本站小編為你精心準備了網絡依賴來源于網絡各種應用參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。如今，Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文探討的重點。

幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統的人，他們利用各種網絡和系統的漏洞，非法獲得未授權的訪問信息。不幸的是如今攻擊網絡系統和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執行就可以給網絡造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。

我們可以通過很多網絡工具，設備和策略來保護不可信任的網絡。其中防火墻是運用非常廣泛和效果最好的選擇。它可以防御網絡中的各種威脅，并且做出及時的響應，將那些危險的連接和攻擊行為隔絕在外。從而降低網絡的整體風險。

防火墻的基本功能是對網絡通信進行篩選屏蔽以防止未授權的訪問進出計算機網絡，簡單的概括就是，對網絡進行訪問控制。絕大部分的防火墻都是放置在可信任網絡（Internal）和不可信任網絡（Internet）之間。

防火墻一般有三個特性：

A．所有的通信都經過防火墻

B．防火墻只放行經過授權的網絡流量

C．防火墻能經受的住對其本身的攻擊

我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器（Route+ACL），一臺多個網絡接口的計算機，服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

為什么要使用防火墻？很多人都會有這個問題，也有人提出，如果把每個單獨的系統配置好，其實也能經受住攻擊。遺憾的是很多系統在缺省情況下都是脆弱的。最顯著的例子就是Windows系統，我們不得不承認在Windows2003以前的時代，Windows默認開放了太多不必要的服務和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務和組件，嚴格執行NTFS權限分配，控制系統映射和共享資源的訪問，以及帳戶的加固和審核，補丁的修補等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網絡上肆無忌憚的攻擊。但是致命的一點是，該服務器系統無法在安全性，可用性和功能上進行權衡和妥協。

對于此問題我們的回答是：“防火墻只專注做一件事，在已授權和未授權通信之間做出決斷。”

如果沒有防火墻，粗略的下個結論，就是：整個網絡的安全將倚仗該網絡中所有系統的安全性的平均值。遺憾的是這并不是一個正確的結論，真實的情況比這更糟：整個網絡的安全性將被網絡中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應用到網絡安全中來。沒有人可以保證網絡中每個節點每個服務都永遠運行在最佳狀態。網絡越龐大，把網絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網絡安全框架的崩潰。

防火墻成為了與不可信任網絡進行聯絡的唯一紐帶，我們通過部署防火墻，就可以通過關注防火墻的安全來保護其內部的網絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網絡安全犯罪的調查取證提供了依據。總之，防火墻減輕了網絡和系統被用于非法和惡意目的的風險。

對于企業來說，防火墻將保護以下三個主要方面的風險：

A．機密性的風險

B．數據完整性的風險

C．用性的風險

我們討論的防火墻主要是部署在網絡的邊界（NetworkPerimeter），這個概念主要是指一個本地網絡的整個邊界，表面看起來，似乎邊界的定義很簡單，但是隨著虛擬專用網絡（VPN）的出現，邊界這個概念在通過VPN拓展的網絡中變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來自外部網絡和內部網絡的威脅，也包含了遠程VPN客戶端的安全。因為遠程VPN客戶端的安全將直接影響到整個防御體系的安全。

防火墻的主要優點如下：

A．防火墻可以通過執行訪問控制策略而保護整個網絡的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內。

B．防火墻可以用于限制對某些特殊服務的訪問。

C．防火墻功能單一，不需要在安全性，可用性和功能上做取舍。

D．防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

同樣的，防火墻也有許多弱點：

A．不能防御已經授權的訪問,以及存在于網絡內部系統間的攻擊.

B．不能防御合法用戶惡意的攻擊.以及社交攻擊等非預期的威脅.

C．不能修復脆弱的管理措施和存在問題的安全策略

D．不能防御不經過防火墻的攻擊和威脅

現代企業對網絡依賴主要來自于運行在網絡上的各種應用，同樣的，網絡的范圍也覆蓋到整個企業的運營區域。我們將分析一個典型的企業網絡，從結構，應用，管理，以及安全這幾個層次來探討一下對企業來說，如何去實現真正的網絡安全。

在開始之前，我們首先必須面對一個事實，絕對的安全是沒有的。我們所能做的，是減少企業所面臨的安全風險，延長安全的穩定周期，縮短消除威脅的反映時間。網管與安全人員需要解決的是來自內部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識與科學的協調和管理。客觀的去分析現今的企業網絡，我們不難發現，在經歷了普及終端和網絡互聯的時代后，我們面對的問題還有很多，如客戶端的非法操作，對網絡的不合法的訪問與利用；網絡結構的設計缺陷與混雜的部署環境；網絡邊界與關鍵應用的區域缺乏必要的防御措施和審記系統等等。下面我們來逐一分析，并提供相應的產品解決方案與安全建議。

首先是網絡內部，即面向企業內部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。而對于其他，比如病毒，木馬，間諜程序，惡意腳本，往往通過內部網絡中某一臺工作站的誤操作而進入到網絡并且迅速的蔓延。如訪問非法網站，下載或運行不可信程序，使用移動設備復制帶有病毒的文件等看似平常的操作。由于如今流行的操作系統存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網絡的迅速發展，也給這類威脅提供高速繁殖的媒介。特別是企業內部擁有高速的網絡環境，給各種威脅的擴散與轉移提供了可能。現在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲和木馬程序，后門程序等，防病毒并不能起到很顯著的效果，例如蠕蟲病毒，一般都是利用操作系統中存在的缺陷和漏洞來攻擊與傳播的，即使安裝了防病毒軟件，也沒有修補操作系統本身的漏洞，安全威脅從根本上沒有被消除。并且隨著蠕蟲的不斷攻擊，防病毒系統將會調用大量的系統資源來修復和防御蠕蟲攻擊后修改的系統文件，頻繁的對文件系統進行掃描與恢復。這樣也無形的增加了系統的不穩定性，影響了系統的可用性，最關鍵的是，蠕蟲攻擊在仍然在網絡中傳播，給交換機，路由器帶來持續的壓力和威脅。另外，客戶端感染威脅的途徑是多種多樣的，比如InternetExplorer瀏覽器漏洞，可以利用VBS惡意腳本，BMP圖片木馬，ActiveX控件后門程序等，通過各類嵌入攻擊代碼的網頁，在瀏覽者毫不知情的情況下，后臺進駐到操作系統中，修改注冊表和系統設置，種植后門程序，收集用戶信息和資料。這一切都會給工作站造成無法估量的安全風險。一旦工作站遭到攻擊與控制，就很可能威脅到整個內部網絡和核心區域，所以我們說，保護好工作站的安全，是企業網絡安全的一個重要部分。

通過上面簡單的分析和舉例，工作站的安全工作主要包含如下幾個方面：桌面防病毒，桌面防火墻，系統補丁管理，系統授權與審核，軟件使用許可監控和網絡訪問控制。從如今市場上流行的解決桌面安全的產品中，從保護用戶系統的穩定性與可用性以及綜合安全的角度，我們選擇Symantec公司的SymantecClientSecurity2.0作為桌面防病毒和防火墻的集成安全解決方案。該產品最大的優勢是不存在互操作性問題，SCS2.0將防病毒，防火墻與桌面入侵檢測完美結合，提供如今防御混合性威脅最佳組合。采用來自不同廠商的多種單點產品使得全面防護變為一項極為復雜甚至根本不可能的任務，因為跨廠商的互操作性問題往往會存在漏洞，從而使威脅乘虛而入危及安全性。此外，當病毒發作時，必須針對各種不同的技術，對每個廠商提供的修復方案進行測試和驗證。這樣就降低了對攻擊的反應速度，并潛在地增加了成本。如果您要了解更有關于SCS方面的資料，網站，獲得更多信息和技術支持。

混合性威脅：

用多種方法和技術來傳播和實施的攻擊或威脅，因而必須有多種方法來保護和壓制這種攻擊或威脅。如:CodeRed.CodeRedII.CodeBlue.Nimda.

正如上面所提到的，必須通過修補操作系統漏洞來徹底消除利用漏洞傳播的蠕蟲影響。眾所周知，Microsoft有專門的Update站點來最新的漏洞補丁，我們所需要做的，是下載補丁，安裝并重新啟動。但是在大型企業中實際實施卻沒有這么簡單，修補不同操作系統的大量客戶端，如Win98/Me/2000/XP/2003等，將是一件讓人痛苦的工作，不僅部署時間長，還要花費大量的人力和時間，影響到企業的應用和業務的正常運轉。尤其是在網絡環境復雜的企業中，包含多個域多個工作組，或沒有域的早期環境。如何在蠕蟲和黑客還沒有滲透到網絡之前修補這些漏洞，如何將部署這些補丁對企業的運行影響減小到最低呢？我們的回答是，選擇一套高效安全的桌面管理軟件，來進行完善的企業IT管理：LANDeskManagementSuite，即LANDesk管理套件，桌面管理市場的開創者和領導者。LANDesk專注于提供桌面管理市場的產品與服務，公司原屬于Intel公司的軟件部，擁有強大的管理團隊與專業背景，全面支持混合平臺環境。包括Windows平臺,MAC平臺,Linux平臺,Unix平臺，Solaris平臺。可以在有域或無域環境中部署，尤其是操作系統補丁的檢測收集與自動修補，通過LANDesk的目標多址廣播（可大量減輕網絡主干壓力）、對等下載（即使用流行的BT下載原理）、動態帶寬調整等技術優勢，迅速的修補企業內部網絡中的系統漏洞，不需要人工參與，不需要管理員去核對操作系統版本與狀態，在無人職守或者非法中斷的情況下會在下次自動完成部署任務，斷點續傳。因為篇幅的原因，LANDesk的更多優勢，如IT資產管理，軟件授權監視，系統安全服務狀態，禁止外設（USB，1394，無線，CD-ROM）OS操作系統遷移，軟件分發，軟件許可監控等功能，請通過獲得更詳盡的信息。 

真正的安全：整體集成安全解決方案+同時更新=真正的安全

通過在內部網絡中的每臺工作站上部署防病毒，防火墻，入侵檢測，補丁管理與系統監控，我們可以集中收集內部網絡中的威脅，分析面對的風險，靈活適當的調整安全管理策略。但這僅僅是不夠的，還有另外一個重要的部分，就是從網絡結構上的接入層，匯聚層和核心交換層設備上做好訪問控制與流量管理。

其次是網絡結構的安全性，管理人員都知道，通過部署多層交換機，實現多個VLAN和快速收斂的路由，是保證網絡結構的可靠性與強壯性的最佳方法。在劃分了多個邏輯網絡和建立符合應用的ACL的同時，我們更希望能收集和歸納出整個網絡的更多安全信息，包括流量的管理，QoS，入侵行為和用戶訪問信息。僅通過網絡設備提供的日志，SNMP管理是遠遠不夠的，現今的方法是通過部署IDS/IPS來實現。在核心的節點部署IDS/IPS探點，采集和匯總數據包的完整信息，提供給管理人員分析是正確的方法。當然了，這也要求管理人員的技術水平達到一定的高度，并且會耗費一部分時間用于分析日志。入侵檢測系統能與其他的網絡設備聯動，減少誤報，共同響應與阻斷威脅，將是未來的發展趨勢和重點。

網絡的核心區域包括核心交換機，核心路由器等重要設備，它們負擔整個網絡的核心數據的轉發，并且連接著DMZ區的各個關鍵應用，如OA系統，ERP系統，CRM系統，對內或對外的Web服務器，數據庫服務器等。從安全的角度來說，這個區域是最關鍵的，也是風險最集中的區域。我們遇到的矛盾是，既要不影響DMZ區應用的可用性和友好性，又要保證其訪問的安全性與審核。很多情況下我們不但要在網絡的邊界部署防火墻，也要在這個區域部署為保護DMZ等類似的關鍵區域的防火墻。

存在的矛盾：如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調和的。

與邊界防火墻不同的是，關鍵區域的防火墻主要是面對內部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務攻擊等攻擊，也要提供諸如NAT服務，出站控制，遠程VPN用戶和移動用戶訪問的授權等。我們可以將各種防御的職能根據網絡的結構和提供的應用來分派到兩類防火墻上來。即內部防火墻重點保護DMZ區域，提供深層次的檢測與告警。因為一旦涉及到數據包深入檢測，將會大大影響設備的性能。而這是對邊界防火墻要求高性能數據過濾和轉發，不成為出口瓶頸所不能容忍的。管理人員應該先充分了解網絡的特點與用途，結合設備與現有的網絡環境靈活部署，才能達到較高可用性與安全性的平衡。

如今的防火墻的功能越來越強大，這里我們選擇業界一流的防火墻CheckPoint的StatefulInspection(狀態檢測技術)和WebIntelligence(Web智能技術)來簡單介紹下對于防火墻的智能防御與Web安全保護。

簡單來說，狀態檢測技術工作在OSI參考模型的DataLink與Network層之間，數據包在操作系統內核中，在數據鏈路層和網絡層時間被檢查。防火墻會生成一個會話的狀態表，InspectEngine檢測引擎依照RFC標準維護和檢查數據包的上下文關系。該技術是CheckPoint發明的專利技術。對狀態和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會話，也能智能處理無連接協議，如UDP或RPC。這樣就保證了在任何來自服務器的數據被接受前，必須有內部網絡的某一臺客戶端發出了請求，而且如果沒有受到響應，端口也不會處于開放的狀態。狀態檢測對流量的控制效率是很高的，同時對于防火墻的負載和網絡數據流增加的延遲也是非常小。可以保證整個防火墻快速，有效的控制數據的進出和做出控制決策。

WebIntelligence，有一種名為MaliciousCodeProtector（可疑代碼防護器）來提供對應用層的保護。比如，Web會話是否符合RFC的標準不能包含二進制數據；協議使用是否為預期或典型的；應用是否引入了有害的數據或命令；應用是否執行了未授權的操作或引入了有害的可執行代碼等。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網絡傳輸中的可執行代碼，模擬行來判斷攻擊，將可執行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當低。

通過多種技術的協同防護，可以保證在網絡邊界對訪問進行控制，但是，隨著VPN網絡和遠程移動辦公用戶的接入增多，網絡邊界的概念在如今已經非常模糊了。很明顯的，網絡的邊界已經拓展到實際用戶的桌面端。所以還是回到了我們文章一開始談到的，網絡安全是需要綜合的部署和完善的策略來做保證的。企業的網絡安全是一項綜合性很強的工作，并且持續的時間將隨著整個拓撲和應用的周期而擴展。企業內部安全的很多部分本文都沒有提到，如服務器的加固，無線安全，反垃圾郵件系統，風險評估，安全檢測等，因為篇幅的關系，希望下次有機會繼續與各位探討和學習，謝謝。

在Web環境中，威脅來自于多個方面，從端點到傳輸到邊界，最后到達Web服務器和后臺數據庫。這一系列的數據交換將會引發大量的安全問題。傳統的防火墻的功能對于Web的保護相當有限，比如，無法深入檢測HTTP的內容，不能理解Web應用的上下文，性能低下，無法提前部署與防御等等。CheckPoint的。