构架内部网络及Internet安全连接的.doc

构架企事业单位内部网络与Internet安全连接的 方案及方法 摘要Internet共享连接的安全因素，对入侵攻击和病毒破坏的途径和方法进行了分析。指出：互联的计算机网络系统共享、互通、开放、易于扩散的特性，既有来自外部的安全威胁，又有内部用户的引入侵害。结合网络互联技术和安全防护技术方法，提出构Internet安全连接的实行方案。 Internet 安全连接 防火墙 网关 虚拟私有网 引 言 目前，一些企事业单位均建立了内部计算机局域网，随着业务交流的扩大，资料传递、资料信息共享和办公自动化等实际需求的出现，地面宽带通信传输的高速、稳定可靠和易维护，从而选择通过宽带、DDN、ADSL等实现局域网与Interne的共享互联成为企事业单位的首选方案。与Internet的互联，计算机信息系统具有了共享、互通、开放、易于扩散等特性，网络系统的安全问题凸现，合理安全的互联构架方案是系统稳定可靠运行的保障，它应具备防护措施完善、可靠、灵活、经济又能保证各项业务工作需求等特点。 1 网络安全的主要威胁和基本对策 1.1主要安全威胁 计算机信息网络系统主要的安全威胁是入侵攻击和病毒破坏。 入侵攻击主要来自黑客或一些不良者,其目的是为了窃取信息或情报、传播不良信息、获取网络系统的控制权，滥用资源和特权，制造恶作剧。信息网络系统一旦遭到入侵，网络系统失控，会造成机密信息被窃、传输阻断、资料丢失，直至主机和网络系统被破坏。 计算机病毒主要源自游戏和恶作剧，蓄意破坏及软件自我保护。其危害轻者造成计算机运算速度降低、功能失常；重者造成数据资料破坏、丢失，甚至系统崩溃。 Internet技术的发展，入侵攻击与病毒已无明显界限区别，计算机病毒的定义和广度正在逐步发生变化，新近出现的“特洛依木马”和“蠕虫”已具有了入侵攻击和病毒破坏的双重危害，是计算机病毒或入侵破坏的进一步深化。“特洛依杩”（Trojan horse）的潜伏执行非授权功能技术，可以很巧妙完成黑客任务，“蠕虫”（worm）分布式扩散传播特定信息功能，经常造成网络系统瘫痪。 1.2入侵攻击和病毒破坏的途径和方法 入侵攻击一般有以下步骤和方法：①选中攻击目标，首先要取得其IP地址，然后收集目标系统有关信息（如运行的操作系统、开放的服务等）。主要用ping、 tracert/traceronte等常用信息获取命令和端口扫描技术（如TCP connectc（）、TCP SYN扫描）。②通过系统常用服务或网络监听来搜集帐号，采用字典穷举法获取口令；用工具软件获得帐号和口令。此法失败，则通过分析目标系统的服务程序或操作系统本身的安全漏洞，寻找攻击点。③通过窃取的帐户或掌握的安全漏洞，获得对系统的控制权，实现入侵攻击。入侵攻击过程如图-1所示。 另一种入侵攻击方式就是通过获取的邮箱地址，发送带有后门程序的邮件，并诱使你运行它，不知不觉地使你的主机成为攻击的Server端，攻击者自己运行Client端程序，就能实现入侵控制，如Back Orifice黑客程序，就是通过这一方法入侵上网计算机的。 图—1网络黑客入侵攻击过程示意图 根据计算机病毒传播机理可知，只要能够进行数据交换的介质都可能成为计算机病毒的传播途径，来自Internet病毒入侵破坏的最主要途径是电子邮件和不良网站连接传播；还有内部网络用户数据交换时带毒文件的传播。 这里的安全问题其实还涉及到对内部网络用户有效合理的使用控制，内部用户无节制使用造成泄密、引入侵害、病毒，往往成为网络安全的一大隐患。 1.3安全防护的主要对策 从网络入侵攻击的步骤可知，入侵攻击的第一步就是确定被攻击主机的IP地址，否则入侵就无从谈起。因此，隐蔽并保护主机和网络系统的IP地址，是构筑安全防护的首要措施，主要可采用防火墙技术和设置网关的方法，包括正确的系统设置（访问限制、规则控制等）。但作为一个严密的安全系统，不能仅依靠隐藏IP地址来保护，要有公开IP地址下的安全防护机制，也即还要有服务端口封锁、漏洞扫描及补漏、入侵检测、VPN等安全技术保护措施。 对病毒破坏主要采用防毒软件监控、查杀和制定相应的内部网络用户使用守则来阻止。 预防引入侵害、泄密和病毒，必须建立对内部用户的权力限制和使用控制的机制。 2 构筑安全的与Internet互联的方案和方法 2.1共享连接Internet方案的选择 2.1.1共享连接方式的选择 一个安全的与Internet互联网络系统应具备以下三个方面： (1)将内部网与外部公网隔开的边界控制机制。从IP层面上对网络进行防护，通过程序权限控制、IP规则定义、端口封锁有效阻截入侵攻击。 (2)具有访问控制（Access Control），AnthenticationAnthori2ati