網(wǎng)絡(luò)依賴來源于網(wǎng)絡(luò)各種應(yīng)用范文

本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)依賴來源于網(wǎng)絡(luò)各種應(yīng)用參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。如今，Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們?cè)絹碓蕉嗟年P(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。

幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡(jiǎn)單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個(gè)網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長(zhǎng)，給網(wǎng)絡(luò)安全帶來越來越多的安全隱患。

我們可以通過很多網(wǎng)絡(luò)工具，設(shè)備和策略來保護(hù)不可信任的網(wǎng)絡(luò)。其中防火墻是運(yùn)用非常廣泛和效果最好的選擇。它可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制。絕大部分的防火墻都是放置在可信任網(wǎng)絡(luò)（Internal）和不可信任網(wǎng)絡(luò)（Internet）之間。

防火墻一般有三個(gè)特性：

A．所有的通信都經(jīng)過防火墻

B．防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量

C．防火墻能經(jīng)受的住對(duì)其本身的攻擊

我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問控制策略的路由器（Route+ACL），一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

為什么要使用防火墻？很多人都會(huì)有這個(gè)問題，也有人提出，如果把每個(gè)單獨(dú)的系統(tǒng)配置好，其實(shí)也能經(jīng)受住攻擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認(rèn)在Windows2003以前的時(shí)代，Windows默認(rèn)開放了太多不必要的服務(wù)和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務(wù)和組件，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及帳戶的加固和審核，補(bǔ)丁的修補(bǔ)等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網(wǎng)絡(luò)上肆無忌憚的攻擊。但是致命的一點(diǎn)是，該服務(wù)器系統(tǒng)無法在安全性，可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。

對(duì)于此問題我們的回答是：“防火墻只專注做一件事，在已授權(quán)和未授權(quán)通信之間做出決斷。”

如果沒有防火墻，粗略的下個(gè)結(jié)論，就是：整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個(gè)正確的結(jié)論，真實(shí)的情況比這更糟：整個(gè)網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會(huì)耗費(fèi)大量的人力和時(shí)間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。

防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過部署防火墻，就可以通過關(guān)注防火墻的安全來保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)。總之，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。

對(duì)于企業(yè)來說，防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn)：

A．機(jī)密性的風(fēng)險(xiǎn)

B．?dāng)?shù)據(jù)完整性的風(fēng)險(xiǎn)

C．用性的風(fēng)險(xiǎn)

我們討論的防火墻主要是部署在網(wǎng)絡(luò)的邊界（NetworkPerimeter），這個(gè)概念主要是指一個(gè)本地網(wǎng)絡(luò)的整個(gè)邊界，表面看起來，似乎邊界的定義很簡(jiǎn)單，但是隨著虛擬專用網(wǎng)絡(luò)（VPN）的出現(xiàn)，邊界這個(gè)概念在通過VPN拓展的網(wǎng)絡(luò)中變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的威脅，也包含了遠(yuǎn)程VPN客戶端的安全。因?yàn)檫h(yuǎn)程VPN客戶端的安全將直接影響到整個(gè)防御體系的安全。

防火墻的主要優(yōu)點(diǎn)如下：

A．防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安全，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。

B．防火墻可以用于限制對(duì)某些特殊服務(wù)的訪問。

C．防火墻功能單一，不需要在安全性，可用性和功能上做取舍。

D．防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長(zhǎng)安全響應(yīng)的周期。

同樣的，防火墻也有許多弱點(diǎn)：

A．不能防御已經(jīng)授權(quán)的訪問,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊.

B．不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅.

C．不能修復(fù)脆弱的管理措施和存在問題的安全策略

D．不能防御不經(jīng)過防火墻的攻擊和威脅

現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴主要來自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用，同樣的，網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營(yíng)區(qū)域。我們將分析一個(gè)典型的企業(yè)網(wǎng)絡(luò)，從結(jié)構(gòu)，應(yīng)用，管理，以及安全這幾個(gè)層次來探討一下對(duì)企業(yè)來說，如何去實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全。

在開始之前，我們首先必須面對(duì)一個(gè)事實(shí)，絕對(duì)的安全是沒有的。我們所能做的，是減少企業(yè)所面臨的安全風(fēng)險(xiǎn)，延長(zhǎng)安全的穩(wěn)定周期，縮短消除威脅的反映時(shí)間。網(wǎng)管與安全人員需要解決的是來自內(nèi)部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識(shí)與科學(xué)的協(xié)調(diào)和管理。客觀的去分析現(xiàn)今的企業(yè)網(wǎng)絡(luò)，我們不難發(fā)現(xiàn)，在經(jīng)歷了普及終端和網(wǎng)絡(luò)互聯(lián)的時(shí)代后，我們面對(duì)的問題還有很多，如客戶端的非法操作，對(duì)網(wǎng)絡(luò)的不合法的訪問與利用；網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)缺陷與混雜的部署環(huán)境；網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等。下面我們來逐一分析，并提供相應(yīng)的產(chǎn)品解決方案與安全建議。

首先是網(wǎng)絡(luò)內(nèi)部，即面向企業(yè)內(nèi)部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計(jì)算機(jī)來完成屬于自己的本職工作。而對(duì)于其他，比如病毒，木馬，間諜程序，惡意腳本，往往通過內(nèi)部網(wǎng)絡(luò)中某一臺(tái)工作站的誤操作而進(jìn)入到網(wǎng)絡(luò)并且迅速的蔓延。如訪問非法網(wǎng)站，下載或運(yùn)行不可信程序，使用移動(dòng)設(shè)備復(fù)制帶有病毒的文件等看似平常的操作。由于如今流行的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網(wǎng)絡(luò)的迅速發(fā)展，也給這類威脅提供高速繁殖的媒介。特別是企業(yè)內(nèi)部擁有高速的網(wǎng)絡(luò)環(huán)境，給各種威脅的擴(kuò)散與轉(zhuǎn)移提供了可能。現(xiàn)在人們都通過安裝防病毒軟件來防御病毒的威脅，但是面對(duì)蠕蟲和木馬程序，后門程序等，防病毒并不能起到很顯著的效果，例如蠕蟲病毒，一般都是利用操作系統(tǒng)中存在的缺陷和漏洞來攻擊與傳播的，即使安裝了防病毒軟件，也沒有修補(bǔ)操作系統(tǒng)本身的漏洞，安全威脅從根本上沒有被消除。并且隨著蠕蟲的不斷攻擊，防病毒系統(tǒng)將會(huì)調(diào)用大量的系統(tǒng)資源來修復(fù)和防御蠕蟲攻擊后修改的系統(tǒng)文件，頻繁的對(duì)文件系統(tǒng)進(jìn)行掃描與恢復(fù)。這樣也無形的增加了系統(tǒng)的不穩(wěn)定性，影響了系統(tǒng)的可用性，最關(guān)鍵的是，蠕蟲攻擊在仍然在網(wǎng)絡(luò)中傳播，給交換機(jī)，路由器帶來持續(xù)的壓力和威脅。另外，客戶端感染威脅的途徑是多種多樣的，比如InternetExplorer瀏覽器漏洞，可以利用VBS惡意腳本，BMP圖片木馬，ActiveX控件后門程序等，通過各類嵌入攻擊代碼的網(wǎng)頁(yè)，在瀏覽者毫不知情的情況下，后臺(tái)進(jìn)駐到操作系統(tǒng)中，修改注冊(cè)表和系統(tǒng)設(shè)置，種植后門程序，收集用戶信息和資料。這一切都會(huì)給工作站造成無法估量的安全風(fēng)險(xiǎn)。一旦工作站遭到攻擊與控制，就很可能威脅到整個(gè)內(nèi)部網(wǎng)絡(luò)和核心區(qū)域，所以我們說，保護(hù)好工作站的安全，是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要部分。

通過上面簡(jiǎn)單的分析和舉例，工作站的安全工作主要包含如下幾個(gè)方面：桌面防病毒，桌面防火墻，系統(tǒng)補(bǔ)丁管理，系統(tǒng)授權(quán)與審核，軟件使用許可監(jiān)控和網(wǎng)絡(luò)訪問控制。從如今市場(chǎng)上流行的解決桌面安全的產(chǎn)品中，從保護(hù)用戶系統(tǒng)的穩(wěn)定性與可用性以及綜合安全的角度，我們選擇Symantec公司的SymantecClientSecurity2.0作為桌面防病毒和防火墻的集成安全解決方案。該產(chǎn)品最大的優(yōu)勢(shì)是不存在互操作性問題，SCS2.0將防病毒，防火墻與桌面入侵檢測(cè)完美結(jié)合，提供如今防御混合性威脅最佳組合。采用來自不同廠商的多種單點(diǎn)產(chǎn)品使得全面防護(hù)變?yōu)橐豁?xiàng)極為復(fù)雜甚至根本不可能的任務(wù)，因?yàn)榭鐝S商的互操作性問題往往會(huì)存在漏洞，從而使威脅乘虛而入危及安全性。此外，當(dāng)病毒發(fā)作時(shí)，必須針對(duì)各種不同的技術(shù)，對(duì)每個(gè)廠商提供的修復(fù)方案進(jìn)行測(cè)試和驗(yàn)證。這樣就降低了對(duì)攻擊的反應(yīng)速度，并潛在地增加了成本。如果您要了解更有關(guān)于SCS方面的資料，網(wǎng)站，獲得更多信息和技術(shù)支持。

混合性威脅：

用多種方法和技術(shù)來傳播和實(shí)施的攻擊或威脅，因而必須有多種方法來保護(hù)和壓制這種攻擊或威脅。如:CodeRed.CodeRedII.CodeBlue.Nimda.

正如上面所提到的，必須通過修補(bǔ)操作系統(tǒng)漏洞來徹底消除利用漏洞傳播的蠕蟲影響。眾所周知，Microsoft有專門的Update站點(diǎn)來最新的漏洞補(bǔ)丁，我們所需要做的，是下載補(bǔ)丁，安裝并重新啟動(dòng)。但是在大型企業(yè)中實(shí)際實(shí)施卻沒有這么簡(jiǎn)單，修補(bǔ)不同操作系統(tǒng)的大量客戶端，如Win98/Me/2000/XP/2003等，將是一件讓人痛苦的工作，不僅部署時(shí)間長(zhǎng)，還要花費(fèi)大量的人力和時(shí)間，影響到企業(yè)的應(yīng)用和業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。尤其是在網(wǎng)絡(luò)環(huán)境復(fù)雜的企業(yè)中，包含多個(gè)域多個(gè)工作組，或沒有域的早期環(huán)境。如何在蠕蟲和黑客還沒有滲透到網(wǎng)絡(luò)之前修補(bǔ)這些漏洞，如何將部署這些補(bǔ)丁對(duì)企業(yè)的運(yùn)行影響減小到最低呢？我們的回答是，選擇一套高效安全的桌面管理軟件，來進(jìn)行完善的企業(yè)IT管理：LANDeskManagementSuite，即LANDesk管理套件，桌面管理市場(chǎng)的開創(chuàng)者和領(lǐng)導(dǎo)者。LANDesk專注于提供桌面管理市場(chǎng)的產(chǎn)品與服務(wù)，公司原屬于Intel公司的軟件部，擁有強(qiáng)大的管理團(tuán)隊(duì)與專業(yè)背景，全面支持混合平臺(tái)環(huán)境。包括Windows平臺(tái),MAC平臺(tái),Linux平臺(tái),Unix平臺(tái)，Solaris平臺(tái)。可以在有域或無域環(huán)境中部署，尤其是操作系統(tǒng)補(bǔ)丁的檢測(cè)收集與自動(dòng)修補(bǔ)，通過LANDesk的目標(biāo)多址廣播（可大量減輕網(wǎng)絡(luò)主干壓力）、對(duì)等下載（即使用流行的BT下載原理）、動(dòng)態(tài)帶寬調(diào)整等技術(shù)優(yōu)勢(shì)，迅速的修補(bǔ)企業(yè)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)漏洞，不需要人工參與，不需要管理員去核對(duì)操作系統(tǒng)版本與狀態(tài)，在無人職守或者非法中斷的情況下會(huì)在下次自動(dòng)完成部署任務(wù)，斷點(diǎn)續(xù)傳。因?yàn)槠脑颍琇ANDesk的更多優(yōu)勢(shì)，如IT資產(chǎn)管理，軟件授權(quán)監(jiān)視，系統(tǒng)安全服務(wù)狀態(tài)，禁止外設(shè)（USB，1394，無線，CD-ROM）OS操作系統(tǒng)遷移，軟件分發(fā)，軟件許可監(jiān)控等功能，請(qǐng)通過獲得更詳盡的信息。 

真正的安全：整體集成安全解決方案+同時(shí)更新=真正的安全

通過在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒，防火墻，入侵檢測(cè)，補(bǔ)丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅，分析面對(duì)的風(fēng)險(xiǎn)，靈活適當(dāng)?shù)恼{(diào)整安全管理策略。但這僅僅是不夠的，還有另外一個(gè)重要的部分，就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層，匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。

其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性，管理人員都知道，通過部署多層交換機(jī)，實(shí)現(xiàn)多個(gè)VLAN和快速收斂的路由，是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強(qiáng)壯性的最佳方法。在劃分了多個(gè)邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時(shí)，我們更希望能收集和歸納出整個(gè)網(wǎng)絡(luò)的更多安全信息，包括流量的管理，QoS，入侵行為和用戶訪問信息。僅通過網(wǎng)絡(luò)設(shè)備提供的日志，SNMP管理是遠(yuǎn)遠(yuǎn)不夠的，現(xiàn)今的方法是通過部署IDS/IPS來實(shí)現(xiàn)。在核心的節(jié)點(diǎn)部署IDS/IPS探點(diǎn)，采集和匯總數(shù)據(jù)包的完整信息，提供給管理人員分析是正確的方法。當(dāng)然了，這也要求管理人員的技術(shù)水平達(dá)到一定的高度，并且會(huì)耗費(fèi)一部分時(shí)間用于分析日志。入侵檢測(cè)系統(tǒng)能與其他的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，減少誤報(bào)，共同響應(yīng)與阻斷威脅，將是未來的發(fā)展趨勢(shì)和重點(diǎn)。

網(wǎng)絡(luò)的核心區(qū)域包括核心交換機(jī)，核心路由器等重要設(shè)備，它們負(fù)擔(dān)整個(gè)網(wǎng)絡(luò)的核心數(shù)據(jù)的轉(zhuǎn)發(fā)，并且連接著DMZ區(qū)的各個(gè)關(guān)鍵應(yīng)用，如OA系統(tǒng)，ERP系統(tǒng)，CRM系統(tǒng)，對(duì)內(nèi)或?qū)ν獾腤eb服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器等。從安全的角度來說，這個(gè)區(qū)域是最關(guān)鍵的，也是風(fēng)險(xiǎn)最集中的區(qū)域。我們遇到的矛盾是，既要不影響DMZ區(qū)應(yīng)用的可用性和友好性，又要保證其訪問的安全性與審核。很多情況下我們不但要在網(wǎng)絡(luò)的邊界部署防火墻，也要在這個(gè)區(qū)域部署為保護(hù)DMZ等類似的關(guān)鍵區(qū)域的防火墻。

存在的矛盾：如果部署安全策略，在提高安全性的同時(shí)，勢(shì)必會(huì)影響其可用性。這個(gè)矛盾是不可調(diào)和的。

與邊界防火墻不同的是，關(guān)鍵區(qū)域的防火墻主要是面對(duì)內(nèi)部用戶，保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務(wù)攻擊等攻擊，也要提供諸如NAT服務(wù)，出站控制，遠(yuǎn)程VPN用戶和移動(dòng)用戶訪問的授權(quán)等。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域，提供深層次的檢測(cè)與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測(cè)，將會(huì)大大影響設(shè)備的性能。而這是對(duì)邊界防火墻要求高性能數(shù)據(jù)過濾和轉(zhuǎn)發(fā)，不成為出口瓶頸所不能容忍的。管理人員應(yīng)該先充分了解網(wǎng)絡(luò)的特點(diǎn)與用途，結(jié)合設(shè)備與現(xiàn)有的網(wǎng)絡(luò)環(huán)境靈活部署，才能達(dá)到較高可用性與安全性的平衡。

如今的防火墻的功能越來越強(qiáng)大，這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection(狀態(tài)檢測(cè)技術(shù))和WebIntelligence(Web智能技術(shù))來簡(jiǎn)單介紹下對(duì)于防火墻的智能防御與Web安全保護(hù)。

簡(jiǎn)單來說，狀態(tài)檢測(cè)技術(shù)工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中，在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查。防火墻會(huì)生成一個(gè)會(huì)話的狀態(tài)表，InspectEngine檢測(cè)引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)。對(duì)狀態(tài)和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會(huì)話，也能智能處理無連接協(xié)議，如UDP或RPC。這樣就保證了在任何來自服務(wù)器的數(shù)據(jù)被接受前，必須有內(nèi)部網(wǎng)絡(luò)的某一臺(tái)客戶端發(fā)出了請(qǐng)求，而且如果沒有受到響應(yīng)，端口也不會(huì)處于開放的狀態(tài)。狀態(tài)檢測(cè)對(duì)流量的控制效率是很高的，同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小。可以保證整個(gè)防火墻快速，有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策。

WebIntelligence，有一種名為MaliciousCodeProtector（可疑代碼防護(hù)器）來提供對(duì)應(yīng)用層的保護(hù)。比如，Web會(huì)話是否符合RFC的標(biāo)準(zhǔn)不能包含二進(jìn)制數(shù)據(jù)；協(xié)議使用是否為預(yù)期或典型的；應(yīng)用是否引入了有害的數(shù)據(jù)或命令；應(yīng)用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼等。如何去判斷上述的一些威脅呢？MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行，檢測(cè)是否對(duì)虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術(shù)最大的優(yōu)勢(shì)是可以非常精確的阻止已知和未知攻擊，并且誤報(bào)率相當(dāng)?shù)汀?/p>

通過多種技術(shù)的協(xié)同防護(hù)，可以保證在網(wǎng)絡(luò)邊界對(duì)訪問進(jìn)行控制，但是，隨著VPN網(wǎng)絡(luò)和遠(yuǎn)程移動(dòng)辦公用戶的接入增多，網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了。很明顯的，網(wǎng)絡(luò)的邊界已經(jīng)拓展到實(shí)際用戶的桌面端。所以還是回到了我們文章一開始談到的，網(wǎng)絡(luò)安全是需要綜合的部署和完善的策略來做保證的。企業(yè)的網(wǎng)絡(luò)安全是一項(xiàng)綜合性很強(qiáng)的工作，并且持續(xù)的時(shí)間將隨著整個(gè)拓?fù)浜蛻?yīng)用的周期而擴(kuò)展。企業(yè)內(nèi)部安全的很多部分本文都沒有提到，如服務(wù)器的加固，無線安全，反垃圾郵件系統(tǒng)，風(fēng)險(xiǎn)評(píng)估，安全檢測(cè)等，因?yàn)槠年P(guān)系，希望下次有機(jī)會(huì)繼續(xù)與各位探討和學(xué)習(xí)，謝謝。

在Web環(huán)境中，威脅來自于多個(gè)方面，從端點(diǎn)到傳輸?shù)竭吔纾詈蟮竭_(dá)Web服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)。這一系列的數(shù)據(jù)交換將會(huì)引發(fā)大量的安全問題。傳統(tǒng)的防火墻的功能對(duì)于Web的保護(hù)相當(dāng)有限，比如，無法深入檢測(cè)HTTP的內(nèi)容，不能理解Web應(yīng)用的上下文，性能低下，無法提前部署與防御等等。CheckPoint的。