基于SSH的网络安全解决方案

企业实际部署时可将防火墙与ＳＳＨ服务器实现于同一台计算机，即企业局域网的网关主机中。ＳＳＨ可采用免费的ＯｐｅｎＳＳＨ或商业产品Ｆ－Ｓｅｃｕｒｅ　ＳＳＨ，而防火墙则采用普通的软件防火墙产品，例如东大阿尔派ＮｅｔＥｙｅ　２．０。

３　安全性分析

ＳＳＨ解决了许多和网络有关的安全漏洞，有效地防止了网络窃听（Ｓｎｉｆｆｅｒ）、ＩＰ欺骗、ＤＮＳ欺骗、连接劫持（Ｃｏｎｎｅｃｔｉｏｎ　Ｈｉｊａｃｋｉｎｇ）、插入攻击（Ｃｏｍｐｅｎｓａｔｉｏｎ　Ａｔｔａｃｋ）和中间人攻击（ｍａｎ－ｉｎ－ｔｈｅ－ｍｉｄｄｌｅ）等，但并没有解决全部问题，尤其是他仍然容易受到针对底层ＴＣＰ／ＩＰ缺陷而发起的服务器拒绝攻击（ＤｏＳ）；他也不能解决一些考虑环境因素而产生的攻击方法，例如流量分析和隐秘通道；也不能防止出现病毒，Ｔｒｏｊｉｎ木马和咖啡豆（ｃｏｆｆｅｅ　ｓｐｉｌｌ）。对于ＴＣＰ／ＩＰ的缺陷引起的问题，只能通过更低级的网络层技术才能很好的解决，例如硬件链路加密或ＩＰＳｅｃ；对于流量分析攻击，ＳＳＨ可以在空闲时发送一些随机的，非操作性的信息来干扰活动状态的分析（目前的ＳＳＨ产品还没有实现这种特性）；对于病毒等则需要病毒防火墙来解决。

４　结语

ＳＳＨ协议既可以提供主机认证，又提供用户认证，同时还提供数据压缩，数据机密性和完整性保护。ＳＳＨ的不足之处在于他使用的是手工分发并预配置的公匙而非基于证书的密匙管理。与ＳＳＬ和ＴＬＳ相比，这是ＳＳＨ的主要缺陷。但从ＳＳＨ２．０协议开始允许一同使用ＰＫＩ证书和密匙，将来在ＳＳＨ产品中把这种特性和通用的ＰＫＩ一起实现，这样可以降低密匙管理的负担并提供更强大的安全保障。虽然ＳＳＨ还有其不足之处，但相对于ＶＰＮ和专业防火墙的复杂性和费用来说，也不失为一种可行的网络安全解决方案，尤其适合中小企业部署应用。