⑥允许从DNS解析程序主机到内部DNS服务器的基于TCP的查询,包括对这些查询的响应。
⑦允许DNS广告商主机和内部DNS服务器主机之间的区域传输。
⑧允许从内部SMTP邮件服务器到出站SMTP主机的传出邮件。
⑨ 允许从入站SMTP主机到内部SMTP邮件服务器的传入邮件。
⑩ 允许来自VPN服务器上后端的通信到达内部主机并且允许响应返回到VPN服务器。
?允许验证通信到达内部网络上的RADUIS服务器并且允许响应返回到VPN服务器。
?来自内部客户端的所有出站Web访问均要通过代理服务器,并且响应将返回客户端等。
5.防火墙的局限性
尽管利用防火墙可以保护安全网免受外部黑客的攻击,但其目的只是提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。
6.防火墙使用举例
为了进一步了解防火墙的作用,下面以一个软件防火墙——金山毒霸网镖为例,讲解如何设置安全参数。
(1)应用目的
这个设置主要是禁止一些软件访问互联网。
①打开金山网镖,单击“应用规则”。
②以“互联网”为例,单击“允许”,在弹出的列表中选择“允许/禁止/询问”。
提示:对防火墙、杀毒、语音、聊天等软件应该选择允许;对一些本机使用的软件应该选择禁止。
(2)准则
①打开金山网镖,打开“工具”菜单,单击“综合设置”。
②选择“木马防火墙”,选择“开启”。
③再选择“区域级别设置”,单击“互联网”、“自定义级别”,出现自定义规则窗口。
④双击规则名称,例如“允许别人使用Ping命令…”,弹出规则修改的窗口。
⑤可以用相同方法设置其他规则,设置完毕后单击“确认”然后保存。
提示:尽量不要别人访问自己的计算机;保持自己对外界的联系,例如,“允许自己访问外部HTTP…”,这个项目如果被拦截,那就无法访问Web网站了。
(3)端口的保护
当发现防火墙不断出现报警,某个端口有试图的攻击行为,可以尝试把这个端口关闭。
方法如下:
①打开金山网镖,打开“工具”菜单,单击“综合设置”。
②单击“高级”,选择“启用TCP/UDP端口过滤”。
③单击“添加”,即可设置端口的参数。
说明:
①端口号,就是发现进入攻击的端口。
②协议是进入攻击所采用的数据传输方式,TCP或UDP。
③类型有本地或远程两种,说明攻击的来源。
④最重要的是操作,当然要禁止从这个端口的攻击。
⑤有些端口是不能禁止的。
7.2.4 入侵检测系统
入侵检测系统(Intrusion Detection System,IDS)就是进行入侵检测的软件与硬件的组合。
1.入侵检测技术
(1)入侵检测的内容与作用
入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”,包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持等内容。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
(2)入侵检测的分类
按照检测对象,入侵检测可以划分为:
①基于主机的检测:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统是由代理(agent)来实现对所在主机系统的保护,代理是运行在目标主机上的小的可执行程序。
②基于网络的检测:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台计算机,用于探测网络上的数据包。
③混合型检测:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
2.检测系统模型
应该使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位对所关注的网络作全面的评估,然后提出可行的全面解决方案。
3.入侵检测软件
(1)NetWatch网络监控与入侵检测系统专业版
这个软件可以对企业网络进行实时监控、自动或手动切断网络连接、孤立堵塞网络主机、防止ARP欺骗、实现入侵检测功能、支持防火墙的互动。
(2)防火墙软件
国内外软件公司均开发了一些专门检测某类入侵的软件。目前几乎所有的防火墙软件均带有入侵检测功能,例如瑞星卡卡、金山毒霸网镖等。这些软件需要用户设定规则。参见防火墙部分的举例。
7.2.5 备份和恢复技术
本书认为备份中最重要的是数据备份,所以主要介绍数据备份技术和相关内容。
目前,网上银行、数码设备、客户资料等信息越来越与人们的工作、生活密切相关,成为不可缺少的部分,人们对数据的重要性也有了越来越重要的认识。对重要数据的保护变得越来越重要,备份数据成为对数据保护的一种方法。
备份是一种手段,备份的目的是为了防止数据灾难,缩短停机时间,保证数据安全;备份的最终目的是恢复。从备份策略来看,目前的主要备份策略可分为完全备份、增量备份、差异备份和累加备份策略。
1.备份方式
(1)完全备份
这种方式是复制给定计算机或文件系统上的所有文件,而不管它是否被改变。
如果备份之间,数据没有任何更动,那么所有备份数据都是一样的。备份全部选中的文件及文件夹,并不依赖文件的存盘属性来确定备份哪些文件。如果每天变动的文件只有10MB,每晚却要花费100GB的空间做备份,则绝对不是个好方法。
(2)增量备份
增量备份仅仅备份在上一次备份后增加、改动的部分数据。增量备份可分为多级,每一次增量都源自上一次备份后的改动部分。
(3)差异备份
差异备份只备份在上一次完全备份后有变化的部分数据。如果只存在两次备份,则增量备份和差异备份内容一样。
(4)累加备份
累加备份采用数据库的管理方式,记录累积每个时间点的变化,并把变化后的值备份到相应的数组中,这种备份方式可恢复到指定的时间点。
值得说明的是,通常要把几种策略结合起来使用,例如可以采用完全备份方式,或者完全备份加增量备份,或完全备份加差异备份,或完全备份加累加备份。
2.备份技术
(1)针对数据进行的备份
直接复制所要存储的数据,或者将数据转换为镜像保存在计算机中。诸如Ghost等备份软件,光盘和移动硬盘也属此类。采用的模式分为逐档与镜像两种。一种是直接对文件进行复制,另一种是把文件压成镜像存放。优点是方便易用,是广大用户最为常用的;缺点是安全性很低,容易出错。其针对数据进行备份,如果文件本身出现错误就将无法恢复,那备份的作用就无从谈起了。
(2)磁轨备份技术
这是直接对磁盘的磁轨进行扫描的技术,直接记录下磁轨的变化。优点是非常精确,因为是直接记录磁轨的变化情况,所以出错率极低,几乎为零。NAS等专业存储设备就是采用此种备份技术,也是目前中小企业应用最多的备份技术。
3.主流存储备份设备
(1)磁盘阵列
磁盘阵列将多个类型、容量、接口甚至品牌一致的专用硬磁盘或普通硬磁盘连成一个阵列,以某种快速、准确和安全的方式来读写磁盘数据,可以提供数据备份和磁轨备份两种技术。优点是具有很高可靠性、安全性、稳定性;缺点是价格偏贵、需要专业人员维护管理。
(2)文件服务器
是专门负责文件管理,提供上传、下载共享备份等工作的服务器,采用直接数据备份的方式,将数据文件直接存储备份在硬盘上。优点是操作简单,使用方便;缺点是需面临误操作、病毒侵害、网络攻击等诸多安全性的问题。
(3)光盘塔
由几台或十几台CDROM驱动器并联构成,通过软件控制某光驱的读写操作,使其按照要求自动读取信息,把数据直接复制到光盘上,进行数据备份。优点是可以按需求保存数据,且保存的数据具可移动性;缺点是光盘容量有限、购买光盘的花费大、刻录机寿命短、人工操作,而且光盘易丢失损坏。
(4)NAS
将硬盘连接起来组成阵列,形成一个小型磁盘阵列柜。通过网线与计算机或服务器连接并进行数据传输;通过浏览器可以管理阵列;简单易用,可靠、安全,比较适合中小企业重要数据如财务、客户、设计、人事等方面的数据备份。中、高级别的NAS采用磁轨备份方式,以保证数据的高度准确,而且可以支持差异备份,不浪费容量。被IBM、HP、国内中小企业广泛应用的NAS是加拿大的“自由遁”。
4.常用备份软件
(1)一键GHOST
是“DOS之家”首创的4种版本(硬盘版、光盘版、U盘版、软盘版)同步发布的启动盘,适应各种系统,可以独立使用,也能够相互配合。主要功能包括一键备份C盘、一键恢复C盘、中文向导、GHOST、DOS工具箱等。
软件的应用:系统安装并把常用软件安装调试完成后,使用这个软件建立C盘的备份。
当系统出现问题时,利用备份恢复系统,适合于个人用户。目前,这个软件的各个版本都是免费的。