企业网络安全需要构建安全的IP网络

　　 近年来，伴随着互联网用户数量的爆炸性增长，基于IP网络的关键业务应用越来越多，但IP技术在成为构筑网络应用主流技术的同时，其与生俱来的简单和开放的本质特征并没有得到根本性的改变，这就为网络安全问题的出现留下了隐患。企业因为网络安全问题而产生的经济损失迅速攀升，从1997年的100亿美元增长到2001年的300亿美元，并且还有继续扩大的趋势。

　　 在众多的网络安全问题之中，对企业影响最大的要数网络传送安全威胁了。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据资源。从安全威胁的对象来看，安全威胁可以分为网络传送过程、网络服务过程和软件应用过程威胁三类。而网络传送过程安全威胁是指"黑客"们主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击。一些商业机密在进行传送时很可能因为黑客们的恶意攻击而变成"透明"的，如果这种攻击出现在银行、保险、证券等金融企业，将会产生更加恶劣的后果。

　　 因此，保证传送的安全问题就成了企业急需要解决的问题。目前，为了实现安全传送，业界主要采用"按组网需求加密"的方法，保证合法用户在网络上传送信息的隐秘性和完整性。这些方法主要有：利用IPSec协议族为Ipv4提供位于网络层的、端到端的传送安全保证；在传输层和应用层对敏感信息有选择性的进行加密和签名；利用PGP协议进行信息加密等。

　　 对网络进行全面的保护，通过整体的力量确保各个部分的安全，通常包括：安全身份识别，安全传送、安全防御和安全监控等四个部分。

　　 安全身份识别

　　 对网络使用者的身份进行识别，并据此对用户使用网络的权限进行相应的授权，是保证网络安全的第一步。

　　 用户的身份可以由多种方式来进行鉴权，传统的（用户名、口令）组合的方式是目前应用最为广泛的一种，而SIM卡、指纹机等方式也在此之外为用户提供了更加安全的替代方式。根据用户的鉴权结果，给与其相应的网络资源访问授权，这种对应关系叫做访问策略。用户使用网络的合法性、时间长度限制、时间范围、服务保证、网络服务端口范围等都可以在网络访问策略中加以定义，并在具体的网络节点中加以实施。这样就可以很好的对访问者进行控制，使网络受到攻击的可能性得到降低。

　　 安全传送

　　 保证合法用户在网络上传送信息的隐秘性和完整性是非常必要的，这也是网络信息量发展的基础。目前根据不同的组网需求，信息的安全传送可以放在不同的网络层次来实现。

　　 IPSec协议族为Ipv4提供了位于网络层的、端到端的传送安全保证。它通过两个基本协议实现，其中由验证报头协议(AH)提供了源地址验证和数据完整性检验，但不保证数据隐密性；而安全净荷封装协议(ESP)则提供了数据加密、主机验证和数据完整性检验，可以用来保证数据的隐秘性。除此之外，协议族中的密钥交换协议(IKE)实现了端到端的自动密钥交换机制。

　　 在网络层通过IPSec实现安全传送可以简化应用层对信息加密的操作，但是也会使得系统整体性能下降，并且在具体实施过程中会带来较高的成本。因此，在传输层和应用层对敏感信息有选择性的进行加密和签名，也是实现信息安全传送的另一个选择。

　　 此外，PGP是在应用层进行信息加密的最常见协议，可以用来实现Email加密、签名，文件加密、签名等常见功能。

　　 安全防御

　　 安全防御通过防火墙来实现，它可以在内外部之间建立一道屏障，是实现安全防御的必要手段。和网络分层模型相对应，防火墙也可以在不同的网络层次上加以实现。

　　 位于网络层的防火墙通常实现了报文过滤的功能，它根据IP报文的五元组(源地址、目的地址、源段口号、目的段口号和协议类型)以及TCP/UDP等报文头中的标志位建立过滤规则。

　　 电路中继防火墙工作在传输层，这种防火墙针对每一个TCP或者UDP的会话进行识别和过滤，在每一个会话建立的过程中，除过检查传统的过滤规则之外，还要求发起会话的客户端给防火墙发送一组用户名和口令，只有通过防火墙验证的用户名才被允许最终建立会话，会话一旦建立后，该会话的其他报文流可以不加检验的直接穿透防火墙。

　　 在应用层，也可以针对不同的协议原理，实现对其状态和内容的动态监控和过滤，还可以在此基础上对实现内部网络到外部网络的协议代理。使用应用层防火墙可以针对具体的应用类型完全对内部网络进行保护并且对流经防火墙的应用层内容进行完全的监控。但是由于此类监控需要一直解包到七层，所以会对网络出口的性能造成较大影响。

　　 另外，在防火墙的布署过程中，还应该遵循这样几个必要的安全策略原则：最小授权，只有必要的流量，才能被授权通过防火墙；高度容错，即使防火墙出现问题，也不能降低内部系统的安全程度；深度防御，即使已经配置了防火墙，内部网络仍然要采取独立于防火墙的安全措施。

　　 安全监控

　　 防火墙是处于网络边界的设备，也存在自己的一些弱点，如对某些攻击保护很软弱且自身可能被攻破；同时，并不是所有的攻击都来自外部，防火墙对这些内部发起的攻击行为则无能为力。所以在部署网络防御的同时，还有必要引布署在本地网络的监控设备，即入侵检测设备。

　　 入侵检测设备识别行为终点是内部系统网络和数据资源的可疑行为，并对这些行为做出反应。此外防御技术的另一个重要补充就是入侵检测系统，它既针对外部网络，也针对内部网络，全面的起到了不同的作用。根据入侵检测系统的体系结构，大致可以分为以下几类：

　　 基于网络的入侵检测系统：安装在被保护的网段中，通过报文监听从网段中收集数据作为分析的输入。

　　 基于主机的入侵检测系统：安装在被保护的主机系统上，通过对主机上产生的日志、时间纪录等进行分析对入侵行为做出判断。

　　 基于协议栈的入侵检测系统：通常安装在网络交换节点中，和节点的网络协议栈实现集成在一起，在正常的协议报文处理流程之前，对具有入侵特征的报文做出反应。

　　 上面描述的四个组件配合使用，基本上可以满足构建安全网络的需要，但是也应该看到，技术手段只能把安全风险降到最低，网络攻击和网络安全保护总是以一种"魔高一尺、道高一丈；道高一尺、魔高一丈"的方式螺旋式上升和发展的，所以，安全网络的构建，归根结底是一个技术不断改进和管理不断优化的过程。如何在真实的组网环境中根据用户的不同需求，有选择性的使用各组件来解决具体的安全问题；如何在使用技术组件的同时也通过不断改进的管理过程来优化和提升网络安全模型的保护作用，这些问题仍然需要用户、安全设备厂商和安全专业服务机构共同来完成。