保障廣域網安全三大技巧

目前的局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。事實上，Internet上許多免費的黑客工具都把以太網偵聽作為其最基本的手段。

廣域網安全

由于廣域網大多采用公網來進行數據傳輸，信息在廣域網上傳輸時被截取和利用的可能性就比局域網要大得多。如果沒有專用的軟件對數據進行控制，只要使用Internet上免費下載的“包檢測”工具軟件，就可以很容易地對通信數據進行截取和破譯。

因此，必須采取手段，使得在廣域網上發送和接收信息時能夠保證：

①除了發送方和接收方外，其他人是無法知悉的(隱私性);

②傳輸過程中不被篡改(真實性);

③發送方能確知接收方不是假冒的(非偽裝性);

④發送方不能否認自己的發送行為(不可抵賴性)。

為了達到以上安全目的，廣域網通常采用以下安全解決辦法：

1.加密技術

加密型網絡安全技術的基本思想是不依賴于網絡中數據通道的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全可靠性。數據加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發問題，適用于分布式網絡系統，但是其加密計算量相當可觀，所以通常用于數據量有限的情形下使用。計算機系統中的口令就是利用不可逆加密算法加密的。近年來，隨著計算機系統性能的不斷提高，不可逆加密算法的應用逐漸增加，常用的如RSA公司的MD5和美國國家標準局的SHS。在海關系統中廣泛使用的Cisco路由器，有兩種口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未發現解除方法(除非使用字典攻擊法)。而Enable Password則采用了非常脆弱的加密算法(即簡單地將口令與一個常數進行XOR與或運算)，目前至少已有兩種解除軟件。因此，最好不用Enable Password。

2.技術

(虛擬專網)技術的核心是采用隧道技術，將企業專網的數據加密封裝后，透過虛擬的公網隧道進行傳輸，從而防止敏感數據的被竊。可以在Internet、服務提供商的IP、幀中繼或ATM網上建立。企業通過公網建立，就如同通過自己的專用網建立內部網一樣，享有較高的安全性、優先性、可靠性和可管理性，而其建立周期、投入資金和維護費用卻大大降低，同時還為移動計算提供了可能。因此，技術一經推出，便紅遍全球。

但應該指出的是，目前技術的許多核心協議，如L2TP、IPSec等，都還未形成通用標準。這就使得不同的服務提供商之間、設備之間的互操作性成為問題。因此，企業在建網選型時，一定要慎重選擇服務提供商和設備。

3.身份認證技術

對于從外部撥號訪問總部內部網的用戶，由于使用公共電話網進行數據傳輸所帶來的風險，必須更加嚴格控制其安全性。一種常見的做法是采用身份認證技術，對撥號用戶的身份進行驗證并記錄完備的登錄日志。較常用的身份認證技術，有Cisco公司提出的TACACS+以及業界標準的RADIUS。筆者在廈門海關外部網設計中，就選用了Cisco公司的CiscoSecure ACS V2.3軟件進行RADIUS身份認證。