各网络安全产品工作原理.doc

1、杀毒的工作原理病毒检测的方法在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。特征代码法特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中，抽取特征代码。依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。其特点：A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。B.误报警率低。非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。运用校验和法查病毒采用三种方式：在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。行为监测法利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。这些做为监测病毒的行为特征如下：A.占有INT 13H所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。B.改DOS系统为数据区的内存总量病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。C.对COM、EXE文件做写入动作病毒要感染，必须写COM、EXE文件。D.病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。 2、防火墙工作原理防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流， 尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。1、防火墙技术 防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面，我们将介绍这些手段的工作机理及特点，并介绍一些防火墙的主流产品。 包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。 2、防火墙工作原理(1) 包过滤防火墙 包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。 （包过滤防火墙工作原理图）(2) 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。 （应用网关防火墙工作原理图）(3) 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。 （状态检测防火墙工作原理图）(4) 复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。 （复合型防火墙工作原理图）3、四类防火墙的对比 包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。3、入侵检测、防御IPS到底是什么？ “IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。 我们先来看IPS的产生原因： A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。 B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。 C： IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。 于是就有下面的一种想法，如图1所示。 图1IPS的起源这就是IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。 而为什么会有这种需求呢？是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。 入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。 入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。 这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（IPS等）。 IPS应该看重那些方面的功能？ 有些人认为：“IPS应该具备各种扩展功能，ACL、路由、NAT，一个都不能少”。“IPS最重要的就是性能了，其他的都不重要”。 入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定意味着影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。 精确阻断解决了自IPS概念出现以来用户和厂商的最大困惑：如何确保IPS无误报和滥报，使得串接设备不会形成新的网络故障点？ 而作为一款防御入侵攻击的设备，毫无疑问，防御各种深层入侵行为是第二个重点，这也是IPS系统区别于其他安全产品的本质特点；这也给精确阻断加上了一个修饰语：保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为（如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件），这才是IPS发展的主线功能。 如何确保对深层入侵行为的准确判断？刚刚推出入侵防御系统的专业安全厂商有着自己独特的技术和专利。的技术专家介绍说，依托多年以来在入侵检测技术方面的深厚积累，独创性地建立了柔性化检测机制，在确保精确判定攻击行为的基础上，涵盖了各种攻击手法类型。 我们知道常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制如图2所示。 图2基于特征和原理的检测机制对比融合“基于特征的检测机制”和“基于原理的检测机制”形成的 “柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合，如图3所示。 图3柔性检测机制原理通过运用柔性检测机制，入侵防御系统进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。 当然，前面提到的扩展功能和高性能，也是入侵防御系统所必需关注的内容，但也要符合产品的主线功能发展趋势。如针对P2P的限制：P2P作为一种新兴的下载手段，得到了极为广泛的运用，但由无限制的P2P应用会影响网络的带宽消耗，并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制，需要较为深入的应用层分析，交给IPS来限制、防范，是一个比较恰当的选择。而ACL控制、路由、NAT等，这些都是防火墙可以完成的工作，在IPS上来实现这些功能，就有画蛇添足之嫌了。 性能表现是IPS的又一重要指标，但这里的性能应该是更广泛含义上的性能：包括了最大的参数表现和异常状况下的稳定保障。也就是说，性能除了需要关注诸如“吞吐率多大？”，“转发时延多长？”，“一定背景流下检测率如何？”等性能参数表现外，还需要关注：“如果出现了意外情况，怎样/多快能恢复网络的正常通讯？”，这个问题也是IPS出现之初被质疑的一个重点。串接设备出现故障和旁路设备不一样，是会影响到正常业务运营的，而做深层分析的串接设备更加如此，在长时间做大量数据深度分析的情况下，如何确保通讯的顺畅？如何确保出现异常情况后通讯的顺畅？ 入侵防御系统通过内置硬件Watchdog、软件监控进程，对系统的异常实时监控和处理，实现了软件和硬件的双BYPASS功能，在各种异常情况下确保了网络的通畅，部署后不增加网络故障点。IPS始终遵循最短时间优先原则，调度任务、算法和CPU时间，具体如图4所示。 图4IPS的性能表现IPS的未来发展方向是什么？ 明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS产品的设备处理性能。 而在提升性能方面存在的一个悖论就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板（对变种较难发现），在新攻击特征的更新上有所滞后（需做特征的编码化）。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，但在性能上存在处理效率瓶颈：暂时达不到电信级骨干网络的流量要求。 所以，入侵防御系统的未来发展方向应该有以下两个方面： 第一、更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。 第二、适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。4、VPN技术SSL VPN与IPSec VPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。 SSL的“零客户端”解决方案被认为是实现远程接入的最大优势，这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足， 它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如Net Meeting以及一些客户书写的应用程序，将无法进行访问。 IPSec方案安全级别高 基于Internet实现多专用网安全连接，IPSec VPN是比较理想的方案。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。 IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。 IPSec VPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装，不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包，因而无论对网管还是终端用户，安装过程都大为简化。 IPSec VPN应用优势 SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSec VPN能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。 IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSec VPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。 IPSec VPN与SSL VPN优劣比较 IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项；而SSL VPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险，因为用户可运用公众Internet站点接入；IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。 Meta Group认为，不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时，还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求，以决定采纳哪类VPN策略。IPSec VPN与SSL VPN技术对比有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。SSL VPN如何工作 SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。 SSL VPN的劣势 由于是一种相对来说还没有大量应用的技术，目前能够提供相应产品和服务的厂商也不多，那么SSL VPN这种技术与IPSec VPN相比，究竟有什么劣势呢？在这里做一个简要的分析。 SSL VPN应用的局限性很大，只适用于数据库应用服务器Web服务器浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多，这也是SSL VPN市场有限的原因之一 另外，具体到我们国家，国家商用密码管理部门有明确的规定（比如国务院273号令），表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。 SSL VPN的问题 1、SSL VPN的认证方式比较单一，只能采用证书，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活（口令、RADIUS、令牌等）。 2、SSL VPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源（主机、数据库）进行访问控制和安全审计，这也是用户最为关心的一点。 3、要实现网络网络的安全互联，只能考虑采用IPSecVPN。 4、应用层局限性 SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用，而IPSec VPN却几乎可以为所有的应用提供访问，包括客户端/服务器模式和某些传统的应用。 一个企业往往有很多种应用（OA、财务、销售管理、ERP，很多并不基于Web），单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSL VPN只能保护应用层协议，如WEB、FTP等），保护更多的应用这点，SSL VPN根本做不到。 5、SSL VPN需要CA的支持，企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说（哪怕是IT企业）证书的管理也是一件相当复杂的工作。 6、性能 SSL VPN是应用层加密，性能比较差。目前，VPN可以达到千兆甚至接近10G，而SSL VPN由于是应用层加密，即使使用加速卡，通常只能达到300M左右的性能。 基于以上分析，SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中，SSL VPN远远不能解决用户的需求，所以希望用户在选择产品的时候能够认真的考虑并仔细选择。要了解SSL VPN与IPSec VPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSec VPN方案。IPSec的英文全名为“Internet Protocol Security”，中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管这些通道构建时所采用的安全和加密方法如何。1. IPSec的主要不足（1）安全性能高，但通信性能较低因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有公司资源时，就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分，IPSec不仅使你正在通信的那一很小的部分通道加密，而是对所有通道进行加密。所以在在安全性方面比SSL VPN好，但整体通信性能却因安全性受到了影响，不过安全性方面始终高于性能的，这也是目前IPSec VPN仍为主流的原因之一。（2）需要客户端软件在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件，用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中，这就可能带来了与其他系统软件之间兼容性问题的风险，例如木马程序所带来的安全性风险，特别是在这些客户端软件是从网站上下载，而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准，几乎所有的IPSec客户端软件都是专有的，不能与其它兼容。在一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案中大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。并且，IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性，在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。（3）安装和维护困难IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。（4）实际全面支持的系统比较少虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行基于Windows系统，很少有运行其它PC系统平台的，如Mac、Linux、Solaris 等。2. 为什么要用SSL，而不用IPSec VPN？虽然目前并不是所有，也不大多数用户采用SSL代理方式进行VPN通信，但是使用SSL VPN的用户数却在不断增加，有些是原来一直采用IPSec VPN的，原因主要有以下几个方面：（1）不需要客户端软件和硬件需求在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件，而只需要在服务器端安装相应的软件和硬件，然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。（2）容易使用，容易支持Web界面在今天的工厂中，有许多Web浏览器和支持SSL的email客户端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的，这样就可以大大节省培训费用。（3）端到端 vs. 端到边缘安全IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。这两种VPN方式的通道安全示意图如图1所示。 图1（4）90%以上的通信是基于Web和Email的近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。3. SSL VPN与IPSec VPN的比较列表下表是SSL VPN与IPSec VPN主要性能比较，从表中可以看出各自的主要优势与不足。5、网页防篡改技术比较目前市场上常见的网页防篡改技术有以下三种：1. 外挂轮询技术利用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。2. 核心内嵌技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。3. 事件触发技术利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。5.1、形象性描述1. Web服务器与大楼我们把Web服务器看成是一个美术馆大楼，目录是大楼的楼层和房间，每个网页文件都是房间挂着的画作。这些画作每天在由工作人员不断更新，每天也有成千上万的借阅者通过借阅口来取出和阅读这些画作。网页防篡改系统的目标就是保证人们看到的是真实的画作，而不是赝品甚至反动宣传品。2. 外挂轮询技术大楼配备了一个检查员进行巡检，他以一个普通借阅者的身份不停地在借阅处调取每个房间的每副画作，与手里的真实画作相比较里进行检查，发现有可疑物品即进行报警。这种方式的显著弱点是：当大楼规模很大，房间和画作很多时，他会忙不过来。对于特定的一幅画作，两次检查的时间间隔会很长，不法分子完全有机会更换画作，对借阅者造成严重影响。3. 核心内嵌技术大楼在借阅口处配备一个检查员，他对每一个调出的画作进行检查，发现有可疑画作即阻止它的流出。这种方式的显著优点是：每副画作在流出时都进行检查，因此可疑画作完全没有被借阅者看到的可能；相应弱点是，由于存在检查手续，画作在流出时会耽误时间。4. 事件触发技术大楼在正门进口处配备一个检查员，他对每一个进入的画作进行检查，发现有可疑物品即进行报警。这种方式的显著优点是：防范成本很低，但缺点是：美术馆大楼的结构非常复杂，不法分子通常不会选择正门进来，他会从天花板、下水道甚至利用大楼结构的薄弱处自己挖个洞进来，并且还不断会有新的门路被发现，可见防守进口的策略是不能做到万无一失的。另外，非法画作一旦混进了大楼，就再也没有机会进行安全检查了。5.2、技术评估1. 技术对比外挂轮询技术核心内嵌技术事件触发技术访问篡改网页可能不可能可能服务器负载中低低带宽占用中无无绕过检测机制不可能不可能可能防范连续篡改攻击不能能不能保护所有网页不能能能动态网页脚本不支持支持支持适用操作系统所有所有受限上传时检测不能能受限断线时保护不能能不能2. 访问被篡改网页 外挂轮询技术：无法阻止公众访问到被篡改网页，它只能在被篡改后一段时间发现和进行恢复，因此公众有很大可能访问到被篡改网页。 核心内嵌技术：守住Web网页流出的最后一道关口，因此能够完全杜绝被篡改的网页被公众访问到，真正做到万无一失。 事件触发技术：将安全保障建立在“网页不可能被隐秘地篡改”这种假设上，因此也没有对网页流出进行任何检查，在一些情形下（具体情形见下文），公众是有可能访问到被篡改网页的。3. 服务器负载 外挂轮询技术：由于从外部不断地和独立地扫描Web服务器文件，因此对Web服务器形成相当的负载，并且扫描频度（亦即安全程度）和负载总是矛盾的。 核心内嵌技术：篡改检测模块内嵌于Web服务器软件里，Web服务器软件读出网页文件后，由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生的负载是非常小的。 事件触发技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，4. 带宽占用 外挂轮询技术：从外部独立检测网页，因此需要占用访问的网络带宽。 核心内嵌技术和事件触发技术：检测都在服务器本机上进行，不占用网络带宽。5. 绕过检测机制 外挂轮询技术：由外部主机进行，不可能绕过检测。 核心内嵌技术：整合在Web服务器软件里的，对每一个网页都进行篡改检查，不可能有网页绕过检测机制。 事件触发技术：并不能确保捕获对文件的所有方式的修改（例如直接写磁盘、直接写内核驱动程序、利用操作系统漏洞等），非常容易被专业黑客很容易绕过；而且一旦成功，它没有任何手段来察觉和恢复。它的技术特点决定了它类似于防病毒工具（以黑防黑）而不是专门针对网站保护的系统。6. 连续篡改攻击有意进行恶意攻击的黑客可以利用其他技术的扫描间隔来进行连续的篡改攻击，即在网页被恢复后立即重新篡改网页。 外挂轮询技术：由于重篡改过程可以利用程序自动和连续进行，并只针对一个重要网页（例如网站首页）进行，因此即使的扫描时间间隔设置得再小（例如1分钟），也无法阻止篡改后的网页被公众访问到。 核心内嵌技术：在每次输出网页时都进行完整性检查，如有变化则阻断发送。因此，无论连续攻击多么迅速和频繁，都无法使公众看到被篡改的网页。 事件触发技术：对Web服务器软件没有控制能力，它发现篡改后没有办法去协调Web服务器工作，对于大规模或精心策划的攻击是无能为力的。7. 动态网页脚本 由篡改检测模块进行水印比对，因此要占用一定CPU计算时间。但这个计算是在内存中进行的，比起Web服务器软件从硬盘中读取网页文件的操作来，额外产生的负载是非常小的。 事件触发技术：由于只在正常网页发布时进行安全检查，因此对网页访问的影响几乎为零，额外占用的服务器负载也基本上为零。目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web服务器上；网页内容则取自于数据库。 外挂轮询技术：所监测到的动态网页是网页脚本和内容混合后的结果，而网页内容是根据访问情况时时在变化的，外挂轮询技术又无法区分网页脚本和内容，因此无法实现对动态网页的防篡改保护。 核心内嵌技术和事件触发技术：可以直接从Web服务器上得到动态网页脚本，不受变化的内容影响，因而能够象静态网页一样保护动态网页脚本。8. 断线时保护 核心内嵌技术：即使在黑客中断了Web服务器和备份网页服务器连接的情况下，也可以阻止被篡改网页的流出，最大程度达到保证效果。 事件触发技术：如果黑客中断了Web服务器和备份网页服务器的连接，这个被篡改的网页就没法即时恢复，而与此同时，大量的公众可能已经访问到了这个网页，造成严重后果。6、网管软件内网管理产品可以从监控、管理、维护三方面管理全网计算机。该产品的远程监控功能可以实时监控网络各终端的使用情况，解决了违规内网外联、内外网互联；禁用USB移动存储；全网查杀病毒、木马、流氓软件、间谍软件和未知软件；禁用光驱、禁用软驱；禁用管理员权限、禁用网络共享、禁用自动播放等困扰许多单位的安全管理问题的管理手段，并提供流量监控、注册表监控等运行维护功能，减轻网管日常工作量，是把内网安全管理和内网运维管理有效结合并实现的适合中国国情的网络综合管理类产品。6.1、网管理软件的功能列表内网管理软件包含了许多实用的功能，这些功能加强了网络秩序，增加了网络的可管理性，使您无论处于一个分布式网络环境还是一个集中式网络环境都可以方便地通过网络实施全网的统一管理要求。首先，内网管理软件提供了方便的网络监控功能，其中包括屏幕监控、屏幕拷贝、上网网址监控、文件监控和打印监控等功能。网络监控功能实时屏幕监控远程对联网的计算机实施屏幕监视，可实时了解到该客户端的计算机使用情况，也可获取敏感文件使用中是否外泄的情况。远程屏幕拷贝远程抓取联网的计算机的屏幕图像，图像自动传输并存放在管理平台，可在任意时间查看网络中任意计算机使用计算机的屏幕图像信息。上网网址监控远程提取联网的计算机的上网信息，包括上网网址及其上网历史记录和Cookie信息等。由于采用了不同的提取方法，所以，可恢复部分已删除的上网记录。避免逃避管理的行为。文件监控监视并记录计算机内发生的文件操作,当文件从一台计算机拷贝到本地计算机时或者从一个文件夹拷贝到另外一个文件夹时，本地计算机会产生新增文件事件上报管理平台；本地文件或者文件夹删除了，本地计算机会产生删除文件事件上报管理平台；修改了本地文件内容，本地计算机会产生文件修改事件上报管理平台；把本地文件夹或者文件改名后，本地计算机会产生重命名文件事件上报管理平台；所有计算机的文件监控事件集中在管理平台后，管理平台还提供了关键字查询功能，可了解一个关键文件在网络中的扩散到哪几台计算机了的文件扩散情况。还提供了文件过滤规则，能够仅监控符合过滤规则的文件；也提供除了符合过滤规则的文件之外所有文件变化的监控。打印监控对本地打印机或者网络打印机的打印行为进行监控，记录打印的文件名、打印人、打印时间等日志信息。可以提供监控日志报表功能和查询统计功能。其次，内网管理软件提供了统一的管理控制功能，其中包括禁用USB、禁用光驱、禁用软驱、禁止上网和禁止QQ等软件在网络中运行等功能。管理控制功能USB管理可对全网计算机统一设置禁用USB等管理策略或者对指定一台计算机设置。管理策略仅对USB磁盘实时生效，不影响USB键盘、USB鼠标和USB打印机等的使用。管理策略分四种：（1）禁止使用。具体地，当计算机接上USB就自动阻断并移出，然后产生USB违规接入、阻断USB和USB移出事件上报给管理平台。（2）重启阻断。具体地，当计算机接上USB就立即重启，这是最具强制性的禁用USB的办法，如果不移出USB,计算机重启后仍然反复重启，直到移出为止；然后产生USB违规接入、USB重启阻断和USB移出事件上报给管理平台。（3）允许使用。具体地，当计算机接上USB可以像往常一样使用，但是产生USB接入和USB移出事件上报给管理平台。（4）允许并监视。当计算机接上USB可以像往常一样使用，但记录USB盘上的文件操作，如会记录拷进文件名、文件重命名、文件删除、文件修改等事件信息上报管理平台。这四种方案都可在计算机拔了网线离开网络后仍然有效，并且在计算机重新联网后，仍然把离开网络后的日志记录上报给管理平台。光驱管理可对全网计算机统一设置禁用光驱或者启用光驱等两种管理策略或者对指定一台计算机设置。策略变化后，需要计算机重启以后才生效。管理策略对CD-ROM、DVD或者刻录机都生效。软驱管理可对全网计算机统一设置禁用软驱或者启用软驱等两种管理策略或者对指定一台计算机设置。策略变化后，需要计算机重启以后才生效。上网管理 （非法外联管理）（1）拨号上网阻断管理。可阻止通过MODEM拨号上网绕过防火墙管理的行为。可设置全网计算机统一禁止拨号或者允许拨号等管理策略或者设置指定一台计算机。禁止策略下，拨号实时阻断。管理策略对PSTN普通电话线拨号上网、ISDN拨号上网、无线MODEM拨号上网、ADSL拨号上网均生效。（2）双网卡通过代理服务器上网阻断管理。（3）离开局域网的单网卡计算机使用互联网网线上网实时记录“连通互联网”日志，回到内部局域网后上报离网时的日志。通过这种方式，基本上可以强制内网的计算机不得私自上网。（4）另外，上一部分的网络监控中描述的上网网址监控功能能够远程提取计算机的上网信息，包括上网网址及其上网历史记录和Cookie信息等，同样也加强了上网管理。禁止QQ等软件运行可对全网计算机统一设置禁用比如QQ.exe软件进程等管理策略或者对指定一台计算机设置。管理策略分三种：（1）禁止运行。这个策略就是一台计算机的单机策略。策略到达计算机后，计算机立即自动封杀该进程。（2）统一禁止运行。这个策略对网络中所有计算机生效。（3）单机允许。如果在统一禁止运行的情况下，这个策略就是对一台计算机特殊的允许运行该进程的策略。进程封杀的策略设置后一直生效，除非删除才能够解除策略。再次，内网管理软件提供了终端PC的维护工具功能，其中包括远程桌面维护功能、管理和分配IP地址功能、管理和分配代理服务器功能、管理和分配计算机名功能、进程知识库功能、注册表监控功能、补丁分发和全网终端流量监控等功能。终端PC维护工具远程桌面管理也称为远程协助或者桌面工具。对网络中一台计算机进行远程桌面，可用鼠标键盘远程操作该计算机，远程用户可用本地的鼠标键盘同时操作该计算机。远程桌面功能具有两种工作模式，一种是需要对方确认的远程桌面工作模式，一种是不需要对方确认的无人值守工作模式。所有的远程桌面的请求和确认都记录日志信息提交给管理平台。本软件的远程桌面功能可管理局域网内计算机，还可以管理跨互联网的具有私有IP地址上网的另外一台计算机，这是与众不同之处。管理和分配IP地址可锁定远程计算机的IP地址，锁定后远程用户无法自行修改。可远程分配和修改计算机的IP地址，分配和修改后自动锁定，远程用户无法更改。锁定后策略一直生效，除非删除才能够解除锁定。管理和分配网关地址、DNS地址可锁定远程计算机的网关地址和DNS地址，锁定后远程用户无法自行修改。可远程分配和修改计算机的网关地址和DNS地址，分配和修改后自动锁定，远程用户无法更改。锁定后策略一直生效，除非删除才能够解除锁定。管理和分配代理服务器地址可锁定远程计算机的代理服务器地址，锁定后远程用户无法自行修改。可远程分配和修改计算机的代理服务器地址，分配和修改后自动锁定，远程用户无法更改。锁定后策略一直生效，除非删除