荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: georgehill (人生不定式), 信区: Linux
标 题: Intranet安全模型的分析、设计与实施(3)(转寄)
发信站: BBS 荔园晨风站 (Sat Sep 9 15:54:43 2000), 站内信件
【 以下文字转载自 georgehill 的信箱 】
【 原文由 georgehill.bbs@smth.org 所发表 】
发信人: hooji (iamfury), 信区: Security
标 题: Intranet安全模型的分析、设计与实施(3)(转寄)
发信站: BBS 水木清华站 (Sat Sep 9 10:19:36 2000)
三、 Intranet安全模型的讨论
1. 防火墙模型。
防火墙实现基本的访问控制。主要有以下类型
(1) 包过滤防火墙。采用分组过滤路由器。IP和TCP包进行过滤,不对UDP、RPC和应用
层的协议无法过滤,无审核和报告机制。
(2) 应用级网关。在网络应用层上对特定服务协议包过滤和转发。有审核和报告机制
(3) 代理服务器。代理内网用户到外网的连接。实现内外网的隔离。有审核和报告机
制。
(4) 高性能的防火墙。综合了包过滤技术、网络地址转换NAT技术、代理技术,具有自
身保护功能等。
防火墙安全模型主要有:
(1) 单一包过滤路由器。
(2) 双宿主网关。代理服务器安装在包过滤路由器和内部网之间,实现内外网的隔离
。代理服务器和包过滤路由器之间形成extranet。
(3) 屏蔽主机网关。堡垒主机放在内部网。外部网只允许访问到堡垒主机。外部网到
内部网的操作必须经过堡垒主机。路由器保护堡垒主机。
(4) 屏蔽子网网关。在屏蔽主机网关的基础上添加一个包过滤路由器。从而在外网与
内网之间形成中立区(DMZ)。提供多一层的保护。
2. 网络反病毒模型
防火墙不能防病毒和木马程序,需要反病毒体系。针对分布式环境,采用多层防病毒体
系,从网关、服务器和桌面三个层次设置了防病毒关卡。
在接入处安装基于Internet网关的防病毒软件。具体可安装到Mail Server、Web Serve
r、DNS Server等代理服务器上,可防止来自Internet的病毒和恶意Java程序的破坏。
内部网主要服务器上安装基于主机的防病毒软件。防止内部用户通过服务器扩散病毒。
在终端上安装基于PC的防病毒软件。
流行的网络反病毒模型具体应分为主机代理,监控中心和管理服务器。主机代理实时检
测病毒,报警和响应。监控中心负责管理整个网络环境,制定和发放策略。管理服务器
主要进行病毒库的更新和软件包的发放和安装的自动化支持。
3. 安全评估模型
采用扫描器模拟已知的黑客行为扫描系统和网络的安全漏洞。对系统的安全性作出一正
确的评估并提出补救的建议。它可以扫描包括防火墙,主机以及数据库等部件。
其模型分为系统级扫描器、网络级扫描器和数据库扫描器。
网络级扫描器进行网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、We
b服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。
系统扫描器是在系统层上通过主机上的扫描器代理侦测主机内部的漏洞。这些扫描器代
理由系统扫描器控制台管理。
数据库扫描器对多个数据库管理系统进行风险评估和检测。
网络级扫描器的位置可分为从外网的扫描和从内部网络的扫描。
4. 入侵检测模型
放火墙不能完全阻止外部黑客入侵更不能防止内部黑客的行为。实时监控网络的数据流
、主机的日志等。及时发现可疑的事件、报警并且响应,在主机和网络遭受破坏之前阻
止非法的入侵行为。
入侵检测模型是分布式的。由主机探测代理、网络探测引擎和控制中心组成。主机探测
代理安装在各个被保护主机上,监控对主机的异常操作。网络探测引擎作为独立的主机
安装在一个或多个被保护网段上,监控流经网络的异常包。控制中心制定和发放策略,
接受处理网络探测引擎和主机探测代理的报警。
5. 陷阱和主动防御模型
在被保护的网段上,特别是在中立区(DMZ)内放置多点诱骗服务器。对非法的操作访问
进行响应,从而隐藏网络结构,分散对真实目标的注意力,增加入侵攻击代价,便于识
别和跟踪入侵者。
诱骗服务器伪造有安全漏洞。当访问请求是针对可允许的IP和服务以外的话,诱骗服务
器进行响应并能取得更详尽的证据。
--
--
※ 来源:·BBS 水木清华站 smth.org·[FROM: 202.112.73.60]
--
※ 转载:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.1.95]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店