防止网络地址盗用的要点

随着网络的发展，如何管理有限的IP地址已经成为网络管理员面临的主要问题之一。目前，管理IP地址的技术很多，主要包括DHCP(动态主机配置协议)、NAT技术(网络地址转换技术)及MAC地址绑定等。 如今年蓬勃发展的防火墙市场上就有很多产品运用了这两种技术。下面我们就以采用NAT技术和MAC地址绑定技术的防火墙为例，看看如何利用防火墙有效管理IP地址。 有效的IP地址管理首先是有效的地址分配。通过运用双向NAT技术，可以很好的实现这一功能。防火墙提供了“内部网到外部网”，“外部网到内部网”的双向NAT功能，同时支持两种方式的网络地址转换：一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即通过转换端口地址，使多个内部IP地址共享一个外部IP地址，从而内部不同的IP地址的数据包就能转换为同一个IP地址而端口不同，多台机器就可以通过这些端口对外部提供服务。通过这种转换，企业可以更有效地利用IP地址资源。
不仅如此，利用双向网络地址转换技术，还可隐藏内部真实的网络地址，降低黑客入侵的成功率。防火墙将网卡标识为两种属性，一种是内部网卡，用于连接内部被保护的安全网络，另一种为外部网卡，用于连接外部公共网络。在内部网络通过内部网卡访问外部网络时将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过外部网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过外部网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。 当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。
最常见的黑客攻击法是IP欺骗就象大家所知道的原始地址的随意修改，IP　spoofing就是黑客损害路径信息包，改变文件地址或把文件发送到不同的目的地。多数因特网发送文件的信息包在传送时很明显，使黑客很容易就能修改原始数据或更换信息目的地。伪装黑客身份的技术很有效，他可以防止黑客被受害者抓住。有关电脑之间信息交流的协议对随意更改地址是谈得最多的。因特网控制信息方案是很容易遭致更改的，因为他在网络两点之间输送信息和错误信息。因特网集团信息控制方案（IGMP）也有缺陷，因为他在用户数据程序上报告错误情况，包括路线和联播信息，用户数据程序（UDP）对辨认可疑身份的功能也会遭到损坏。
要解决随意修改IP地址的问题，必须使信息包传送得更为安全，建立荧屏政策，定点加密将会阻止非法用户阅读信息包，能在证明信息来源是合法来源而不是一个心怀恶意的第三者后，然后发送信息。另外，任何妄想使用不正当手段干预信息包的企图都会留下泄露秘密的蛛丝马迹以提醒管理人员。反修改规则基本上是告诉服务器删掉任何看似来自内部IP地址的最终信息包，这样将会减少受攻击的次数。
 
  NetScreen :打造网络安全平台
NetScreen 公司日前推出推出NetScreen-5000 系列安全系统及设备，该系列利用了该公司先进的GigaScreen-II ASIC安全处理技术，这种技术能够把系统提升至12 Gbps防火墙及6 Gbps虚拟专用网络(VPN)的性能。
为配合客户的需求，NetScreen-5000系列特别配备三种不同等级的灵活性功能：一组可编程的ASIC芯片 (GigaScreen-II)、一个分层式的处理架构和一组可以支持未来安全技术的模块。这些功能为客户提供高度的灵活性，并配备新的数据包和内容检测能力，以及配置新的安全功能。NetScreen-5000系列的系统软件及硬件均能够简易地进行升级。
NetScreen-5000系列是大型企业的理想安全方案，既能保护网络的周边，也能配合局域网的速率以保护内部的基建。其分区式安全功能可保护各部门和无线局域网的安全，以及阻断蠕虫程序 (worm)和特洛依木马 (Trojan Horse) 等攻击。NetScreen-5000系列还可按企业或服务供货商托管式服务的需要而扩展，以支持大规模VPN的部署。
NetScreen-5000系列包括NetScreen-5200及NetScreen-5400两款型号。NetScreen-5200提供4 Gbps防火墙及2 Gbps VPN性能，体积为2U，并具备两个插槽，能支持多达8个Gigabit的以太网接口或两个Gigabit以太网连24个快速以太网安全接口。NetScreen-5400体积为5U，具备4个插槽，能提供12 Gbps防火墙及6 Gbps VPN性能，并支持78 个Gigabit与快速以太网端口。

 宝德科技南海助教
  南海市远程教育面临的要求是：网络中心方案必须保证足够的带宽和稳定性。为了满足这一需要，南海教育网络中心采用INTEL的千兆冗余交换机构建主干网络，为数据处理提供了高带宽通道，中心网站的各种应用服务通过服务器连接千兆交换机来实现。整体方案除了保证高速，还充分做到了主干冗余，当设备出现故障时，系统可以自动切换，无需人工干预。南海市的教育城域网选择的是宝德科技的千兆以太网方案。宝德科技的方案提供了带宽预留技术，它的第三层交换技术还能够完全避免广播风暴的发生，并能保证多媒体信息的优先传输，以及良好的QoS，因而获得了南海市教育部门的青睐。

作者:曹江华