...
  • perisky
  • perisky
  • 2008年06月30日 13:05
  • 320

大型企业局域网安全解决方案

前言: 这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考的,...
  • ecitnet
  • ecitnet
  • 2007年09月21日 13:17
  • 470

企业局域网安全解决方案

前言: 这是我为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的,但是由于种种原因未能被采纳,所以也没什么大碍,现在拿出来给大家当作是一份参考资料,写的不好多多指教。文章是让大家参考的,...
  • yeqihong
  • yeqihong
  • 2007年07月25日 15:29
  • 828

局域网安全(上)

目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进...
  • e_lion
  • e_lion
  • 2001年03月30日 12:36
  • 685
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:局域网安全(下)
举报原因:
原因补充:

(最多只允许输入30个字)