INTRANET的安全实施策略.pdfVIP

王坚强 中j轲大学工商售目晔烷，长陟，41∞昭．}—M蛆。：妯衄g盘盘i曲l∞ 摇：奉文结合企业矾曰¨堋玎构建的实际．对操柞系统为wD踟ws n叮擅^肿的安垒技术进静子弹缩辩于，并培出其具体的麴目叻怯。 ．w啦Ji锄确咀g cc№辨醴Bu蛐柚dM蛐叼em喊cc曲m蛐I艋vc瞳吼Q哪g出科10083卫R．c 柚神r畦B酬帕呻峨跏d两印柚d缸曲如删越∞0f矾Ⅱ“唧血勘搬呻鸭陆料胛鬻由a血哪咖却af∞耻姆 №口m删-∞砷蚰cmdhods协maⅡ∞ 在N琢^Ⅻ玎的实施中，安全性是—个非常重要的方面。由于大量的敏感信息在网络E传递，如何有效 地防止企业的机密数据不被非法用户窃取及非法用户售谚删除数据等，增强唧^NET系统的安全，是企 业n勰^加玎实施中必须重视的问题。下面主要从网络安全、操作系统、数据库安全控制等方面进行较为详 细的}于论，其它方面我们将另文}干论。 享。要企业网§冬上的资源得到雨掰蜾护，必须根据企业的具体情况构建有效的网络安全策略。网络安全策略主 要包括：罔络的哪些赍潦需要保护，需要防lE哪些凡对资源的窃取和破坏，采用的安全措施是否经济合算等。 其后根据网络安全，-略，制定具体的安全措赫圆学瑚涝寨，以保证磕翊渤据的安全。网络安全技术大致可分为： 认汪、授权、审计、加密、过滤等。 (1)防火墙技术 之问提供的路由功能，防火墙检查所有这两个网络间的通讯，并根据这些通讯是否匹配已编好的规则央定通过 j 或断开通讯。防火墙主要采甩下列方法来保证其安全： ·包过滤：拒绝接受未授权的主机发送的TaV皿包和拒绝接受使用未授躲服务的连接璃臻。主要是放 弃人站的连接请求但允许出站的连接请求通过；去除绑定柱部些不允许连接到NT职砸r的端口上 的贰蛋口P包，但允许那些应连接到矾’r圜NEr的端口上的包通过；限制藁些m地址的主机的人站 访问。 · 网络地址鄹摹(N蛆’)：翻译内部主机的m地址酒黝部主机无祛^#￡测到它们。通剜焖4哺内部主 机地址转化为防二k墙地址．N灯隐藏了姗^NEr的疋地址，防出墙通过使用自己的P地址重传 敷据，并使用研端口来跟踪N妊驭NEr上哪个毽潲尚N琢^艇r的哪个主j阮《耐应。 ·代理服务：代表内部主机进行高层应用连接，完全中断内部主机与外部主机的网络屡连接。内部网 P地址，企业内部网上 络通刘I-干睫眠务嚣访问DrI知RN日r，f嗯眠务器有—个舍法的D勰NEr 的计舅糊过内部m地材妨伺矾’I】强岍，这样屏蔽了内部网的主机，避免来自D嬲瓶r的攻 击。 多獭妨吠墙也提供了下列两项安垒：暇务： 份。 ·加密遥道：通【过矾T日iNET为两个l两域网之间建立的—卟葛曾涟接，它将使两个物理E分离的局域 网酒【过D兀曰廿砸T连接起来进行通讯删崩沭称为虚拟专用技术(VPN)。 在构建吣A眦r的防火墙时．必须对企业的数据安垒道舸详细分析，定义其安全需求，根据安全需求 选择防火墙并使用防火墙来控制瑚1RANET的有效安垒边界。在选用和梅建防火墙时采甩下列策略： ·防火墙产品必须具有包过滤功能、网络地址甜泽和高级服务代理功能，量好具有加密身份认证及加 密通道；日能，在构建日寸根据福求使用嗽功能，因为唪—功韶不能保证Ⅱ_琢A顺的安全； · 在防火墙E除使用防火墙的功能外，尽量避免使甩舵眠务(如衄件服务)，使其运行的眠务最少； ·在必要时，使甩双重防火墙或虚拟双鸯防火墙控柱曝正企业w琢^砸r的安全； ·在企业多个防火墙之阃使甩单一的、集中化的防火墙策略； ·遗牛日防火墙产品刚建议选用国产防火增l产品。 (2)虚拟专用网(Ⅵ】N) ⅥN在外部公共同络七建立—个虚拟的内部网络，使得通过ⅥN技术接人的用户可以以局域潮的方式使 用这-虚拟网，而外部公共网不能访问它，其实质是将局域网通用封装有—个P包的办法使用矾Ⅱ狠陋r从 —千专用碍络路虐同翻灏搠嘲锯嘣翻猜网络。同时ⅥN采用加密协议。懂碉整个虚拟网从逻辑E可以和公共 同龋开，油嗣