• 网站地图|收藏本站|数学学习|学习方法|电脑学习|教学大全|生活常识|句子大全|管理资料下载|范文大全
    •
    当前位置:来学啊学习教育电脑学习网络知识对卫星网络及内容的安全防护措施» 正文

    对卫星网络及内容的安全防护措施

    时间:10-14 10:27:50来源:http://www.laixuea.com 网络知识阅读:8485

    概要: 网络安全是多领域的综合业务,近10年来在规模和范围方面都获得了极大的发展。对网络及内容潜在的威胁来自各类不同的领域,因此增加了解决这一问题的难度。在因特网产生之前,对卫星网络及内容实时入侵的安全防护相对容易。然而,基于卫星网络的WWW互联打开了潘多拉的盒子。●安全政策多年来,卫星网络是独立的,一般不与外部世界相互连接。卫星网络因其独特性而获得了安全性,目前这一状况不再如此。为数不多的网络工程师能够应用不同的工具来提高其网络的安全性,然而除了选择工具,有效的安全策略开始于对网络的真实评估和对安全政策的开发。除非人们十分拥护,否则安全政策是不会起作用的。网络中的每个设备至少应该在荧屏上建有日志,这些日志要求有用户名和接入设备的口令。要考虑到设备的风险,这些风险仅只需通过加入某些终端便能得到处理。如果人们从不改变工厂默认设备,那么用户名和口令保护的作用有限。一旦某个硬件的默认配置被黑客发现,那它们就会出现在黑客们的荧屏上。●防火墙下面的这些网络安全工具可以单独应用,但它们在同时使用时会最有效,从而充分发挥

    对卫星网络及内容的安全防护措施,标签:电脑网络知识,网络学习,http://www.laixuea.com
        网络安全是多领域的综合业务,近10年来在规模和范围方面都获得了极大的发展。对网络及内容潜在的威胁来自各类不同的领域,因此增加了解决这一问题的难度。

      在因特网产生之前,对卫星网络及内容实时入侵的安全防护相对容易。然而,基于卫星网络的WWW互联打开了潘多拉的盒子。

      ●安全政策

      多年来,卫星网络是独立的,一般不与外部世界相互连接。卫星网络因其独特性而获得了安全性,目前这一状况不再如此。

      为数不多的网络工程师能够应用不同的工具来提高其网络的安全性,然而除了选择工具,有效的安全策略开始于对网络的真实评估和对安全政策的开发。除非人们十分拥护,否则安全政策是不会起作用的。

      网络中的每个设备至少应该在荧屏上建有日志,这些日志要求有用户名和接入设备的口令。要考虑到设备的风险,这些风险仅只需通过加入某些终端便能得到处理。如果人们从不改变工厂默认设备,那么用户名和口令保护的作用有限。一旦某个硬件的默认配置被黑客发现,那它们就会出现在黑客们的荧屏上。

      ●防火墙

      下面的这些网络安全工具可以单独应用,但它们在同时使用时会最有效,从而充分发挥了它们的单方面的效能。

      防火墙仍是防护网络进攻的第一道防线,这一技术经过Cisco、Juniper和Check Point等供应商过去15年的研发,已有了很大的进步。防火墙历来配置在可信任的边界上,或者是专用和公用网络的交界处,然而,随着802.11无线网络的广泛应用,可信任边界的数量猛增,因此可能受到攻击地方的数量也在猛增。

      最开始,防火墙通过打开和关闭端口来控制流量,这一方式由互联网工程任务组(IETF)设计用来协调特殊的应用。端口80将用于控制网页浏览,端口25将控制SMTP流量,端口23将控制远程登陆流量,如此等等。一时间,每个人都遵守这些规则,但是应用开发商希望他们的软件能够被更广泛的用户应用。一些端口,例如端口80和端口443几乎总是开放的,应用开发商便利用这种方式进出防火墙。应用技术的发展已经到了大多数人能够发现一种方式来进入基于端口的防火墙的地步。端口阻止的价值随着时间的消逝而不断降低。

      静态应用使用的是单个端口(80、25、23等),能够被简单的分组过滤器控制。动态应用(例如FTP)将从一个端口出去并从另一个端口进来,要求更复杂的控制,因此状态检测出现了。现代应用完全忽略了端口,因此一些销售商附加了更多的过滤器,从而增加了处理延时(见《Via Satellite》2009年9期的“卫星网络的延时最小化处理”)。现实情况是,现代应用的企业控制要求更复杂一些的处理方式。

      为了满足这一需求,Palo Alto网络公司将应用ID(App-ID)集成进它的防火墙中。该公司有能力将870种不同的应用进行分类。App-ID允许整个网络具备更细致的细分决定的能力。例如一个组织的营销部门可以允许运行WebEx,但其它部门则不能。对应用确认的能力也非常强大,但是Skype等某些应用使用的是特殊的加密形式,并在端口间跳动,从而造成应用申请的拒绝。然而,Skype的这一特点还能通过启发式的分析进行确认,这样Palo Alto网络公司的防火墙便可以阻止Skype的流量。

      ●AAA(鉴权、授权、计费)

      由于网络规模的扩大,对它们的照看和维护变得非常地复杂。为了有助于完成好这一任务,AAA系统包括有3个完全不同的安全功能:鉴权、授权、计费。鉴权确认你是谁;授权确认你能被允许对网络做什么、计费记录了你做过什么。终端接入控制器的接入控制系统(TACACS)及远程认证拔号业务(Radius)都是占有巨大市场份额的安全协议。轻型目录访问协议(LDAP)是一种由IETF指定的应用协议,该协议还可针对信息技术设施提供层次控制。

      因为网络在规模和复杂性方面的增长,AAA系统对于网络安全来说,变得必不可少了。

      ●入侵防护系统

      对一次入侵的阻止是一种对计算机系统或网络进行主导的尝试,同时使其他人不能对其进行应用。这些进攻的基本作用之一是进攻者发出打开端口的要求,然后在对方做出反应前等上一段时间,比如说10秒。攻击者对其攻击的系统大量灌入要求,这些要求试图隔离对正常流量进行响应的要求,而被进攻的计算机系统必须假定具备以下条件:在对所有明显要求做出反应并保留资源方面,计算机提出要求缓慢;被进攻的计算机不能明确地区分合法要求与非法要求;对业务进攻的阻止必须保证带宽和计算能力。由于大多数卫星网络的带宽只能微调,任何带宽的补充都对网络性能产生严重的影响。

    [1] [2] [3]  下一页


    Tag:网络知识电脑网络知识,网络学习电脑学习 - 网络知识

    上一篇:巧用路由器OS将旧电脑转变为局域网服务器

    分类导航
    最新更新
    推荐热门