现代企业计算机网络信息安全研究

核心提示： 2、防火墙与IDS（入侵检测系统)，本着经济、高效的原则，现代企业计算机网络信息安全研究(3)，有必要将键主机和关键网段用防火墙隔离，形成级防护体系，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患，在要求安全程度不高的情况下，以实现对系统的访问控制和安全的集中

2、防火墙与IDS（入侵检测系统)。本着经济、高效的原则，有必要将键主机和关键网段用防火墙隔离，形成级防护体系，以实现对系统的访问控制和安全的集中管理。在企业网出口处放置火墙，防止Internet或者本企业外的用攻击企业网；在安全性要求高的部门(财务部门)与企业网接口处放置防火墙，将该部门与企业网隔离，防止企业内对该部门的攻击。

防火墙针对非法访问攻击进行限制，对进出防火墙的攻击进行检测并防御，而网络内部用户之间的攻击不经过防火墙，防火墙没有办法去防止。而IDS(人侵检测系统)作为旁路监听设备，放置在需要保护的网络之中，针对合法访问形成的攻击进行检测。当网络内部有攻击出现时，ID提供实时的人侵检测，将信息交给防火墙，由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络，IDS是必不可少的。

3、对内部网络的保密。当内部主机与因特网上其它主机进行通信时，为了保证内部网络的安全，可以通过配置IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理，因此IPSec网关可以通过IPSec隧道的方式实现，也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更加灵活，有利于提供完善的内部网络安全，但是比较复杂。

4、通过安全隧道构建安全的VPN。该VPN通过IPv6的IPSec隧道实现。在路由器之间建立IPSec的安全隧道以构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上是IPSec隧道的终点和起点，为了满足转发性能的要求，该路由器需要专用的加密板卡。

5、漏洞扫描系统。很多时候，我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的是下载补丁，安装并重新启动。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢？那就是选择一套高效安全的桌面管理软件，来进行完善企业或单位的IT管理。又如何解决网络层安全问题呢？首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞