针对网络入侵的综合安全解决方案

------------------------------------------------------------------------------------------------------------------------------------1针对网络入侵的综合安全解决方案网络安全防范的必要性:随着internet对人们日常生活影响的日益扩大，互联网的安全问题逐渐的浮出了水面。网络的使用者们如果不重视自身的安全防范，将很有可能受到入侵者（黑客）们的光顾，给自己带来一系列的严重后果，比如网站页面被黑客丑化，甚至加上黄色、反动的图片和文字等，严重影响客户的声誉，带来严重的社会影响；机密数据被黑客窃取，复制和散播，单位资料和个人隐私泄露，恶意的黑客完全可能把客户的技术成果（如网站的程序和数据库资料）卖给竞争对手；系统文件和重要资料可能被黑客修改，造成系统不能正常运行，或者更改关键数据，恶意破坏，导致不可预测的结果；黑客窃取用户网络系统控制权以后，可能利用用户的机器“借刀杀人”，疯狂做案，破坏诸如金融、国防等重要部门的系统，用户可能成为承受该案严重后果的替罪羊；如果用户的网站牵涉到资金周转，黑客们很可能会通过各种手段肥己而给用户带来可能是无法弥补的经济损失。以上提到的这些破坏行为还只是黑客行为的一小部分，而这些恶意行为都可能给用户造成极大的损失。因此，加强网络安全防范意识，提高网络安全水平，已经在相当程度上提到了一个信息安全战略的角度。为避免上述诸种由于网络入侵带来的严重后果，针对用户内部网络情况和具体需求，未来科技从用户的实际情况出发，率先提出了综合的网络安全解决方案，以此为依据设计了两套安全产品（一套是网络安全在线检测系统即系统安全扫描器，一套是具有国际领先水平的实时网络入侵预警检测系统），并提供相关的配套服务。这里我们将首先对网络入侵行为做出分析，并将这两套产品和传统的安全产品做个比较。一、网络入侵行为分析网络入侵威胁归类来源主要分三大类，包括：1.物理访问-指非法用户能接触机器，坐在了计算机面前，可以直接控制终端乃至整个系统。2.局域网内用户威胁-一般指局域网内用户，具有了一般权限后对主机进行非法访问。3.远程入侵-外部人员在通过Internet或者拨号的方式远程非法访问主机获取非法访问。攻击途径/分类：1.拒绝访问-这已经成为一个很常见的网络恶作剧,进攻者用大量的请求信息冲击网站,从而有效地阻塞系统,使运行速度变慢,甚至网站崩溃.这种计算计机过载的方法还常常被用来掩盖队网站的入侵.2.扫描器-广泛地扫描因特网,来确定计算机,服务器和连接的类型.恶意的人常常利用这种方法来找到计算机和软件的薄弱环节,并加以利用.------------------------------------------------------------------------------------------------------------------------------------23.嗅觉器-这种软件暗中搜寻正在网上传输个人信息包,可以用来获取密码甚至整个信息包的内容.4.网上欺骗-伪造电子邮件,用它们哄骗用户输入关键信息,如个人密码或信用卡.5.特洛伊木马-这种程序包含有探测一些软件弱点所在的指令,安装在计算机上,用户一般很难察觉.6.后门-黑客为了防止原来进入的通道被察觉到,开发一些隐蔽的进入通道,使重新进入很容易,这些通道是难以被发现的.7.恶意小程序-这是一种微型程序,有时用Java语言写成,它能够滥用计算机资源,修改硬盘上的文件,发出伪造的电子邮件以及偷窃密码.8.进攻拨号程序-这种程序能够自动的拨出成千上万个电话号码,用以搜寻一个通过调制解调器连接的进入通道.9.逻辑炸弹-是嵌入计算机软件中的一种指令,它能够出发对计算机的恶意操作.10.密码破解-指入侵者企图破解系统的管理密码或者其他口令.11.社交工程-这种策略是通过和没有疑心的公司雇员交谈,从中得到有价值的信息,比如密码,从而获得对公司计算机系统的控制.12.垃圾搜寻-通过对一家公司垃圾的搜寻和分析,获得有助于闯入这家公司计算机系统的有用信息.这些信息常常被用来证实在”社交工程”中刺探到的信息.13.系统漏洞-这是很实用的攻击方式。入侵者利用操作系统的漏洞，可以很轻易的进入系统主机并对获取整个系统的控制权。14.使用程序漏洞-和上述系统漏洞的方式相似，也可能获取整个系统的控制权。15.配置漏洞-通常这是指系统管理员本身的错误。16.协议/设计漏洞-指通信协议或网络设计本身的存在漏洞，如internet上广泛使用的基本通信协议-----TCP/IP，本身设计时就有一些缺陷。17.身份欺骗-包括用户身份欺骗和IP地址欺骗，以及硬件地址欺骗和软件地址欺骗。这是利用某种电子方式的信任关系对系统进行的攻击，通过适当的安全策略和配置可以防止这种攻击。18.炸弹-这是利用系统或程序的小毛病,对目标发送大量洪水般的报文，或者非法的会引起系统出错的数据包等，导致系统或服务停止响应、死机甚至------------------------------------------------------------------------------------------------------------------------------------3重启系统的攻击。这种方式是最简单，但是却是最有效的一种攻击方式。最近黑客们攻击美国的各大网站就是用的这种方法二、综合网络安全解决方案的必要性网络遭受入侵的原因有技术上的原因,也有管理上的原因,有主观人为的因素,也有客观上较难避免的问题：技术层面的原因主要来自于操作系统和软件产品的先天毛病,Unix操作系统就是一个很好的例子。Unix的历史可以追溯到60年代中。大多数Unix操作系统的源代码都是公开的,30多年来,各种各样的人不断地为Unix开发操作系统和使用程序,这种协作方式是松散的,早期这些程序多是以学生完成课题的方式或由研究室的软件开发者突击完成的,它们构成了Unix的框架,这个框架当初没有经过细心的设计和严密的测试,今天的商业Unix操作系统如Solaris和SCOUnix都是构建在这个基础之上的，除非重新改变设计思想，推翻三十年来的Unix系统基础，否则以后还必须遵循这个标准。这种情况导致了Unix系统存在很多致命的漏洞，直至今天，软件设计者还没有吸取教训，每天都有最新的漏洞被发现和披露，每个最新的版本虽然改进了以往发现的安全问题，但是随着新功能的增加，又给系统带来了新的漏洞，很多软件开发人员只为完成系统的功能而工作，用户日新月异的需求和硬件的飞速发展，使生产商不可能也没有时间对每一个新产品做圆满的安全测试，即使一些正式的软件工业标准有利于改善这种局面，但生产商按照这些工业标准开发测试，也难以保证十全十美，因为源代码公开的特性，使黑客有足够的条件来分析软件中可能存在的漏洞。Unix的不安全性的另一个主要原因是比较难以熟练掌握，一般人很难将其配置得比较安全，而很多默认的配置恰恰是危险所在。值得一提的是，很多防火墙产品也有这样的特点。一些防火墙产品本身就有严重的漏洞，而且防火墙也不是容易操作的产品,防火墙配置不当，既有可能造成正常功能受到影响，也有可能导致安全漏洞。微软的NT系统相对而言比较难以侵入，主要原因有两方面，第一是源代码的不公开性，这样黑客比较难以发现产品的致命漏洞；第二是易于配置。一个普通的管理员不需要经过太多的培训就可以把系统调试得头头是道。然而,NT的使用方便的特性，同时也是问题所在。因为容易使用也意味着容易闯入。许多的小的安全问题集中在一起就形成了严重漏洞。网络上有关NT的漏洞说明随处可见，各种对NT的攻击工具以令人吃惊的速度增长。NT的漏洞总数比一般的Unix系统都要多。当然补起来也比Unix容易。三、防火墙的局限性网络服务器上各种各样的使用程序的弱点和操作系统的很类似，一个被开放的服务，如果存在漏洞，防火墙是无能为力的。防火墙技术是内部网最重要的安全技术之一，是一个很好的安全策略，其主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。但防火墙也有其明显的局限性，有一种普遍存在的观念认为，防火墙可以识别攻击并且冻结这些攻击，这是其实是不对的。这里我们做一些介绍。1.防火墙难以防止使用程序的漏洞：------------------------------------------------------------------------------------------------------------------------------------4如果被防火墙视为正常服务的程序存在漏洞（如web服务），那么黑客利用这种漏洞成功就等于已经绕过了防火墙。在这种情况下，他可以用最高的权限做任何事情，窃取数据，破解密码，启动任何一个程序，甚至是任意转帐，最后将系统日志删去而轻松离去。在入侵者特别小心的情况下，如果不采取特殊措施，这种破坏无任何蛛丝马迹可循。比如，在1999年4月，出现了一个有关ColdFusion的致命漏洞，这个有毛病的服务运行在80端口上（防火墙不可能禁止80端口的访问，否则用户的浏览器就访问不了这个地址），许多有防火墙设施的网站被黑客利用这个漏洞遭到入侵。又如在今年8月的台湾海峡两岸信息战中，被大陆黑客攻陷的网站有一些都设置了防火墙，如台湾国民大会，黑客通过正常的服务如ftp/pcANYWHERE入侵到其主机内部，将机器内重要资料全部删除，并彻底锁定其系统导致软硬件全面瘫痪。对于这类攻击，防火墙显得苍白无力，但一些入侵检测系统就能防止这种情况的发生。台湾方面后来不得已采取下策，将防火墙规则设置为凡是来自大陆的IP地址，均将其屏蔽，造成大量正常访问者不能访问。其安全策略可谓拙劣！2.防火墙难于防内：防火墙的安全控制只能作用于外对内或内对外，即：对外可屏蔽内部网的拓扑结构，封锁外部网上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问题。即防外不防内。而据权威部门统计结果表明，网络上的安全攻击事件有70%以上来自内部攻击，而对于金融证券业来说，这种内部的入侵行为更达到了80%以上。3.防火墙难于管理和配置，易造成安全漏洞防火墙的管理及配置相当复杂，要想成功地维护防火墙，要求防火墙管理员对网络安全攻击的手段及其和系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，管理上有所疏忽是在所难免的。而过于严密的过滤规则必将影响到系统的正常服务。随着利用系统致命漏洞获取最高权限的入侵方法的流行，根据美国财经杂志统计资料表明，以前只有30%的入侵发生在有防火墙的情况下，而现在上升到超过了45%。4.防火墙安全控制的弱点防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内外提供一致的安全策略，许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。5.防火墙不是一种动态的防御系统：比如低级的入侵技术如BackOrifice后门，很多最新的防火墙版本能阻止这些行为，但只能做到80%。因为防火墙是靠识别入侵者发送的包中的头8------------------------------------------------------------------------------------------------------------------------------------5个字节来断定它是BackOrifice的入侵的。有经验的黑客完全可以利用更改包头的办法来进行欺骗，绕过防火墙的访问控制。而相比之下，