網(wǎng)絡(luò)接入點(diǎn)

時(shí)間：2023-02-09 16:45:01 | 來源：營銷百科

時(shí)間：2023-02-09 16:45:01 來源：營銷百科

網(wǎng)絡(luò)接入點(diǎn)：Internet接入點(diǎn)是對內(nèi)部網(wǎng)絡(luò)安全產(chǎn)生威脅最大的一點(diǎn)，其威脅主要有 2 種，非法入侵和計(jì)算機(jī)病毒。

面對這些威脅，我們不可能放棄Internet應(yīng)用，而是要在保證正常應(yīng)用的前提下，采取得當(dāng)?shù)拇胧┻M(jìn)行防范。在防范非法入侵方面，采取的措施是設(shè)置防火墻。防火墻在內(nèi)部網(wǎng)和外部網(wǎng)的交界處構(gòu)造一個(gè)保護(hù)層，通過地址映射，可以有效地屏蔽內(nèi)部局域網(wǎng)的真實(shí)主機(jī)地址，使外部所看到的地址是虛假的地址;同時(shí)設(shè)定合理的外部訪問內(nèi)部資源的策略，對外部的訪問進(jìn)行限制，濾掉不符合訪問策略的數(shù)據(jù)包。另一方面，通過設(shè)置內(nèi)部訪問外部策略，防火墻也可以限制內(nèi)部對外部網(wǎng)絡(luò)資源的訪問，在一定程度上降低安全風(fēng)險(xiǎn)。

在預(yù)防計(jì)算機(jī)病毒方面，內(nèi)部網(wǎng)絡(luò)中可能已經(jīng)部署了網(wǎng)絡(luò)防病毒系統(tǒng)，但這個(gè)系統(tǒng)是在計(jì)算機(jī)病毒進(jìn)入到內(nèi)部局域網(wǎng)絡(luò)以后才能啟動(dòng)防范功能，如果該系統(tǒng)的管理不完善，或是存在著病毒碼升級不同步產(chǎn)生的'木桶效應(yīng)'，系統(tǒng)同樣可能會(huì)受到破壞。因此，在Internet接入點(diǎn)處，還要設(shè)置一個(gè)防毒墻或具有類似功能的防范機(jī)制，通常部署在防火墻的后面。防毒墻是防毒軟件和高性能硬件有機(jī)的結(jié)合體，它支持HTTP、FTP、POP3 和SMTP 等標(biāo)準(zhǔn)協(xié)議，可以對出入內(nèi)部局域網(wǎng)絡(luò)的電子郵件、HTTP 或FTP 數(shù)據(jù)進(jìn)行檢查掃描，并根據(jù)病毒特征碼判斷流經(jīng)的數(shù)據(jù)包中是否帶有病毒，從而將病毒清除或隔離在內(nèi)部網(wǎng)之外，減少內(nèi)部網(wǎng)感染病毒的幾率。作為強(qiáng)制訪問控制的設(shè)備，防火墻不具備實(shí)時(shí)入侵監(jiān)測的能力，不能感知、記錄入侵的進(jìn)入和后果，同時(shí)也存在可以繞過防火墻的入侵行為。針對防火墻的局限性，在 Internet 接入點(diǎn)處，我們還應(yīng)該采取第三個(gè)安全措施——部署NIDS(基于網(wǎng)絡(luò)的入侵檢測系統(tǒng))。NIDS 由檢測代理和控制臺構(gòu)成，檢測代理完成對流入內(nèi)部網(wǎng)的數(shù)據(jù)包進(jìn)行檢查和分析，控制臺實(shí)現(xiàn)對檢測代理的管理、向網(wǎng)絡(luò)管理員提交檢測報(bào)告等功能。NIDS不會(huì)直接對內(nèi)部網(wǎng)起保護(hù)作用，但是它可以通過監(jiān)聽流經(jīng)指定端口的所有數(shù)據(jù)包，并與入侵行為特征信息庫進(jìn)行對比分析，進(jìn)而發(fā)現(xiàn)可能的入侵企圖和異常現(xiàn)象，實(shí)時(shí)地向網(wǎng)絡(luò)管理員發(fā)出報(bào)警，同時(shí)將入侵的行為和過程進(jìn)行記錄，并中斷該連接或調(diào)用相應(yīng)的進(jìn)程進(jìn)行處理。網(wǎng)絡(luò)管理員通過控制臺提交的檢測報(bào)告就可以及時(shí)地采取措施進(jìn)行補(bǔ)救。在基于交換的局域網(wǎng)中，NIDS 只能檢測某一個(gè)網(wǎng)段的數(shù)據(jù)包，因此在Internet接入點(diǎn)處設(shè)置NIDS，需要將交換機(jī)中用于連接外網(wǎng)的端口鏡像到用于連接 N I D S 的端口，這樣 N I D S 就可以對所有流入連接外網(wǎng)端口的數(shù)據(jù)包進(jìn)行監(jiān)測。大多數(shù)的NIDS都可以和主流的防火墻進(jìn)行聯(lián)動(dòng)，當(dāng)NIDS監(jiān)測到入侵行為時(shí)，就會(huì)通知防火墻動(dòng)態(tài)地調(diào)整訪問策略，以后再出現(xiàn)類似的入侵行為，防火墻就可以將其阻斷在內(nèi)部網(wǎng)絡(luò)之外。NIDS 可以設(shè)置在防火墻的前面或后面，由于防火墻和防毒墻可以過濾掉絕大部分的不安全數(shù)據(jù)包，因此通常將NIDS設(shè)置在內(nèi)部網(wǎng)的最近點(diǎn)，減少NIDS的工作負(fù)載，保證NIDS 具有比較高的效率。