网络安全技术及方案对策分析

核心提示： 2．VPN技术VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，网络安全技术及方案对策分析(4)，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃，紧密结合，相得益彰，VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立，企业通过公网建立VPN

2．VPN技术

VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此， VPN技术一经推出，便红遍全球。

但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。

3．身份认证技术

对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的 TACACS＋以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V2．3软件进行RADIUS身份认证。

外部网

C.外部网安全

海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP／IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。

对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术（即防火墙、入侵检测、网络防病毒）相结合的方法。笔者在厦门海关外部网设计中，就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。