CA安全產(chǎn)品白皮書目錄TOC\o"1-4"1.計(jì)算機(jī)系統(tǒng)安全隱患61.1從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問題71.2從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問題82.信息系統(tǒng)安全管理需求分析112.1網(wǎng)絡(luò)層安全防護(hù)122.2系統(tǒng)級安全防護(hù)142.3應(yīng)用級安全保護(hù)163.ComputerAssociates安全解決方案203.1安全之道20拉社式網(wǎng)絡(luò)安全燙甩21坦賓祝服務(wù)器安全布睛21架蛋讀用戶安全劍使22蛾問泉應(yīng)用程序和哭服務(wù)安全漂焰22邪芬扶數(shù)據(jù)安全拐州22溜3.2經(jīng)定eTrus殊t罷如22碧4.獵依eTrus濃t霜網(wǎng)絡(luò)防護(hù)咬橡24膊4.1伸神eTrus杜t冤FireW棚all艷敏24命齒景概述逼培24縫松璃結(jié)構(gòu)與工作怠原理老霞25圍醋.1點(diǎn)屑產(chǎn)品的結(jié)構(gòu)污扔25菠形.2藥刃eTrus援tFir妄ewall姥的工作原理削愁26朗禾獎產(chǎn)品的功能斥特性倚棵29羨4.2慕文eTrus未tCon晶tent集Inspe饒ction違遵33盤窄皆基本概念與好設(shè)計(jì)東舞33妻刷湖工作原理印父36超摔梁功能野軋38飼面.1律羽網(wǎng)際安全保職護(hù)劣雨39產(chǎn)4.2偉.3.2浙伏直接在網(wǎng)絡(luò)籃網(wǎng)關(guān)口保護(hù)包資訊安全呆吵39焦梯.3秀鴿網(wǎng)關(guān)應(yīng)用架港40斥作.4施率集中管理與慰報(bào)告祖螺41鏟4.3凱顆eTrus榮tInt勿rusio曉nDet歪ectio低n逗剪42扭橡排概述要垃42難拾舅結(jié)構(gòu)與原理淘駱43折怎.1燃瘋產(chǎn)品結(jié)構(gòu)餃助43激厚.2袋慮產(chǎn)品原理果蔬44惰浪食功能特性遲級46裙皆.1何堂入侵檢測功暈?zāi)軌緩?6塊繳.2琴礙會話記錄、之?dāng)r截功能噴刻47這世.3花緩防止網(wǎng)絡(luò)濫桐用帥肆49員粉.4勢冬活動代碼和鳥病毒防護(hù)爸劈50擇蘇.5斜匪與其它安全指產(chǎn)品集成與金配合禿賣50惡難.6分戴集中管理餐裕50秋秩.7唇只特性歡梅52語4.4勇樣eTrus應(yīng)tAnt草i-Vir倍us譽(yù)敵56舒竭喚產(chǎn)品概述侵色56孫建留結(jié)構(gòu)及工作恨原理心殊57酬氧束產(chǎn)品功能特閣性警伸60弓4.5次迎eTrus爽tVPN飽衣66封癥肉基本概念唯勝66舟糕向部署方式膀漿69養(yǎng)號.1把勿Intra和net畫模式網(wǎng)掠69失俘.2旺京遠(yuǎn)程訪問模宰式載喬70壤肝.3鵲訪使用網(wǎng)關(guān)服務(wù)務(wù)器的遠(yuǎn)程核訪問模式及調(diào)71倒踢.4諒聲外部網(wǎng)模式印鐘72瓜壩利功能和特點(diǎn)堂謹(jǐn)73縱暴.1箏來安全策略定意義佳雞74昌皮.2虎氧隧道模式刑名74廚打.3廁徒路由、網(wǎng)關(guān)喜選項(xiàng)既酒75嬌猾.4島摸對網(wǎng)絡(luò)服務(wù)偉端口的保護(hù)宗驅(qū)76齊沾.5碰吧用戶認(rèn)證殿場76早5.喜煮eTrus擱t第系統(tǒng)安全農(nóng)伶79沾5.1也碌eTrus澡tAcc匠essC腫ontro回l推鍵79棉姐安操作系統(tǒng)的典安全性序登79臂艘?guī)殴δ苊枋鲎咄?3慧清.1碌含用戶認(rèn)證燈育83損肆.2躁港口令質(zhì)量控欄制印竭85做揭.3近艦訪問控制謹(jǐn)裳87胞慰.4尺償保護(hù)目錄和恒文件踏窮90鋤貓.5侵尾保護(hù)特權(quán)程畏序驚赤91旅忘.6學(xué)副保護(hù)進(jìn)程漸敬93棉始.7魂哲保護(hù)怠SURRO裁GATE分字93劇垃.8挑拿保護(hù)網(wǎng)絡(luò)連延接閣鄰94俱并.9象李取消煤“壇超級用戶牽”獻(xiàn)少94激違.10壽沖讓普通用戶暑具有超級用父戶的某些能余力取伐96辯關(guān).11呀審計(jì)逆場97引陶.12現(xiàn)芹對撞Windo船wsNT室的保護(hù)馳早98杜鍵混特點(diǎn)和優(yōu)勢頁法100廢朱.1槐威防止堆棧溢泳出型攻擊貧紅100規(guī)他.2糠受強(qiáng)大的功能桃園102編陜.3遇擔(dān)易管理性畜橫102踢辜.4獅國自我保護(hù)能與力者鑼103證5.2勿撇eTrus蒸tAud狂it賤陸104牙采正企業(yè)信息安籠全對審計(jì)的慮需要萬蹄104撇攜麻eTrus休tAud倍it濾真105略鈴率結(jié)構(gòu)尤購106描源.1尤陰良好的設(shè)計(jì)墻思路與結(jié)構(gòu)虧意106分慧.2棗踐利用賽eTrus眨tAud斜it顛建立有效的截審計(jì)體系編障107即傍僅功能與特點(diǎn)猛哭108漆從.1舞惹跨平臺事件階管理貪錄109末窮.2先羽基于主機(jī)的崗侵襲檢測測棟109談決.3畏膚及時(shí)多樣的傲報(bào)警栽鍋110澡6.詳栽eTrus認(rèn)t輝用戶與應(yīng)用掏安全塑管111老6.1尊筒eTrus鑰tSin虛gleS北ignO扇n遣奪111項(xiàng)藥誓概念和原理蒸禍111蝦成.1狀敘為什么需要逼單點(diǎn)登錄腸嘗111怨鈔.2復(fù)脂單點(diǎn)登錄產(chǎn)癥品的工作原頑理奮逼112映哀貴功能結(jié)構(gòu)雷戴113唇占洲特點(diǎn)和優(yōu)勢側(cè)劑116妥6.2透胳eTrus營tAdm族in蹦挽119上怪孤基本概念鋼走119外濁.1軟盾安全集中管閑理宋陡119乳毀.2夾拔eTrus坡tAdm翻in右持120痕匆仇工作原理糖廟121移斥.1粒嚇現(xiàn)有策略的輔自動發(fā)現(xiàn)慕唱122處予.2巾怪策略的制定刮飄122倉薯.3極汗策略的傳播攏雕123桂亮病功能與特點(diǎn)掛遍124睬桿.1淹怒主要特性詢扇124席識.2堵抬功能優(yōu)勢墊楊126役7.霜悄Compu節(jié)terA曲ssoci堡ates禿信息安全服綿務(wù)成翅129華7.1階捕風(fēng)險(xiǎn)評估伐拋129劑7.2可初政策、規(guī)程告和方法攀億130停7.3薯濃安全框架設(shè)拖計(jì)螞絲131排7.4襯減安全解決方絡(luò)案的實(shí)施衣便132悲7.5戒印培訓(xùn)致域133放7.6桌墓內(nèi)部審計(jì)助匪理牢扎134把7.7唯瓦獨(dú)立的安全名審計(jì)廟好135捐8.孟粥Compu悠terA赴ssoci悟ates嘗為企業(yè)網(wǎng)絡(luò)殲計(jì)算環(huán)境提把供全面的安念全解決方案平草137屈計(jì)算機(jī)系統(tǒng)虹安全隱患寸每年我們都克要在計(jì)算機(jī)觀系統(tǒng)上花費(fèi)蜓上百萬美元正建立與管理暈信息，這些傻信息用于商貴業(yè)決策、客喂戶服務(wù)和保洗持競爭力。甲但是你知不音知道這些信恒息是否安全俊？毒簡單地用一掃張軟盤就可趙拷貝下你占相有商業(yè)先機(jī)止的信息，并涌且你可能從司不會察覺信瞎息已被偷走棕，直到競爭據(jù)對手把你的喇商業(yè)計(jì)劃作貞為他們自己寺的來宣布。劉你如何得知右怎么樣才是越足夠安全？輔不同的公司偏以它們自己舍不同的安全謠觀點(diǎn)建立了串大型計(jì)算機(jī)屈網(wǎng)絡(luò)，并且旅經(jīng)常連接到組網(wǎng)絡(luò)上工作汽。這樣不同酷的信息安全放需求，導(dǎo)致酬確保一個(gè)真旬正安全的、舍可審計(jì)的系蹲統(tǒng)非常困難碎。硬因特網(wǎng)上電商子商業(yè)的導(dǎo)勿入，提高了恐企業(yè)加緊保拍護(hù)他們數(shù)字壺資源信息安蔬全的需求。張目前，計(jì)算調(diào)機(jī)系統(tǒng)和信抱息安全問題仙是IT業(yè)最劫為關(guān)心和關(guān)缸注的焦點(diǎn)之君一。據(jù)IC忌SA統(tǒng)計(jì)，巾有11％的嗽安全問題導(dǎo)皺致網(wǎng)絡(luò)數(shù)據(jù)逗被破壞，1堤4％導(dǎo)致數(shù)際據(jù)失密，1瞇5％的攻擊悶來自系統(tǒng)外圣部，來自系書統(tǒng)內(nèi)部的安茶全威脅高達(dá)臂60％。由粉于受到內(nèi)部咽心懷不滿的惱職工安放的旺程序炸彈侵曉害，Ome巖gaEn暈ginee客ring公擾司蒙受了價(jià)呆值900萬敞美元的銷售動收入和合同魚損失，由于尸受到來自網(wǎng)瞞絡(luò)的侵襲，竄Citib滿ank銀行腦被竊了10贏00萬美元墓，后來他們鵲雖然追回了壽750萬美權(quán)元損失，但機(jī)卻因此失去段了7％的重墊要客戶，其蓬聲譽(yù)受到了各沉重打擊。粒這只是人們盜知道的兩個(gè)涉因安全問題策造成巨大損獻(xiàn)失的例子，洪實(shí)際上，更師多的安全入秀侵事件沒有勉報(bào)告。據(jù)美殼國聯(lián)邦調(diào)查偏局估計(jì)，僅壩有7％的入斬侵事件被報(bào)乒告了，而澳胖大利亞聯(lián)邦達(dá)警察局則認(rèn)烏為這個(gè)數(shù)字權(quán)只有5％。少因?yàn)樵S多入脂侵根本沒有貴被檢測到，墊還有一些受馬到侵襲的企超業(yè)由于害怕跨失去客戶的玩信任而沒有施報(bào)告。透那么，為什彎么當(dāng)今信息管系統(tǒng)中存在沾如此之多的碗安全隱患，繞安全問題如煩此突出呢？翅這是與計(jì)算師機(jī)系統(tǒng)的發(fā)強(qiáng)展、當(dāng)今流修行系統(tǒng)的設(shè)捉計(jì)思路、當(dāng)陽前IT系統(tǒng)差的使用狀況泊緊密相關(guān)的王。下面，我獸們從以下幾此個(gè)方面簡要芒論述。圍從計(jì)算機(jī)系浙統(tǒng)的發(fā)展看灰安全問題居安全問題如旁此突出和嚴(yán)券重是與IT殘技術(shù)和環(huán)境糟的發(fā)展分不蜘開的。早期透的業(yè)務(wù)系統(tǒng)消是局限于大擊型主機(jī)上的澇集中式應(yīng)用右，與外界聯(lián)累系較少，能免夠接觸和使警用系統(tǒng)的人助員也很少，膽系統(tǒng)安全隱炕患尚不明顯蜜?，F(xiàn)在業(yè)務(wù)所系統(tǒng)大多是悲基于客戶/券服務(wù)器模式姜和Inte組rnet/列Intra拼net網(wǎng)絡(luò)窮計(jì)算模式的租分布式應(yīng)用低，用戶、程這序和數(shù)據(jù)可障能分布在世獵界的各個(gè)角慎落，給系統(tǒng)鼓的安全管理越造成了很大怕困難。早期肺的網(wǎng)絡(luò)大多怖限于企業(yè)內(nèi)輔部，與外界躲的物理連接秩很少，對于爬外部入侵的河防范較為容靜易，現(xiàn)在，岔網(wǎng)絡(luò)已發(fā)展怒到全球一體蟲化的Int洲ernet腹，每個(gè)企業(yè)榮的Intr狹anet都癥會有許多與逆外部連接的杰鏈路，如通拐過專線連入辣Inter溉net，提友供遠(yuǎn)程接入筒服務(wù)供業(yè)務(wù)全伙伴和出差蛾員工訪問等津等。在這樣蹲一個(gè)分布式孔應(yīng)用的環(huán)境蹄中，企業(yè)的弊數(shù)據(jù)庫服務(wù)脆器、電子郵攜件服務(wù)器、鋒WWW服務(wù)籌器、文件服桶務(wù)器、應(yīng)用女服務(wù)器等等仆每一個(gè)都是覽一個(gè)供人出償入的奶“析門戶岸”要，只要有一櫻個(gè)稱“創(chuàng)門戶回”禿沒有完全保喪護(hù)好－忘了鑼上鎖或不很濤牢固，濁“累黑客哲”即就會通過這田道門進(jìn)入系練統(tǒng)，竊取或獸破壞所有系典統(tǒng)資源。隨范著系統(tǒng)和網(wǎng)牲絡(luò)的不斷開清放，供黑客龜攻擊系統(tǒng)的貓簡單易用的盆“頸黑客工具距”化和患“編黑客程序（瘡BO程序）劉”督不斷出現(xiàn)，匹一個(gè)人不必脈掌握很高深奪的計(jì)算機(jī)技遼術(shù)就可以成圍為黑客，黑碧客的平均年醫(yī)齡越來越小督，現(xiàn)在是1貼4－16歲喘。貫從計(jì)算機(jī)系牽統(tǒng)的特點(diǎn)看會安全問題光在現(xiàn)代典型撕的計(jì)算機(jī)系拌統(tǒng)中，大都楊采用TCP閃/IP作為廈主要的網(wǎng)絡(luò)庸通訊協(xié)議，糖主要服務(wù)器際為UNIX基或Wind料owsN愛T操作系統(tǒng)窗。眾所周知帥，TCP/糞IP和UN嚇I(yè)X都是以復(fù)開放性著稱詢的。系統(tǒng)之塵間易于互聯(lián)群和共享信息診的設(shè)計(jì)思路撐貫穿與系統(tǒng)極的方方面面索，對訪問控丈制、用戶驗(yàn)貪證授權(quán)、實(shí)愧時(shí)和事后審視計(jì)等安全內(nèi)戚容考慮較少縣，只實(shí)現(xiàn)了床基本安全控論制功能，實(shí)勞現(xiàn)時(shí)還存在猛一些這樣那踐樣的漏洞。絡(luò)TCP/I鳥P的結(jié)構(gòu)與汽基于專用主殲機(jī)(如IB稀MES/伯9000、籍AS/40倘0)和網(wǎng)絡(luò)凝(如SNA件網(wǎng)絡(luò))的體徹系結(jié)構(gòu)相比壯，靈活性、頁易用性、開鴉發(fā)性都很好瞇，但是，在白安全性方面爹卻存在很多徐隱患。TC帽P/IP的溝網(wǎng)絡(luò)結(jié)構(gòu)沒伶有集中的控喜制，每個(gè)節(jié)棄點(diǎn)的地址由丹自己配置，推節(jié)點(diǎn)之間的袋路由可任意寨改變。服務(wù)翅器很難驗(yàn)證襖某客戶機(jī)的蚊真實(shí)性。I微P協(xié)議是一偷種無連接的罷通訊協(xié)議，拐無安全控制屑機(jī)制，存在土各種各樣的信攻擊手段。便實(shí)際上，從兆TCP/I幣P的網(wǎng)絡(luò)層萌，人們很難犬區(qū)分合法信烘息流和入侵域數(shù)據(jù)，Do等S(Den浴ialo久fSer犬vices笨，拒絕服務(wù)勻)就是其中況明顯的例子陵。暢UNIX操喂作系統(tǒng)更是路以開放性著季稱的，在安希全性方面存井在許多缺限頓。我們知道摸，在用戶認(rèn)立證和授權(quán)管緒理方面，U追NIX操作紀(jì)系統(tǒng)對用戶裕登錄的管理徑是靠用戶名恭和口令實(shí)現(xiàn)校的，一個(gè)用槽戶可以沒有富口令(使用往空的口令)撐，也可以使利用非常簡單戒易猜的詞如閉用戶名、用琴戶姓名、生拾日、單位名辟稱等作為口捧令(實(shí)際上礎(chǔ)，大多數(shù)人籮都是這么用臭的)；一個(gè)夠人只要擁有胡了合法的用始戶名和口令汗，就可以在約任意時(shí)間、譯從任意地點(diǎn)注進(jìn)入系統(tǒng)，零同時(shí)登錄的語進(jìn)程數(shù)也沒殲有限制，這炒些都是安全塔上的隱患。遣雖然有的系放統(tǒng)對上述內(nèi)維容有一定程劈度的限制措究施，但也需四要復(fù)雜的配揚(yáng)置過程，不敘同系統(tǒng)上配能置方法也很棵不一致，實(shí)屈際上無法全臥面有效地實(shí)萬施。疲在對資源的悔訪問控制管爆理方面，U龍NIX只有疤讀、寫和執(zhí)糊行三種權(quán)限櫻，無法對文志件進(jìn)行更為礦細(xì)致的控制猾。用戶可以悠寫某個(gè)文件臘，就能刪除歌它。而在許睜多應(yīng)用的環(huán)蓄境下，我們標(biāo)是希望某些獅用戶只能U諒pdate折文件，不能魔刪除它的。類如果對文件肺的控制權(quán)限沾擴(kuò)展到讀、活寫、增加、恭刪除、創(chuàng)建火、執(zhí)行等多憶種，就可以額防止惡意或截?zé)o意的破壞街發(fā)生。職UNIX還胃缺乏完善有澆效的跟蹤審由計(jì)能力。如火一個(gè)用戶企茫圖多次訪問絕某敏感資源傷時(shí)，系統(tǒng)無邁法采取強(qiáng)有棗力的措施處織置，管理員客也很難發(fā)現(xiàn)律。這種情況繼下，如果能柄及時(shí)迅速地融通知安全管父理員，能把口該用戶趕出慈(logo棚ut)操作注系統(tǒng)，甚至岡封死該帳戶春，使其無法魂繼續(xù)登錄，舍無疑會大大舅加強(qiáng)系統(tǒng)的布安全性?？崃硗猓煌盏腢NIX奧及UNIX觀的不同版本乖在實(shí)現(xiàn)的過效程中都會有傻這樣那樣的斃BUG，其宇中許多BU終G是與安全廈有關(guān)的。8奪0年代中期耍，Inte哄rnet上笛流行的著名為“揀蠕蟲沖”爹病毒事件就后是由UNI青X系統(tǒng)的安浸全BUG造坊成的。廠商辦在發(fā)現(xiàn)并修布正BUG后對會把PAT修CH放在其恒公司站點(diǎn)上庫供用戶下載道和安裝，但談許多用戶沒吹有技術(shù)能力排和精力理解擱、跟蹤這些墊PATCH案并及時(shí)安裝捎。有的UN當(dāng)IX操作系辱統(tǒng)雖然能夠捧達(dá)到較高的瀉安全級別，醫(yī)但在缺省安織裝和配置中旁一般采用較患低的安全控偶制，需要進(jìn)余行許多配置秘過程才能達(dá)距到較高的安飾全級別。由芽于水平和精患力所限，一聲般用戶環(huán)境食中很難完成泉這樣精確的嶺安全配置，副經(jīng)常存在錯(cuò)狐誤的配置，妻導(dǎo)致安全問墨題。更為嚴(yán)押重的是，一譯臺UNIX湖服務(wù)器上經(jīng)倍常要安裝很北多商業(yè)應(yīng)用修軟件，這些搬軟件大多以湊root用失戶運(yùn)行。而屈這些軟件往拼往存在一些語安全漏洞或毀錯(cuò)誤的安全肆配置，從而陵導(dǎo)致roo傅t權(quán)限被人鄉(xiāng)竊取。所以酸，我們需要帶一種系統(tǒng)掃該描工具，定滅期檢查系統(tǒng)集中與安全有游關(guān)的軟件、遼資源、PA荒TCH的情淡況，發(fā)現(xiàn)問滲題及時(shí)報(bào)告恒并給出解決須建議。才能測使系統(tǒng)經(jīng)常生處于安全的刃狀態(tài)。嘴信息系統(tǒng)安腔全管理需求夠分析寨從以上的論蠅述可以看出灰，現(xiàn)代計(jì)算浩機(jī)網(wǎng)絡(luò)系統(tǒng)棗的安全隱患核隱藏在系統(tǒng)旋的各個(gè)角落池，系統(tǒng)的總步體安全級別齡就象裝在木深筒中的水，勤木筒裝水的煙多少決定于掉最矮的木板競，系統(tǒng)安全麗級別的高低磚取決于系統(tǒng)祝安全管理最雞薄弱的環(huán)節(jié)薄。要加強(qiáng)系播統(tǒng)的總體安亭全級別，猴不是安裝一怕個(gè)產(chǎn)品或幾文個(gè)功能單一縣的工具就能嗽實(shí)現(xiàn)的，欺必須從網(wǎng)絡(luò)錄、計(jì)算機(jī)操遞作系統(tǒng)、應(yīng)拳用業(yè)務(wù)系統(tǒng)豈甚至系統(tǒng)安矛全管理規(guī)范眾，使用人員皮安全意識等店各個(gè)層面統(tǒng)仁籌考慮。建信息系統(tǒng)采趣用開發(fā)系統(tǒng)嘆如UNIX張、Wind迫ows等計(jì)暴算機(jī)和TC索P/IP網(wǎng)閱絡(luò)協(xié)議，與陷外界又有各治種各樣的網(wǎng)及絡(luò)連接，所死以需要對系看統(tǒng)進(jìn)行更為環(huán)嚴(yán)格的保護(hù)昌，防止非法祝的入侵。億另外，來自勞內(nèi)部的攻擊卻也不容忽視拉。現(xiàn)代社會戶是一個(gè)充滿翻誘惑的社會笑，僅通過規(guī)鬧章制度或思熱想教育等工濱作防止內(nèi)部狀人員作案是刻不夠的。內(nèi)滾部工作人員柜的違規(guī)行為手的案例也不求是沒有的。瀉所以，必須揉采取一些技炕術(shù)手段，加體強(qiáng)對計(jì)算機(jī)瘋系統(tǒng)的用戶練、資源的安寇全保護(hù)，防賭止無關(guān)人員狡訪問敏感數(shù)畝據(jù)。聯(lián)同時(shí)，IT脫環(huán)境與行政笨建制相交叉撇，因此需要犯進(jìn)行各個(gè)部太門與其IT脈系統(tǒng)的使用創(chuàng)，維護(hù)，管范理等環(huán)節(jié)的貞審核與規(guī)范示；規(guī)范人員向分類：操作悲、更改業(yè)務(wù)饑、維護(hù)業(yè)務(wù)漂、管理系統(tǒng)秋、維護(hù)系統(tǒng)紫等；制度系腸統(tǒng)操作與訪萬問規(guī)則。館CA公司認(rèn)縮為，要保證兵信息系統(tǒng)的慌安全，提升傘整體安全級呀別，需要從而網(wǎng)絡(luò)、服務(wù)嘗器操作系統(tǒng)序、用戶、各敵種應(yīng)用系統(tǒng)螺、業(yè)務(wù)數(shù)據(jù)蝕以及應(yīng)用模錄式等各個(gè)方聞面統(tǒng)籌考慮挨。信息系統(tǒng)污的安全防護(hù)坊需要與實(shí)際姑應(yīng)用環(huán)境，苦工作業(yè)務(wù)流培程以及機(jī)構(gòu)欲組織形式與映機(jī)構(gòu)進(jìn)行密絹切結(jié)合，從湯而在信息系添統(tǒng)中建立一杰個(gè)完善的安憑全體系。版網(wǎng)絡(luò)層安全扒防護(hù)吼對網(wǎng)絡(luò)進(jìn)行驚安全保護(hù)是課防治外部黑樸客入侵和內(nèi)栗部網(wǎng)絡(luò)濫用錯(cuò)和誤用的第奮一道屏障,稅而一次不經(jīng)驢意內(nèi)部撥號悟上網(wǎng)就可以淋繞過原有的毫防火墻或代膊理服務(wù)器，福并且有可能會成為系統(tǒng)入樸侵的突破口剖。我們應(yīng)該禿通過定義網(wǎng)經(jīng)絡(luò)安全規(guī)范即，明確各級司部門和人員怨對網(wǎng)絡(luò)使用生的范圍與權(quán)烤力，控制網(wǎng)謊絡(luò)與外界的暴聯(lián)接，監(jiān)測裕和防御網(wǎng)絡(luò)族入侵攻擊，歪制止非法信憐息傳輸，保拒護(hù)WEB系習(xí)統(tǒng)，保證只邊有授權(quán)許可史的通信才可住以在客戶機(jī)剝和服務(wù)器之?dāng)y間建立連接甚，而且正在慮傳輸當(dāng)中的臥數(shù)據(jù)不能被田讀取和改變跡。偷從網(wǎng)絡(luò)層進(jìn)體行安全防護(hù)低主要應(yīng)針對貸如下幾個(gè)方塞面：途網(wǎng)絡(luò)訪問控釣制稼備在網(wǎng)絡(luò)與外燭界連接處進(jìn)市行網(wǎng)絡(luò)訪問姻控制，正確飲區(qū)分外部網(wǎng)命絡(luò)用戶的身先份，區(qū)分其明是進(jìn)行查詢俊，修改還是領(lǐng)管理維護(hù)，鋤提供基于用事戶的訪問規(guī)殿則，針對不椒同的用戶和油用戶的不同蓄存取要求授辨予其不同權(quán)史限，禁止非字法用戶進(jìn)入際系統(tǒng)。網(wǎng)絡(luò)瓣訪問控制系終統(tǒng)應(yīng)該具有棍如下要求：嗽不僅能夠按嚷照來訪者的旬IP喘地址區(qū)分用馳戶，還應(yīng)該傭?qū)碓L者的析身份進(jìn)行驗(yàn)辯證害不僅支持面穿向連接的通拿訊，還要支璃持UDP等康非連接的通奔訊者不僅可以控困制用戶可訪蹄問哪些網(wǎng)絡(luò)絡(luò)資源，還應(yīng)炎該能控制允荒許訪問的日繡期和時(shí)間圍對一些復(fù)雜燒的應(yīng)用協(xié)議跪，如筍FTP愧、迷UDP按、超TFTP斧、愁Real碼麻Audio燃、羽RPC黨和旁port汁耕mappe歉r止、什Enc頁apsul倒ated匙霜TCP/I圣P惕等，采用特廉定的邏輯來困監(jiān)視和過濾察數(shù)據(jù)包。氣對于現(xiàn)有的阻各種網(wǎng)絡(luò)進(jìn)幼攻手段，提蹈供有效的安尊全保障。兇網(wǎng)絡(luò)地址翻運(yùn)譯使用微網(wǎng)絡(luò)地址翻懂譯技術(shù)，可蠻以讓稈IP凍數(shù)據(jù)包的源扭地址和目的拼地址以及螞TCP絨或玻UDP謹(jǐn)?shù)亩丝谔栐诙⑦M(jìn)出內(nèi)部網(wǎng)莫時(shí)發(fā)生改變羽，這樣可以塌屏蔽網(wǎng)絡(luò)內(nèi)日部細(xì)節(jié)，防架止外部黑客凝利用IP探黃測技術(shù)發(fā)現(xiàn)跳內(nèi)部網(wǎng)絡(luò)結(jié)械構(gòu)和服務(wù)器違真實(shí)地址，阿進(jìn)行攻擊。證系統(tǒng)安全管池理應(yīng)該在網(wǎng)接絡(luò)與外界接藥口處實(shí)現(xiàn)數(shù)垂據(jù)包的網(wǎng)絡(luò)禾地址翻譯。梅可疑網(wǎng)絡(luò)活燦動的檢測標(biāo)射我們知道，思帶有牲Activ您eX睛、普J(rèn)ava炭、Java拐Scrip茅t、VBS輕cript堡的WEB頁注面、電子郵杜件的附件、弊帶宏的Of鈴fice文螞檔等經(jīng)常帶碰有一些可以批執(zhí)行的程序漁，這些程序吹中很可能帶僅有計(jì)算機(jī)病最毒以及特絡(luò)遍伊木馬、B以O(shè)等黑客工墓具，具有潛滋在的危險(xiǎn)性鹽。網(wǎng)絡(luò)安全龍管理應(yīng)該能危夠?qū)@些可獲疑目標(biāo)(包勿括通過祖SSL補(bǔ)協(xié)議或者加淡密傳輸?shù)目蓷U疑目標(biāo))進(jìn)嬌行檢測，隔未離未知應(yīng)用何，建立安全傍資源區(qū)域。膛網(wǎng)絡(luò)入侵防哥御雜羅在內(nèi)部的網(wǎng)栽絡(luò)上，也可軌能存在來自德內(nèi)部的一些斷惡意攻擊和配網(wǎng)絡(luò)誤用情肆況，甚至可噸能存在來自框外部的惡意夠入侵。安全簽防護(hù)體系應(yīng)餃該能夠監(jiān)視駁內(nèi)部關(guān)鍵的趟網(wǎng)段，掃描桃網(wǎng)絡(luò)上的所狗有數(shù)據(jù)，檢罷測服務(wù)拒絕遲型襲擊、可墨疑活動、懷強(qiáng)惡意的名apple擦ts納、病毒等各襯種網(wǎng)絡(luò)進(jìn)攻朋手段，及時(shí)照報(bào)告管理人法員并防止這腫些攻擊手段搖到達(dá)目標(biāo)主攜機(jī)。昂系統(tǒng)級安全欠防護(hù)希如前所述，炸UNIX/叛Windo映ws操作系延統(tǒng)本身存在響許多安全漏膽洞和隱患，鞭必須加強(qiáng)這謙一級別的安父全防護(hù)，才歡能保護(hù)敏感瓜的信息資源及。居使用系統(tǒng)弱而點(diǎn)掃描傲派缺能夠定期掃角描操作系統(tǒng)顏以及數(shù)據(jù)庫刻系統(tǒng)的安全賽漏洞以及錯(cuò)驢誤配置。提濁示管理員進(jìn)辟行正確配置擇。倦加強(qiáng)操作系粗統(tǒng)用戶認(rèn)證庫授權(quán)管理選限制用戶口所令規(guī)則和長噸度，禁止用嗚戶使用簡單翻口令；強(qiáng)制兵用戶定期修工改口令。抗按照登錄時(shí)痰間、地點(diǎn)和誼登錄方式限近制用戶的登淹錄請求剩增強(qiáng)訪問控救制管理安壞全管理應(yīng)該示從如下方面迫加強(qiáng)UNI嘆X的訪問控包制機(jī)制：乓對文件的訪聞問控制除提危供讀淘(Read敘)肚，寫乏(Writ雁e)怪，執(zhí)行撞(Exec豐ute)況權(quán)限外，還澆應(yīng)該有建立折(Crea乓te)蒙，搜索越(Sear銅ch)肅，刪除嘉(Dele腫te)壘，更改（券Updat叫e),由控制素(Cont益rol)幕等權(quán)限以滿糞足復(fù)雜安全窄環(huán)境的需求傷應(yīng)該能夠限會制資產(chǎn)被訪妹問的時(shí)間和犧日期。尖(雅例如：某些帥文件只能在戰(zhàn)上班時(shí)間被悉改寫，而下嗽班時(shí)間不能寇)吵即使超級用旺戶也不應(yīng)透暢過安全屏障遮去訪問未經(jīng)雕授權(quán)的文件灑對計(jì)算機(jī)進(jìn)件程提供安全膜保護(hù)，防止殲非法用戶啟榮動或停止關(guān)決鍵進(jìn)程想控制對網(wǎng)絡(luò)桑訪問和端口瘦的訪問控制使計(jì)算機(jī)病毒授防護(hù)拖勤隨著企業(yè)I病T系統(tǒng)和網(wǎng)煩絡(luò)規(guī)模的擴(kuò)于展，信息技憐術(shù)在企業(yè)網(wǎng)炎絡(luò)中的運(yùn)用弟越來越廣泛辨深入，信息從安全問題也盜顯得越來越果緊迫。自從絲80年代計(jì)特算機(jī)病毒出搭現(xiàn)以來，已痰經(jīng)有數(shù)萬種集病毒及其變臘種出現(xiàn)，給限計(jì)算機(jī)安全姥和數(shù)據(jù)安全蔽造成了極大企的破壞。近替期出現(xiàn)的惡熄性病毒如C孩IH等甚至販能夠破壞計(jì)銜算機(jī)硬件，澆使整個(gè)計(jì)算務(wù)機(jī)癱瘓。據(jù)男NCSA統(tǒng)普計(jì)，199釣5年到19李96年，計(jì)若算機(jī)病毒的惜數(shù)量增加了尊10倍，其圓傳播途徑也倉從主要靠軟繁盤拷貝變?yōu)閴炌ㄟ^光盤、躁網(wǎng)絡(luò)、電子烈郵件、文件遮下載等多種牢方式，傳播抱速度越來越開快。據(jù)統(tǒng)計(jì)菠，99.3細(xì)%的美國公罵司都受到過潮病毒的侵襲幕，修復(fù)每次尼事故要平均寧花費(fèi)830賄0美元。如尸何保證企業(yè)節(jié)內(nèi)部網(wǎng)絡(luò)抵基御網(wǎng)絡(luò)外部里的病毒入侵梯，從而保辮障系統(tǒng)的安槳全運(yùn)行是目鄭前企業(yè)系統(tǒng)嗓管理員最為摘關(guān)心的問題槍。所以，系允統(tǒng)安全管理的應(yīng)該包括強(qiáng)稅大的計(jì)算機(jī)化病毒防護(hù)功男能。勾WEB服務(wù)徹器的專門保棄護(hù)攀錄我們應(yīng)該針勵對重要的、男最常受到攻據(jù)擊的應(yīng)用系云統(tǒng)實(shí)施特別健的保護(hù)。W穴eb服務(wù)傭器是一個(gè)單甚位直接面對暮外界的大門倡，通常也丘是最先在網(wǎng)蠶絡(luò)傷害行躺為中受到威鬧脅的環(huán)節(jié)，艇同時(shí)主頁是憶一個(gè)單位的碼形象。對于段WEB的安必全維護(hù)管理香，特別是主盼頁的維護(hù)，充修改主頁是掌一種典型的算網(wǎng)絡(luò)傷害行衫為，所以主渡頁的保護(hù)，俯及時(shí)恢復(fù)是稿對此行為的賄有效打擊。貢同時(shí)，需要庭對于斬Web籌訪問、監(jiān)控雄/溪阻塞牌/扎報(bào)警、入侵馳探測、攻擊穿探測、惡意掘apple充ts勞、惡意登Email障等在內(nèi)的安君全政策進(jìn)行慎明確規(guī)劃。敗這些政策包驅(qū)括了解其網(wǎng)芝絡(luò)利用情況篩、檢測入侵谷和可疑網(wǎng)絡(luò)棍活動時(shí)需要臟的規(guī)則。這嗓些規(guī)則可以壞非常方便地邪加以激活、末關(guān)閉或加以圈剪裁以滿足克系統(tǒng)在一般向需要之外的掌其它具體要挺求。這些規(guī)球則包括了監(jiān)琴控迷/朋阻塞具體用覽戶組、地址擇、域訪問特累定的鞋Web零站點(diǎn)、敵URL這或內(nèi)部服務(wù)望器的功能。行應(yīng)用級安全麥保護(hù)截安全管理是頓個(gè)廣泛的理礎(chǔ)念，IT環(huán)隆境中出現(xiàn)的援不安全問題乳并不是全部擦由于單純的美IT設(shè)備本漏身造成的，桂相反更多的燥問題是由于式其它非IT舉技術(shù)因素引興起的，只是喊最終通過計(jì)舉算機(jī)的載體榆實(shí)現(xiàn)而已。黑因此對于I脾T系統(tǒng)的安藥全管理，不巡應(yīng)該僅僅是證對于IT設(shè)姿備的安全保杜護(hù)，還要對病人員進(jìn)行安糟全規(guī)范化管共理。這是彌牽補(bǔ)安全漏洞勾的一個(gè)重要狗途徑。其中穿的一個(gè)關(guān)鍵醫(yī)環(huán)節(jié)是對于狗行政機(jī)制中廚人員的級別畫與權(quán)限，如托何能夠有效起、準(zhǔn)確、及傅時(shí)的體現(xiàn)在宿其日常所接守觸到的IT晚系統(tǒng)中。由船于企業(yè)信息頑系統(tǒng)本身具百有十分充分們的安全理念現(xiàn)和制度，所旬以實(shí)現(xiàn)其于殃電子化之中風(fēng)的過程非常慘關(guān)鍵，同時(shí)制能夠跟隨業(yè)夫務(wù)機(jī)構(gòu)調(diào)整通而進(jìn)行相關(guān)頓變化的及時(shí)族響應(yīng)是確保別整體信息系做統(tǒng)規(guī)范化要份素。而且集逝中的，一致叛的管理，可捆以使人力資菜源有限的實(shí)困際問題得到食一定程度的符緩解。企業(yè)叮級的用戶管經(jīng)理，用于構(gòu)鏟筑集中化的浮網(wǎng)絡(luò)用戶登隙錄管理、集宏中化的安全克策略管理的裝解決方案。侮通過該方案丹，可以實(shí)現(xiàn)凳“祖一人一個(gè)帳還號、一個(gè)口變令批”餅登錄管理模襲式。用戶只乓需一次登錄尾即可訪問網(wǎng)漠絡(luò)中各種資但源（如操作擔(dān)系統(tǒng)、電子饞郵件，數(shù)據(jù)俘庫系統(tǒng)，應(yīng)瓣用等），而額不用分別手禁工登錄這些分資源。結(jié)合莫指紋識別器職、智能卡、隨令牌卡等物被理設(shè)備，構(gòu)加成網(wǎng)絡(luò)安全使通訊、鑒定峽、審計(jì)、集炸中化的安全據(jù)策略。紅實(shí)施單一登蔬錄機(jī)制等在一個(gè)現(xiàn)實(shí)標(biāo)的大型計(jì)算伏機(jī)系統(tǒng)的運(yùn)使作過程中，斷一個(gè)IT管如理人員需要升管理多個(gè)系毫統(tǒng)、維護(hù)多淘套用戶名和期口令。例如冶，一個(gè)系統(tǒng)摘管理員可能旁要管理5臺狐UNIX主嗚機(jī)、20臺永Windo談wsNT釣服務(wù)器、維銷護(hù)上面的多尋個(gè)數(shù)據(jù)庫、拖維護(hù)電子郵險(xiǎn)件系統(tǒng)、還臭要管理多臺浴網(wǎng)絡(luò)設(shè)備等且，他需要記龍憶各個(gè)操作變系統(tǒng)、數(shù)據(jù)斜庫系統(tǒng)、應(yīng)滲用系統(tǒng)、網(wǎng)疫絡(luò)設(shè)備的用棕戶名和口令糠。其它的管發(fā)理人員和工焰作人員也是遙如此。各種陳系統(tǒng)用戶的遼口令應(yīng)該互守不相關(guān)，口示令比較長而息且沒有規(guī)律凝，在使用一三段時(shí)間后要傭改變?yōu)樾碌母怪?，這樣才據(jù)能保證統(tǒng)的搶安全。但是景，要讓一個(gè)熟人記憶許多慮長而難記又半經(jīng)常變化的肌口令是很困施難的。人們瘡?fù)鶎λS維護(hù)的所有疑系統(tǒng)都使用堂相同或相似嬸的口令，口腸令常常使用給自己或親朋鏈好友的姓名臘、生日、紀(jì)習(xí)念日等。麻“山黑客袍”慰會比較容易壓地猜出其口撓令，猜出一暢個(gè)口令，就嫂能更加容易找地猜到其它窩口令。當(dāng)系躲統(tǒng)要求用戶拉改變口令時(shí)肺，人們往往吼按照一定規(guī)利律改變，如斧數(shù)字加一、鍛字母后移一唐個(gè)等，這樣置“折黑客清”罵很容易根據(jù)首老口令猜到荒新口令。還靠有用戶喜歡噸把口令記在刪筆記本上，郵這就更容易肉失密了。以垃上這些都對車系統(tǒng)安全性醉帶來了極大聰?shù)耐{。從販規(guī)章制度上吼限制用戶上亮述行為是不刪現(xiàn)實(shí)的，只積有從技術(shù)上藍(lán)采取一定措絹施，幫助用闖戶解決記憶畫長而無規(guī)律株、易變口令爽的問題，才蹄能真正保證思系統(tǒng)的安全掛。彩因此，好的舒系統(tǒng)安全管照理架構(gòu)不但碧應(yīng)該針對網(wǎng)奉絡(luò)、計(jì)算機(jī)單、應(yīng)用等I乒T環(huán)境加強(qiáng)填安全管理，爪而且應(yīng)該能斧夠盡量減少財(cái)這種人為因火素造成的安牛全損失。應(yīng)逃該實(shí)現(xiàn)員“握一人一個(gè)帳酸號、一個(gè)口傍令迫”禍登錄管理模刃式，用戶只胳需一次登錄凍即可訪問網(wǎng)矛絡(luò)中操作系護(hù)統(tǒng)、電子郵粘件，數(shù)據(jù)庫行系統(tǒng)，應(yīng)用竿系統(tǒng)等各種晚資源。用戶范應(yīng)該可以通尋過用戶名/教口令、指紋弓識別器、智握能卡、令牌久卡等多種方距式獲得安全媽管理服務(wù)器宇的系統(tǒng)認(rèn)證侮，然后只需方在計(jì)算機(jī)的士圖形用戶界瘡面上雙擊代救表某一應(yīng)用堡的圖標(biāo)，就棕可以直接訪球問該應(yīng)用。略在此過程中含所涉及的安瓦全機(jī)制應(yīng)該邪包括口令斜PIN埋密鑰管理、愚數(shù)據(jù)加密和果數(shù)字簽名等澇技術(shù)，以最章大限度的保炸證用戶、口占令等信息的處安全。興實(shí)施統(tǒng)一的或用戶和目錄路管理機(jī)制粒隨著企業(yè)分連布式計(jì)算環(huán)鈔境的發(fā)展，曾需要管理的咐資源越來越伙多，如用戶叫、用戶組、姑計(jì)算機(jī)之間當(dāng)?shù)男湃侮P(guān)系室、不同操作杰系統(tǒng)、不同防通訊協(xié)議、恥不同的數(shù)據(jù)蘭庫系統(tǒng)、不素同的服務(wù)器彈和桌面機(jī)等征等。隨著這畢些資源的增抖加，要想安幟全有效地管挪理他們就越唐來越困難了逢。單獨(dú)地維領(lǐng)護(hù)多種目錄璃體系既費(fèi)時(shí)虎費(fèi)力，又容鏡易出錯(cuò)，還窗難以保證系橋統(tǒng)的總體安桌全性和一致甘性。管理企炎業(yè)內(nèi)部的用崇戶資源也變棗得越來越重總要和困難。城在通常的管宇理模式中，學(xué)每種系統(tǒng)都此有自己的系譽(yù)統(tǒng)管理員，藥如UNIX旱的超級用戶驢為root限、Wind琴owsN述T的管理員塌為admi沈nistr稅ator、組Sybas稿e(cuò)和MS竟SQLS待erver柳的系統(tǒng)管理妹員為sa等鄰等。IT管描理人員每天能都要和這些足繁雜的系統(tǒng)信打交道，不功同的系統(tǒng)管覺理員在管理調(diào)這些用戶時(shí)柄，就有可能潛采用不同的閃用戶名，不濃同的管理策駛略，以適應(yīng)狐各類系統(tǒng)的欣需要。蹦好的安全管等理模式應(yīng)該逮幫助用戶解乒決上述問題蕩，允許用戶首在單一的界巧面中管理不怨同系統(tǒng)的用綠戶和目錄結(jié)陜構(gòu)，可以同歇時(shí)在多個(gè)不細(xì)同的操作系見統(tǒng)平臺上創(chuàng)于建、修改和捷刪除用戶，白提供跨平臺輝的用戶策略屑一致性管理晴?？梢詫?shí)施牛基于策略的始管理以確保泉系統(tǒng)安全，紡可以減少I劈T管理人員疏管理目錄和凱用戶的時(shí)間課和精力，可包以隱藏不同淡操作系統(tǒng)的叼差異。嘉做類似工作邁的所有用戶日可能需要類李似的安全權(quán)者限，安全管青理應(yīng)該提供購角色的概念憶，可以將不最同平臺上有固類似安全權(quán)嘩限需求的用警戶規(guī)劃成組漿，將用戶帳是號歸為角色深的概念之下尾，用戶可以揭對同一角色北的用戶進(jìn)行雄相同的管理頓，不管這些墻用戶是屬于義那個(gè)平臺、眨從事何種功考能，使得管債理員可迅速幟地在企業(yè)內(nèi)源不同操作系飾統(tǒng)下迅速地來創(chuàng)建所需的帥用戶帳號。踐Compu叔terA脈ssoci儉ates址安全解決方勒案安全之道誕COMPU盞TERA快SSOCI金ATES抗半致力于為整直個(gè)生IT爸系統(tǒng)提供風(fēng)化險(xiǎn)管理的全橋面安全方案不以幫助客戶關(guān)保護(hù)其珍貴間的信息財(cái)富餓。該方案的蘋戰(zhàn)略主導(dǎo)是維以企業(yè)整體施為核心，同糕時(shí)使用公共朝的服務(wù)和標(biāo)款準(zhǔn)并可與其添他供應(yīng)商的探解決方案相高集成。庫COMPU音TERA天SSOCI逆A繞TES星安全方案的駕名稱就是e裁Trust券。稱COMPU撲TERA照SSOCI合ATES繭全的解決方案膀是提供一個(gè)忠企業(yè)級安全含管理方案，怎以解決戀IT球基礎(chǔ)設(shè)施內(nèi)嘆各個(gè)領(lǐng)域的洗問題，援COMPU道TERA裳SSOCI跡ATES紀(jì)明確了以下爽的這些安全態(tài)領(lǐng)域鬼:1.網(wǎng)絡(luò)興2.憑服務(wù)器3.用戶眨4.斥應(yīng)用程序與朋服務(wù)5.數(shù)據(jù)慢由于各項(xiàng)安遞全技術(shù)所涉狡及的底層技幅術(shù)各不相同瀉，呆規(guī)用來保護(hù)每冶一安全領(lǐng)域貫機(jī)制也有所伴不同，抵COMPU動TERA奮SSOCI煤ATES遲確定了如下磁的機(jī)制盡:號領(lǐng)旺濁旺域餓安全機(jī)制虛網(wǎng)絡(luò)安全崖訪問控制繼入侵探測流安全通信插服務(wù)器和工灶作站安全嗽防病毒膀訪問控制冰政策審查喇風(fēng)險(xiǎn)評估況入侵探測槍用戶安全脅身份驗(yàn)證循單點(diǎn)注冊誦帳戶管理殿應(yīng)用程序和歐服務(wù)安全陷授權(quán)改口令控制縫數(shù)據(jù)安全檢保密性間完整性網(wǎng)絡(luò)安全席網(wǎng)絡(luò)安全關(guān)某系到什么人孤和什么內(nèi)容集具有訪問權(quán)獨(dú)，查明任何劈非法訪問或催偶然訪問的虜入侵者，保菜證只有授權(quán)托許可的通信膊才可以在客方戶機(jī)和服務(wù)旬器之間建立醒連接，而且儲正在傳輸當(dāng)腹中的數(shù)據(jù)不油能被讀取和福改變。服務(wù)器安全稿保護(hù)服務(wù)器傍--侮主機(jī)，分布揪式系統(tǒng)的服砍務(wù)器和用戶佩工作站燕—姐需要控制誰志能訪問它們遵或訪問者可郵以干些什么淡;坊防止病毒和海特洛伊木馬媽的侵入辨;閑檢測有意或經(jīng)偶然闖入系僻統(tǒng)的不速之嬌客右;隆風(fēng)險(xiǎn)評估被麥用來檢查系緣統(tǒng)安全配置烤的缺陷，發(fā)賺現(xiàn)安全漏洞與;會政策審查則蝕用來監(jiān)視系茅統(tǒng)是否嚴(yán)格守執(zhí)行了規(guī)定杏的安全政策攝。用戶安全叨用戶賬戶是尼通向系統(tǒng)內(nèi)坑所有資源的藏訪問關(guān)口。穴管理這些帳憐戶，在用戶最獲得訪問特聲權(quán)時(shí)設(shè)置用慌戶功能蒼，洋或在他們的蜘訪問特權(quán)不遇再有效時(shí)限倘制用戶帳戶幟是安全的關(guān)得鍵。身份驗(yàn)歡證用來確保美用戶的登錄氏身份與其真策實(shí)身份相符斜，并對其提醬供單點(diǎn)注冊鹽，驚誠以解決多個(gè)悔口令的問題舟。胸應(yīng)用程序和陣服務(wù)安全旬大多數(shù)應(yīng)用寒程序和服務(wù)貴都是靠口令嘆保護(hù)的，加圈強(qiáng)口令變化堆是安全方案神中必不可少煎的手段，辟喊而授權(quán)則是服用來規(guī)定用齒戶或資源對路系統(tǒng)的訪問樹權(quán)限。數(shù)據(jù)安全行數(shù)據(jù)保密性顧可以保證非宴法或好奇者穿無法閱讀它魄，不論是在茶儲存狀態(tài)還負(fù)是在傳遞當(dāng)短中。數(shù)據(jù)完蓬整性是指防圍止非法或偶反然的數(shù)據(jù)改坊動。院e寇Trust摸COMPU迫TERA滔SSOCI鏟ATES素的安全方案莖直接針對上魂述模型中所烤有關(guān)鍵的安栗全領(lǐng)域，而關(guān)且是目前業(yè)迷界一種最為鋤全面有效的樹解決方案。爛。細(xì)贈COMPU賽TERA辭SSOCI盯ATES暴的安全方案深被命名為e驚Trust將.晴CA的eT黃rust解茅決方案是建灑立在一個(gè)開莊放的、標(biāo)準(zhǔn)元的安全基礎(chǔ)狀框架之上，嗚它包括：樂良eTrus截tInt設(shè)rusio損nDet桐ectio潤n橫—冷智能型網(wǎng)絡(luò)吼審計(jì)監(jiān)控，朱入侵探測，邊通過積極主礦動的防護(hù)先以免造成破膠壞；姨eTrus怎tAcc諒essC獨(dú)ontro壇l隙—墻跨分布式企不業(yè)，基于策軋略的授權(quán)與平訪問控制；角聾eTrus住tSin怠gleS絨ign-o端n惱—傷針對應(yīng)用程玩序和數(shù)據(jù)庫心的跨分布式口企業(yè)，包括盾跨萬維網(wǎng)的炸單次簽名；違刊eTrus梁tAdm綱in涌—即跨異構(gòu)企業(yè)喇目錄與名稱削的用戶與資皂源管理；類eTrus煩tPol拼icyC惕ompli幣ance黨—息企業(yè)范圍安陶全策略分析部，包括通過詢eTrus撐tAdm落in和eT忍rust柄Acce半ssCo懼ntrol充的自動更正踩措施；填eTrus摧t丹O持CSPro綿,eTr貨ustP稀KI笨—渾證書與公鑰典管理，基于使政策安全的比基礎(chǔ)框架；伸晃eTrus譽(yù)tVPN宿—轉(zhuǎn)具有授權(quán)與別鑒定功能的怎可靠的虛擬添專用網(wǎng)絡(luò)；咐饑eTrus疼tEnc稠rypti榴on彎—原單一化的端金到端安全通口訊；閱eTrus黨tFir菌ewall籠—欠對網(wǎng)絡(luò)進(jìn)行西迅速、高效濤、同時(shí)具有到可管理性的您互聯(lián)網(wǎng)防護(hù)坊；暫eTrus訓(xùn)tAnt錯(cuò)iviru玩s裂—勝通過集中策煎略管理對從臥互聯(lián)網(wǎng)網(wǎng)關(guān)冠到本地桌面葉機(jī)實(shí)現(xiàn)全面宋病毒防護(hù)；岡伶eTrus雪tCon償tent宣Inspe飯ction旬—尊基于策略的俯智能型互聯(lián)褲網(wǎng)防護(hù)，在落網(wǎng)關(guān)和桌面濤機(jī)防止包括財(cái)Java和穩(wěn)Activ混eX在內(nèi)的菠惡意代碼；炒袋eTrus常tAud浩it蛙—不跨整個(gè)安全綱套件的集中假式審核；攏eTrus組tDes鐮ktop隆Secur起ity共—巾完善的桌面檢安全防護(hù)，什防止未知的研惡意代碼與疤病毒損害；積才eTrus鋪tDir絲ector纖y云—謎符合X.5嘉00標(biāo)準(zhǔn)和擊具有容錯(cuò)性喇的企業(yè)中樞紀(jì)結(jié)構(gòu)目錄服群務(wù)器。浸游COMPU只TERA犧SSOCI雅ATES淺還設(shè)立了專壓業(yè)的服務(wù)部贈門來加強(qiáng)技聾術(shù)上的支持列與服務(wù)，驅(qū)搏為用戶提供下安全咨詢，扔足培訓(xùn)和安裝導(dǎo)實(shí)施。健憐eTrus作t網(wǎng)絡(luò)防秋護(hù)鄭eTrus永tFir忘eWall概述誕防火墻處于腹網(wǎng)絡(luò)安全體矩系中的最底眉層，屬于網(wǎng)腹絡(luò)層安全技豈術(shù)范疇。作墳為內(nèi)部網(wǎng)絡(luò)醬與外部公共聞網(wǎng)絡(luò)之間的晨第一道屏障凳，防火墻是爛最先受到人磁們重視的網(wǎng)蠻絡(luò)安全產(chǎn)品胡之一。雖然萬從理論上看蛛，防火墻處攪于網(wǎng)絡(luò)安全描的最底層，倚負(fù)責(zé)網(wǎng)絡(luò)間證的安全認(rèn)證授與傳輸，但謹(jǐn)隨著網(wǎng)絡(luò)安蠶全技術(shù)的整巴體發(fā)展和網(wǎng)績絡(luò)應(yīng)用的不俘斷變化，現(xiàn)視代防火墻技柿術(shù)已經(jīng)逐步笨走向網(wǎng)絡(luò)層重之外的其他饒安全層次，球不僅要完成慈傳統(tǒng)防火墻像的過濾任務(wù)箱，同時(shí)還能急為各種網(wǎng)絡(luò)獎應(yīng)用提供相味應(yīng)的安全服反務(wù)。慮CA公司的為eTrus佛tFir亡ewall卡是一個(gè)通過食控制網(wǎng)絡(luò)訪霧問來保護(hù)系到統(tǒng)資源的解階決方案。它班支持從小到農(nóng)只保護(hù)一個(gè)雅服務(wù)器，大載到與Uni嗎cente衡rTNG予集成管理來盆保護(hù)一個(gè)企膽業(yè)網(wǎng)絡(luò)，從籠而支持多種惡規(guī)模的網(wǎng)絡(luò)嶺資源保護(hù)。椅eTrus箏tFir監(jiān)ewall勉具有高性能營、可管理性奏、可升級性軋等特點(diǎn)，并檔且能夠提供許對網(wǎng)絡(luò)系統(tǒng)苗的全面保護(hù)黃—針對In脊terne威t或Int豐ranet來。坐“防火墻”柴是一個(gè)或一押組用于過濾為“進(jìn)、出”百網(wǎng)絡(luò)的數(shù)據(jù)堡包的系統(tǒng)。呆CA公司的溫eTrus圓tFir指ewall早也是同樣原汗理，它基于續(xù)多種標(biāo)準(zhǔn)對直數(shù)據(jù)包進(jìn)行便過濾，包括倚特定的應(yīng)用魄、網(wǎng)絡(luò)服務(wù)巡、源/目的李地址等，同警時(shí)使用單一堪的規(guī)則為整順體網(wǎng)絡(luò)提供粥一致的安全騰策略。eT鑒rust低Firew典all借助貪CA公司在壁發(fā)展企業(yè)級渡應(yīng)用的實(shí)力納與經(jīng)驗(yàn)，提廚供了真正的玻企業(yè)級的防業(yè)火墻，能夠鍛通過定制或那限制對特定吩資源（如敏用感文件或W謙eb瀏覽等里）的訪問來住幫助企業(yè)獲陷得安全保證司并在一定程達(dá)度上降低運(yùn)均行成本。限CA公司的碎eTrus美tFir每ewall料非常易于實(shí)展施，管理員村可以通過簡狀單的導(dǎo)向（勞Wizar聽d）就可以捏完成安裝與牌設(shè)置工作。樸同時(shí)它又是室十分易于管劃理的，管理嶼員可以在遠(yuǎn)克程對Fir概ewall競進(jìn)行管理、吧已設(shè)定規(guī)則現(xiàn)的測試以及破相關(guān)的更新副工作，由于逢目前eTr行ustF病irewa勺ll支持跨鄰平臺應(yīng)用，疊支持在包括積NT、So快laris披、HPUX領(lǐng)和AIX在輝內(nèi)的多種操辟作系統(tǒng)上進(jìn)脂行統(tǒng)一實(shí)施瓜與管理，因懇此使對大型結(jié)的網(wǎng)絡(luò)實(shí)施絕有效的管理續(xù)與監(jiān)控成為鉤可能。柿結(jié)構(gòu)與工作潮原理產(chǎn)品的結(jié)構(gòu)凳eTrus撓tFir梢ewall磁是由以下幾勉個(gè)主要模塊危（Admi通nser滿ver，a探dmin催clien復(fù)t，fir鍋ewall贈engi穩(wěn)ne）共同蹦工作來提供竹對網(wǎng)絡(luò)的安傅全保護(hù)的。漫eTrus評tFir氧ewall邊Admi允nSer晝ver—A阻dmin勸Serve迫r存儲著獲所有的防火傲墻策略，并櫻接收各種報(bào)慘警信息，對銜其進(jìn)行處理漢。在企業(yè)版姥中，一個(gè)a齒dmin愁serve膊r可以管理皺多個(gè)運(yùn)行在痕不同平臺上自的防火墻引志擎（fir辰ewall累engi然ne）。通悲過共享的f轟irewa向llad尊min，管訓(xùn)理員可以在靜多個(gè)防火墻鞭上定義通用述的策略規(guī)則見。Admi膠nSer采ver同樣什提供對試圖逮訪問防火墻靜或?qū)Ψ阑饓蔬M(jìn)行管理操販作的用戶身拜份的認(rèn)證。斥eTrus什tFir索ewall環(huán)Admi類nCli闊ent—A著dmin鑒Clien辨t是Adm巨inSe膠rver的攔用戶接口。售在企業(yè)版F買irewa霜ll中，可乎以支持多個(gè)袋Admin猴Clie獅nt的安裝功，管理員可恭以在多個(gè)控雕制臺上遠(yuǎn)程盾管理防火墻背的設(shè)置。厘e(cuò)Trus錫tFir徐ewall提Engi辜ne—Fi孟rewal宅lEng趕ine負(fù)責(zé)條按照事先定線制的安全策烏略對網(wǎng)絡(luò)中蓬的數(shù)據(jù)包進(jìn)積行檢測過濾膛。它由ke涌rnel丈mode模庫塊和use斤rmod間e模塊組成妙。Kern橫elmo過de模塊檢徹測并過濾所卻有的IP數(shù)貌據(jù)包，us頌ermo較de模塊則替負(fù)責(zé)控制、盯監(jiān)視并支持幣kerne匯lmod榮e模塊的任前何操作。擇另外eTr趴ustF椅irewa沾ll還有兩稱個(gè)模塊用于鳳用戶身份認(rèn)簽證：郵eTrus棚tFir泄ewall班User尤Clie溪nt和eT購rust務(wù)Firew紫allL逝ogin兔Agent螞eTrus滅tFir膊ewall綱的工作原理爺?shù)湫偷姆阑饟靿Π酚蓱┦椒阑饓?、提Proxy陵防火墻和狀卷態(tài)包過濾式被防火墻。肥路由式防火櫻墻（Pac環(huán)ketF親ilter瓣Rout習(xí)er）--徒防火墻會在室數(shù)據(jù)處于網(wǎng)例絡(luò)層被路由擊時(shí)檢測數(shù)據(jù)櫻包，通過設(shè)扔定好的規(guī)則手決定允許其哲通過或?qū)⑵涮фi定。通常逆情況下，如段果在規(guī)則中座沒有明確一諒個(gè)特定的數(shù)針據(jù)包是否能未夠被通過，袍則在實(shí)際檢念測中遇到這暈種類型數(shù)據(jù)延包時(shí)會將其隙拋棄掉。冶路由式防火紋墻的缺點(diǎn)在恐于：對用戶夾不能察覺，央過濾的判斷蕩僅取決于對幫數(shù)據(jù)包內(nèi)的縱部分?jǐn)?shù)據(jù)，尚主要是IP換報(bào)頭的數(shù)據(jù)銜，對其它相罵關(guān)信息沒有灘能力做出判相斷；沒有針零對應(yīng)用的過悔濾，過濾器況只根據(jù)數(shù)據(jù)終報(bào)頭進(jìn)行判沃?jǐn)?，不涉及疼?shù)據(jù)內(nèi)容；肆無連接的可豈見性，在防櫻火墻的過濾過規(guī)則中沒有廟網(wǎng)絡(luò)連接的鉆相關(guān)概念，巷不能根據(jù)通黨過網(wǎng)絡(luò)傳輸政的信息的俗連貫鴨性來做出判棒斷；沒有對慘Datag因ram數(shù)據(jù)竟包的支持，紋不能對如U僻DP、TF楊TP和RP糖C等Dat保agram狼協(xié)議進(jìn)行過臉濾控制；缺抗少可管理的宿反饋鏈，在絕大多之?dāng)?shù)情況下，癢此類防火墻壞沒有標(biāo)準(zhǔn)的念警告、日志泄信息。仰Proxy協(xié)防火墻曲—由一系列扎代理服務(wù)進(jìn)孔程組成。每肝一個(gè)代理服曠務(wù)都是一個(gè)療運(yùn)行在網(wǎng)關(guān)挺服務(wù)器上的附應(yīng)用，對應(yīng)影一個(gè)真實(shí)的說應(yīng)用服務(wù)器壇。任何一個(gè)鐮想運(yùn)行應(yīng)用照程序的用戶節(jié)必須首先登喂錄到代理服通務(wù)器上或這傾個(gè)應(yīng)用程序場必須被設(shè)定續(xù)為支持代理棕服務(wù)的。這德樣，針對每像一個(gè)應(yīng)用的肯申請，代理洞服務(wù)器都會博進(jìn)行判斷與隙過濾。才Proxy零防火墻的缺狂點(diǎn)主要在于閉性能比較低洋，每一個(gè)包呈都需要經(jīng)過括代理應(yīng)用和貫網(wǎng)絡(luò)協(xié)議堆悶棧兩處，會握影響數(shù)據(jù)包分的通過效率槐；并不是所惹有的應(yīng)用可梳以被代理型由防火墻支持夢；另外，由昏于每一個(gè)應(yīng)電用都必須提謀供給防火墻雹唯一的代碼丈，各應(yīng)用都雷要支持代理效的服務(wù)，因險(xiǎn)此會存在運(yùn)兵行沖突和安閣全方面的限嚼制。節(jié)狀態(tài)包過濾棉（Stat抽eful耗Packe號tFil秤ter）蜘--狀態(tài)包侵過濾器在網(wǎng)名絡(luò)層對流經(jīng)豪的數(shù)據(jù)進(jìn)行欄智能地檢測獻(xiàn)。在一個(gè)T烤CP數(shù)據(jù)包謎傳輸過來時(shí)這，防火墻首季先會根據(jù)規(guī)單則檢查包的酬起始連接（插start這-of-c軋onnec蹈tion）禍部分，之后償創(chuàng)建一個(gè)連梳接，在其基楚礎(chǔ)之上建立吹應(yīng)用級的傳么輸前后順序沾關(guān)系，之后皆所有的數(shù)據(jù)桂包都會被監(jiān)咐視其狀態(tài)或犧順序關(guān)系。班根據(jù)防火墻殘收集到的數(shù)棟據(jù)包順序關(guān)鞏系，只有被齡驗(yàn)證過的數(shù)戲據(jù)包才能通份過防火墻。執(zhí)這種類型的鳴防火墻提供哨了一個(gè)較理琴想的性能與躬安全的平衡渣。eTru獸stF拌irewa顯ll采用的侮即是這種過哨濾技術(shù)。蠅eTrus怒tFir盒ewall超的核心在于捧網(wǎng)絡(luò)傳輸過奧濾模塊。它況可以控制所谷有基于In指terne低t的協(xié)議以倘及所有基于柱IP格式包榜的數(shù)據(jù)傳輸慰。IP數(shù)據(jù)盲包包含了I厭P的報(bào)頭，朝取決于正在疾傳輸?shù)纳蠈雍虆f(xié)議的類型謹(jǐn)，這個(gè)包還災(zāi)可以包括T濤CP的報(bào)頭濫、TCP的惜數(shù)據(jù)以及U遭DP的數(shù)據(jù)唯等；根據(jù)使壯用這些協(xié)議寄的應(yīng)用的具背體情況，I析P包內(nèi)也有忽可能包含應(yīng)裕用級別的報(bào)弟頭和數(shù)據(jù)。筆eTrus川tFir塞ewall列會在TCP置/IP網(wǎng)絡(luò)東層次中IP威層的前端對仔數(shù)據(jù)進(jìn)行檢而測，在被防詢火墻檢查之胖前，數(shù)據(jù)包賓最多只能到筍達(dá)IP層。籌eTrus丹tFir偶ewall冤應(yīng)用了狀態(tài)吳包過濾技術(shù)拼。從根本上們講，它是一限個(gè)IP包的能過濾器，但浩它同樣可以啦通過檢查I緒P包而獲得勇其上層協(xié)議呢和具體應(yīng)用曾的狀態(tài)信息水。這就使得日eTrus襯tFir巾ewall探可以實(shí)現(xiàn)根癢據(jù)狀態(tài)方式脖來進(jìn)行過濾奔檢查。由此扎，它能夠比帆其它包過濾巨器（如Sc昌reeni映ngRo好uters腥）更智能地權(quán)過濾IP數(shù)志據(jù)包。通過饞獲得的狀態(tài)票信息，它也毛可以根據(jù)高須層協(xié)議和網(wǎng)與絡(luò)應(yīng)用的具鳥體類型來限玻制某些數(shù)據(jù)例包的通過，湯從而達(dá)到網(wǎng)窩絡(luò)傳輸控制博的作用。狀鉛態(tài)信息數(shù)據(jù)誓同樣可以支票持eTru忠stFi鉛rewal頑l實(shí)現(xiàn)一些印復(fù)雜協(xié)議類淘型的包過濾墳，如RPC叮，Real折Audio絨等。貪由于eTr摟ustF抄irewa趴ll的規(guī)則哀只需要評估擊一個(gè)連接的至初始數(shù)據(jù)包桑狀態(tài)信息，陶因此這種狀潛態(tài)分析方式未也可以獲得習(xí)更為有效的購過濾功能。俗一旦連接被禮確認(rèn)符合規(guī)幣則，那么同皂一任務(wù)后續(xù)傻的所有數(shù)據(jù)墾包都會以一抬種動態(tài)的方別式被評估，他這樣eTr意ustF擺irewa儀ll就可以勤得到非常出狐色的高性能蒙。買eTrus楊tFir好ewall劈在數(shù)據(jù)包到桂達(dá)TCP/扔IP堆棧之宣前，檢測所雨有的包內(nèi)容略，鎖定并阻考止針對操作效系統(tǒng)上TC秘P/IP薄刺弱環(huán)節(jié)的拒攔絕訪問攻擊偷（Deni進(jìn)alof迫Serv驚ice），唉如Ping塊ofD叮eath、唇Tiny押Fragm皺enta服ttack傍s、Syn壞cFlo芳o(jì)dat訊tack等著手段。通過此阻止這些類交型的數(shù)據(jù)包招，eTru嗎stFi識rewal鄙l可以保護(hù)窗它自己所在良的服務(wù)器及附后面的各所品有計(jì)算機(jī)系廈統(tǒng)免遭DO碧S的攻擊。萄產(chǎn)品的功能赤特性銹eTrus燕tFir年ewall餓的操作對用榴戶是完全透姥明的，在安跳裝了CA公耕司的防火墻童之后，用戶賞不會注意到故操作系統(tǒng)有惡任何變化。失它在網(wǎng)絡(luò)上票實(shí)現(xiàn)了多種搏安全防護(hù)功誓能，使用最匪佳的技術(shù)使辣用戶的網(wǎng)絡(luò)蠻訪問更智能籌安全。巨eTrus叉tFir恨ewall銅的基本功能叼CA公司的終eTrus襯tFir豆ewall當(dāng)提供了強(qiáng)有據(jù)力的防火墻越通用功能：叮訪問控制蠶—eTru為stFi歷rewal論l可以限制籃Inter饒net與私慕有網(wǎng)絡(luò)之間課的訪問，通引過規(guī)則的設(shè)類定，可以阻旁斷來自In盼terne銹t的違反訪離問規(guī)則的或挺惡意攻擊的蜘數(shù)據(jù)包，確償保通過防火澆墻的數(shù)據(jù)都概是被驗(yàn)證為脹合法的。下網(wǎng)絡(luò)地址翻碑譯嶺—eTru弄stFi橡rewal唯l具備完善帳的地址翻譯圣功能，允許齒內(nèi)部網(wǎng)絡(luò)使嘩用未注冊的汗地址來訪問自外部Int促ernet態(tài)；隱藏內(nèi)部翻網(wǎng)絡(luò)真實(shí)的顯網(wǎng)絡(luò)地址。臟這樣可以防乒止黑客通過比截取分析數(shù)躺據(jù)包來獲得河內(nèi)部網(wǎng)絡(luò)地乖址信息，進(jìn)吸而分析出拓誼樸結(jié)構(gòu)。e研Trust累Fire聲wall可喝以提供表靜慎態(tài)IP地址鋒以及IP地態(tài)址池，用于凝對真實(shí)IP泡地址的翻譯村。鹿事件記錄與捆提示荷—eTru凈stFi中rewal撕l提供完備屋的日志記錄胞及告警功能即，在日志中靜記錄網(wǎng)絡(luò)流搞量、對發(fā)生決的攻擊的安綿全分析等信桂息；在發(fā)生慨對網(wǎng)絡(luò)進(jìn)行惱攻擊的事件對時(shí)，還可以侄實(shí)時(shí)地發(fā)送除警告信息給標(biāo)安全管理員丟。榆eTrus掌tFir園ewall痕的特性爹狀態(tài)包過濾晝—在前面已舞經(jīng)闡述過相萬關(guān)的過濾技甘術(shù)。eTr宋ustF慘irewa悅ll正是采勉用這種狀態(tài)隆包過濾技術(shù)撫，對流經(jīng)防該火墻的數(shù)據(jù)谷進(jìn)行分析與災(zāi)過濾操作。椅每一個(gè)數(shù)據(jù)銳包的流經(jīng)，榨意味著一個(gè)款會話連接的堂建立，eT錢rust勾Firew埋all只檢其查這個(gè)會話壁連接的初始鹿數(shù)據(jù)包，記維錄其狀態(tài)及先前后連接關(guān)瘦系的信息，餃如果經(jīng)檢查椒此會話連接螞合法，那么勝對于所有相別關(guān)后續(xù)的數(shù)販據(jù)包，防火冶墻只動態(tài)地妨檢查其狀態(tài)亂和連接關(guān)系彈，在保證系饒統(tǒng)安全的基誦礎(chǔ)之上最大廈限度地提高柄了性能。起分布式結(jié)構(gòu)亂與集中管理搶—在當(dāng)今的證網(wǎng)絡(luò)環(huán)境中鞋，需要防火錄墻能夠提供啟多種范圍的暖保護(hù)，從單列個(gè)防火墻網(wǎng)鍬關(guān)的設(shè)置到袖保護(hù)多個(gè)不層同物理網(wǎng)絡(luò)宵的多個(gè)In非terne絲t網(wǎng)關(guān)，同撕樣也應(yīng)該可敬以保護(hù)網(wǎng)絡(luò)引內(nèi)部重要的貓網(wǎng)段甚至獨(dú)菠立的關(guān)鍵主想機(jī)。eTr閉ustF攜irewa卵ll企業(yè)版停提供了對企診業(yè)級網(wǎng)絡(luò)防曾火墻分布式冊布署與管理贏的能力。網(wǎng)聞絡(luò)中的多個(gè)挖運(yùn)行在各自寒獨(dú)立的平臺情上的防火墻屢可以被統(tǒng)一產(chǎn)地管理。對炎于那些需要宏相同的安全面策略的防火傭墻，eTr籍ustF醒irewa誕ll同樣可粉以實(shí)現(xiàn)設(shè)定辭標(biāo)準(zhǔn)的策略嗚，再分發(fā)到耍一組防火墻仇上，實(shí)現(xiàn)安秀全策略的統(tǒng)瘦一。計(jì)Java妹GUI的可轉(zhuǎn)用性及多平瀉臺的支持幅—在網(wǎng)絡(luò)安圣全領(lǐng)域最大肺的問題之一聞就是防火墻各的管理。e某Trust米Fire尊wall被汪設(shè)計(jì)成為非歐常易于配置掠、易于管理紅、易于觀察谷，總之易于應(yīng)使用的。C賀A公司在這砌個(gè)產(chǎn)品中通尤過加入Ja贊va應(yīng)用從漸而提供了G漸UI接口，孟即admi溉ncli癥ent，用太以采用跨平蝦臺的方式對向防火墻進(jìn)行拐有效地管理掙。瘦支持企業(yè)級徐的瀏覽?！猠Tru嫌stFi劃rewal攝l的GUI駕接口可以通弊過區(qū)別應(yīng)用抹于Inte底rnet和己Intra日net的不施同類型，為涼網(wǎng)絡(luò)中的防影火墻進(jìn)行分翼組。這樣，鑒當(dāng)授權(quán)的管傭理員準(zhǔn)備對粘網(wǎng)絡(luò)中的防額火墻實(shí)施管睡理時(shí)，就可鐵以選擇一個(gè)淘或一組防火先墻進(jìn)行統(tǒng)一之操作。管理抹員可以對選陵中的防火墻意進(jìn)安全策略著配置、監(jiān)視嬌會話連接情模況等，并進(jìn)鍛行多種系統(tǒng)辛管理的操作勁。所有對防慘火墻的操作恭都是可定義泰的并且高度例可視的，所房有的執(zhí)行結(jié)乘果也都明白眠可見的。扣簡易的防火帶墻網(wǎng)關(guān)配置禮—在應(yīng)用防莊火墻之前，御它的物理接殘口必須被檢提測到并被正勵確配置。管瘋理界面（a碧dmin足clien棚t）可以顯司示防火墻上息所有網(wǎng)卡的捐綁定狀態(tài)?；使芾韱T可以遷依據(jù)這個(gè)顯鑒示在圖形方胳式下將防火并墻上的網(wǎng)卡儲正確地綁定哨到相應(yīng)的網(wǎng)利段上。在圖硬形方式的操踐作中，只需鏟要用鼠標(biāo)進(jìn)爹行簡單地拖炭拽痰就可以完成妥網(wǎng)卡的綁定群工作，避免大了錯(cuò)誤的發(fā)毛生。潤方便的防火情墻規(guī)則創(chuàng)建壤—防火墻規(guī)彈則的創(chuàng)建都財(cái)是在圖形方脾式下完成的于，所有需要權(quán)的項(xiàng)目都可法以被清楚地繳定義。另外糕，防火墻提跑供了Int商ernet修Wiza晴rd（導(dǎo)向頸）來幫助管噸理員自動地斜生成規(guī)則，魄這便利所有擇的規(guī)則都可食以被非常容衡易地理解，鐮并且僅需要滑簡單的鼠標(biāo)膝點(diǎn)擊就可以濕完成其設(shè)定陷工作。祥規(guī)則的驗(yàn)證屯—為避免創(chuàng)粘建的規(guī)則有悉漏洞，eT帆rust于Firew予all的G妄UI可以實(shí)評現(xiàn)自動的規(guī)撲則潛在問題閣檢查。有缺仰陷的規(guī)則可水能會帶來不讀必要的性能非損失，也可嚇能會形成防咽火墻的漏洞鑄。自動檢查堵功能則是一倍個(gè)用來檢測腿安全規(guī)則缺任陷的實(shí)用的笛工具。艇防火墻安全縮規(guī)則的測試存—在eTr脹ustF腎irewa奉ll提供了暴一個(gè)訪問分班析器，用來半測試安全規(guī)水則對數(shù)據(jù)傳殺輸?shù)挠绊懸匝偶澳囊粭l規(guī)拆則負(fù)責(zé)對此呆類傳輸進(jìn)行愉過濾檢查。形通過測試，莫管理員可以騙在提交一條寺安全規(guī)則之者前確定其內(nèi)虛容是否與自設(shè)己所希望的慨結(jié)果一致。討連接的監(jiān)控河—對防火墻抗管理的重要蹦內(nèi)容之一就草是需要知道股任一時(shí)刻防戒火墻的工作怪情況。eT何rust街Firew供all在A韻dmin測Clien畜tGUI脹中提供了很潑多種瀏覽方那式來觀察防貫火墻的操作蝴以及數(shù)據(jù)傳蟲輸?shù)幕顒印Ｃ⑼ㄟ^瀏覽器系，管理員可媽以看到經(jīng)過遭防火墻的傳收輸會話的實(shí)相時(shí)連接情況喜，近期內(nèi)被評拒絕通過的呼傳輸?shù)南嚓P(guān)哈信息。另外雕，在Log姑日志中還可文以得到防火種墻管理員的授登錄情況以蔑及最新實(shí)施元的安全策略粥信息。這樣屠，幾乎所有論在防火墻上站發(fā)生的事件野都可以被記書錄并被審計(jì)錘。間防火墻的活華動報(bào)告茫—在實(shí)時(shí)監(jiān)眾控的基礎(chǔ)上暑，所有的網(wǎng)救絡(luò)傳輸進(jìn)程約也可以被報(bào)上告機(jī)制記錄斧下來，所記叨錄的內(nèi)容也撕是可以被設(shè)塊置的。管理伏員同樣也可計(jì)以設(shè)置將所休收集上來的稻信息保持多仁長時(shí)間以及總記錄文件的敵最大尺寸等澇。根據(jù)所收者集的報(bào)告類李型不同，管便理員可以獲耽得諸如成功惑的會話連接描、被拒絕的灘會話連接、深數(shù)據(jù)傳輸?shù)念A(yù)分發(fā)等信息借，報(bào)告的內(nèi)丑容也可以被醉定制為根據(jù)是時(shí)期、源或索目的地址及娘數(shù)據(jù)傳輸類避型等進(jìn)行匯陪報(bào)。圓Inter汗net和I輝ntran暢et部署帶—eTru啞stFi話rewal朗l既可以被板布置在內(nèi)部望網(wǎng)與Int匯ernet榴接口處，也禾可以被布置概在內(nèi)部網(wǎng)絡(luò)跪中不同的網(wǎng)芬段之間，甚偵至還可以布記置去保護(hù)單驚獨(dú)的一臺服馬務(wù)器。在I索ntern久et方式下匯，防火墻通廣過狀態(tài)包過如濾技術(shù)和地年址翻譯技術(shù)膊等對內(nèi)部私啞有網(wǎng)絡(luò)進(jìn)行蔬有效保護(hù)，莖同時(shí)提供D耳MZ（非軍債事區(qū)），通毀常對Web馳服務(wù)器等資宮源進(jìn)行保護(hù)剝；在Int求ranet薪方式下，e千Trust困Fire姓wall可俱以被設(shè)置為猴網(wǎng)絡(luò)型的防梨火墻，同I巧ntern遣et方式一缺樣通過設(shè)置臥安全策略規(guī)權(quán)則來保護(hù)敏丟感的重要網(wǎng)圈段；特殊情游況下，eT眨rust軌Firew戰(zhàn)all可以吃被安裝在一搞臺服務(wù)器上太用以過濾所抬有對其訪問柳的數(shù)據(jù)包，得保護(hù)該服務(wù)絮器的資源。礦eTrus冶tFir嚇ewall魄本身的安全忽方式棕—安全管理婚員若要登錄除eTrus籃tFir久ewall狼進(jìn)行管理工音作時(shí)，必須樸經(jīng)過嚴(yán)格的風(fēng)身份認(rèn)證；否在防火墻中逢也對所有可茫以登錄上來抗的帳戶進(jìn)行專相應(yīng)的權(quán)限爆設(shè)置，不同刻的帳戶在防意火墻中擁有趁不同的訪問抱權(quán)限。在企爐業(yè)環(huán)境中，遭由于可能會投擁有多個(gè)防褲火墻，它們?nèi)概c控制端的藥通信數(shù)據(jù)都斗會被Dif沙fie-H嚼ellma朋n算法進(jìn)行怨加密認(rèn)證，慰防止黑客的母監(jiān)聽以及利絹用諸如Ne晴twork巾snif監(jiān)fing、煌Man-i貸n-the泡-Midd互leat筋tack、特Dicti方onary驗(yàn)atta枯ck、Br波utef潤orce紅attac欣k、Rep唱laya搖ttack崗等方式的攻住擊。慘與Unic喚enter虹TNG的賀集成位—eTru群stFi玉rewal罩l可以與U晝nicen寬terT常NGFr焦amewo幅rk進(jìn)行緊乒密的集成。火Unice僑nter刮TNGF賺ramew尼ork的很珍多功能都可赤以被eTr炒ustF蜂irewa倆llad候mins討erver秘用來配置防業(yè)火墻的安全孩規(guī)則以及對峽防火墻的實(shí)齊時(shí)監(jiān)控，如趴TNG的日迷歷與事件控紹制管理等功只能。與TN歲GFra虹mewor反k配合使用浴，eTru昨stFi何rewal磚l可以很好館地實(shí)施基于罰Inter把net和I捆ntran壁et的安全蚊策略設(shè)定；促通過TNG暈Fram涼ework距在網(wǎng)絡(luò)中的沸自動發(fā)現(xiàn)功菜能，eTr濕ustF渡irewa窯ll也可以踢自動地發(fā)現(xiàn)晃網(wǎng)絡(luò)中的目榨標(biāo)資源，如舍主機(jī)和子網(wǎng)拆等。呀抬總之，eT賄rust象Firew醉all具備跪了強(qiáng)大的包螺過濾功能，建可以最大限欠度地與用戶偉網(wǎng)絡(luò)配合，煉為網(wǎng)絡(luò)內(nèi)的辣重要資源提向供最完善的刻保護(hù)。蘭eTrus通tCon貓tent敗Inspe番ction籮基本概念與句設(shè)計(jì)彈電子商務(wù)業(yè)砌務(wù)運(yùn)作模式散的開放性和厘全球化使得枝安全的含義宇更為廣泛，費(fèi)安全性方面姓的管理要求繡更高，所受蘋到重視的程唱度更高。而微企業(yè)比以往瓦任何時(shí)候都況更需要知道沾其合作伙伴欣的真實(shí)身份坊。客戶需要勺保證其保密價(jià)信息不會被棟暴露。超Inter猾net盆技術(shù)的開放佩性雖然有很錯(cuò)大好處，但濁也使惡人常覺常有機(jī)可乘旱，從而比以槳往更有可能坊暴露有價(jià)值火的企業(yè)信息器、關(guān)鍵性的酬商業(yè)應(yīng)用以算及公司客戶眾的各類私人逢保密信息。攔惡意的襲擊拒會侵入電子店商務(wù)站點(diǎn)，壯進(jìn)行各種可免能的破壞，堡如制造和傳浙播破壞性病飯毒或讓網(wǎng)站刃拒絕服務(wù)。示這些攻擊可裙引起服務(wù)崩累潰，保密信義息暴露，從展而最終導(dǎo)致辣公眾信心的庭喪失，電子擱商務(wù)實(shí)施的略瓦解。腦景惡意移動代裙碼眼枕當(dāng)你訪問一幅個(gè)聲譽(yù)似乎曾蠻高的網(wǎng)站液并且無意中吹下載了一個(gè)戲小程序后，鑄如果你的計(jì)揭算機(jī)的所有趣配置都已被男修改，或是慶你的數(shù)據(jù)已題被盜走饞(菌這也許更糟伐)階，當(dāng)一個(gè)你岔信任的網(wǎng)站傘證明并不值棒得信賴時(shí)，夏你又該怎么賄做呢？咱寒這種多見于遞網(wǎng)站上的移她動代碼霞(隆或移動代理鴿程序斤)替是一個(gè)通過加互聯(lián)網(wǎng)傳播傅并且可在你號的計(jì)算機(jī)上道執(zhí)行的應(yīng)用眾程序。通常清，移動代碼濁在你的碰Web稅瀏覽器上運(yùn)感行。當(dāng)你每否次瀏覽這些善網(wǎng)站時(shí)，移是動代碼就開蕉始運(yùn)行并利各用盜Activ彼eX肆、絞Java扒和啦JavaS得cript永為網(wǎng)站增色戀。事胖盡管大多數(shù)扁網(wǎng)站使用移嶺動代碼來增秩強(qiáng)實(shí)用性、幻功能性和吸功引力，但是僅黑客們卻通黨過它用惡意襯移動代碼感收染你的計(jì)算虎機(jī)，偷竊你萌的私人信息馳，甚至重新竊格式化你的銜硬盤。近默惡意的小程解序（或者腹Activ報(bào)eXco撞ntrol臂s膚）與病毒的之本質(zhì)區(qū)別是筒，它并不復(fù)氏制自己也不然是簡單地破超壞數(shù)據(jù)競(闖但它們可以縱做到合)裁，而是盜竊見數(shù)據(jù)或者使鏟系統(tǒng)癱瘓。耐如何防護(hù)元在下列情況察下你有可能缺暴露在惡意災(zāi)移動代碼下孩：狹洽瀏覽一個(gè)動飽態(tài)生成的頁乎面愧護(hù)瀏覽一個(gè)了糠解很少的網(wǎng)記站閣茅通過電子郵監(jiān)件、新聞組涼或網(wǎng)站進(jìn)行央追隨鏈接兼儲使用交互式胡表格鹿(賀它們可以調(diào)磁用卵Activ儲eXco酬ntrol疾s芝或丈JavaS虹cript桂)蒸你可以在瀏拋覽器中通過順設(shè)置瀏覽范吸圍關(guān)閉鉛Java母、乓JavaS誤cript踢和夾Activ浴eX誕。但是這樣終做會使你無監(jiān)法訪問一些拍站點(diǎn)，同時(shí)多站點(diǎn)中的一撥些特殊功能給或?qū)Ш揭矔€不起作用，升從而給你帶句來很大的不尖便。牛低如果其它人優(yōu)掌握了你計(jì)岔算機(jī)上儲存葉的財(cái)務(wù)數(shù)據(jù)斃、機(jī)密文件鐵、口令和電耳子郵件帳號隔，會發(fā)生什左么情況？或瞇者，更糟糕甲的是通過遠(yuǎn)涌程控制刪除濃了你硬盤上酷所有的數(shù)據(jù)惜，又會怎樣托？這些潛在渠威脅是你在浮網(wǎng)上沖浪時(shí)弦必須牢記在敘心的。杰作為一套基蜂于網(wǎng)關(guān)且面煉向?qū)ο蟮陌惨羧韵到y(tǒng)，既eTrus建t訊巧Conte蕉ntIn述spect期ion以可以與防火單墻等企業(yè)網(wǎng)陜絡(luò)中其他安馳全性工具共堡存并對其構(gòu)濕成補(bǔ)充。秘eTrus夏tCon棄tent集Inspe者ction妨共集成在封Inter繩net腳網(wǎng)關(guān)服務(wù)器想之，能檢測脖并保護(hù)工作戴站免遭不受躍歡迎的可下捎載文件的入罩侵。位eTrus維t警Cont洽entI泰nspec釘tion采包括預(yù)定義揉的安全性方洪案，可為您處的企業(yè)提供偉針對惡意可夫下載文件的但普通級保護(hù)衛(wèi)。這些方案誼經(jīng)過定制就笛能滿足任何瘦企業(yè)的具體糖安全性要求蝶。工作原理婚所有進(jìn)入的怒基于簡HTTP客的可下載對稀象均被網(wǎng)關(guān)蠶攔截?？梢院膶σ押灻麑锵筮M(jìn)行檢查箱并驗(yàn)證其數(shù)呀字簽名，可炕以對壓縮文趟件進(jìn)行解壓蛛縮操作，還仿可以對每個(gè)煌可執(zhí)行文件漲進(jìn)行分析并遲判定它是否蓬符合您的企壁業(yè)的安全性妹策略。然后慮，就可以相榨應(yīng)地允許這拒些對象通過妖(密即允許訪問宵網(wǎng)絡(luò)中)刮或阻擋這些晶對象街(墓即拒絕訪問麻)刊?？刂浦行拇u控制中心是曬一套中央交甩換設(shè)備，可蛾從策略管理身器接收對策京略方案的更育改并可接收轟被網(wǎng)關(guān)分析腐的有關(guān)對象決的數(shù)據(jù)。然凳后，還可將符策略方案分?jǐn)l(fā)給您的企昆業(yè)的其他網(wǎng)高關(guān)?？刂浦衅扌呐鋫淞艘怀蓚€(gè)規(guī)則數(shù)據(jù)傷庫，可存儲處安全性方案峰、審計(jì)記錄筋、以及系統(tǒng)役參數(shù)。孩控制中心用蒜戶界面可顯積示以下信息其：矛伍被所有網(wǎng)關(guān)燙所分析的最誕新對象及其運(yùn)訪問狀態(tài)緩皆。鋪辜連接到忌eTrus控tCon撓tent挑Inspe前ction陡瘡系統(tǒng)的各種邁網(wǎng)關(guān)的狀態(tài)騎(欣在用或禁用秤)苗。陸當(dāng)前系統(tǒng)管罰理活動，包飲括有關(guān)哪些票用戶已經(jīng)登帽錄到各種延eTrus樹tCon千tent應(yīng)Inspe誠ction舟赤組件的詳細(xì)縱信息。策略管理器局策略管理器速用戶界面可盯使您從一個(gè)占中央地點(diǎn)為駁您的整個(gè)企競業(yè)建立安全能性方案。您飛只需單擊一丙個(gè)按鈕，策客略管理器所固提供的多種擴(kuò)工具就能對留策略進(jìn)行修開改并將新的庸或已增補(bǔ)的暈策略分發(fā)到無您企業(yè)中的汽所有網(wǎng)關(guān)。診這樣就能保初證所有網(wǎng)關(guān)逃在所有時(shí)候會都實(shí)施最新宮的安全性方校案。摔策略管理器煉用戶界面可籍使您采用簡陣單的拖放技波術(shù)為企業(yè)設(shè)膀置安全性方細(xì)案。簽采用eTr圖ustC滅onten礙tIns霉pecti廁on的集劫中是企業(yè)級多策略控制功留能，使用者天可以在幾分棚鐘內(nèi)完成對失大型分布式榴網(wǎng)絡(luò)的保護(hù)燒。在定義了喬企業(yè)策略之棉后，它就能吐自動地將這嘩些策略分發(fā)蛇到已安裝網(wǎng)隨關(guān)。在網(wǎng)關(guān)已上，eTr昏ustC嚇onten漂tIns咐pecti個(gè)on的動腐態(tài)行為檢查溉功能就能實(shí)系施所有規(guī)則蘭。審計(jì)查看器這審計(jì)查看器維提供了一個(gè)攪活動日志記料錄，可顯示傳所有已審計(jì)寫事件以及已洞被審計(jì)的違坦反安全性的啟情況。這個(gè)崗日志記錄為剃您提供了有目關(guān)安全性系圈統(tǒng)中多種活派動的永久性孟記錄。打印沃功能可以制昌作審計(jì)查看酸器數(shù)據(jù)庫之艇內(nèi)容的硬拷右貝，供編寫扎報(bào)告和管理仗人員使用。功能擠eTrus塑tCon核tent牧Inspe滲ction驚這一綜合赤性、可擴(kuò)展搶的解決方案蟻，提供了第渡一種能保護(hù)難電子商務(wù)企利業(yè)免遭不符薦合策略的可膀執(zhí)行文件以其及來自In邊terne智t的下載鞏文件的破壞原的實(shí)時(shí)解決姐方案。eT唱rust隙Conte稍ntIn嫌spect錯(cuò)ion對所防火墻和應(yīng)選用代理服務(wù)眼器構(gòu)成補(bǔ)充貨，能檢查J命ava小扭應(yīng)用程序，零還能驗(yàn)證A姐ctive卻X插件。寬eTrus高tCon毫tent算Inspe待ction蔥是一種靈槐活的解決方種案，可令使訂用者適應(yīng)當(dāng)翅今瞬息萬變造的信息化發(fā)主展的步伐；臨可以輕松地腹對企業(yè)安全淋策略進(jìn)行定墻義和調(diào)整。謹(jǐn)網(wǎng)際安全保搶護(hù)饅諷