网际网络安全技术分析和对策

发布时间：2006-02-02 18:58:39　来源：IT.com.cn 网友评论 0 条

内部网

　　目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

　　A.局域网安全

　　事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

　　当前，局域网安全的解决办法有以下几种：

　　1．网络分段

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

　　目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

　　2．以交换式集线器代替共享式集线器

　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

　　2．VPN技术

　　VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此，VPN技术一经推出，便红遍全球。

　　但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。

　　3．身份认证技术

　　对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的TACACS＋以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V2．3软件进行RADIUS身份认证。

　　外部网

　　C.外部网安全

　　海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP／IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。

　　对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

　　外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术（即防火墙、入侵检测、网络防病毒）相结合的方法。笔者在厦门海关外部网设计中，就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。