& D' f# U/ B4 c& z/ E+ r
" k$ f2 e3 r* R4 z/ ]* N0 f( g . ^7 s- }2 P5 |0 O
F! k) f! u6 _1 J
网络安全8大趋势
+ M% ? y" a) ]' o& g- c" w0 n+ I* y8 D
6 b9 T \! E& A9 v; q4 v* S" ?
/ j; x5 b0 x/ z$ S % f; n4 W) o% n: M6 g
8 Q. j) l- v1 S4 R7 R$ r2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
* T; F+ e0 a' V8 p$ ~) T. x0 @% o9 M
一、物理隔离
2 e1 P1 v' u9 M+ C- R9 @/ A
* \* g% S( x5 a7 n+ |解决
. D1 f: q( k8 A! {+ }% m0 A: _+ P) X方案:物理隔离网闸
& R! t: k W8 v0 Q
& d( j2 V8 n" ^ U6 }5 L物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
, _5 r1 m9 }3 G3 N. {2 B
J i9 q$ [& Q物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
3 y3 A! [2 e4 c9 B- U( l1 Y C% v! ]* R. S6 p( m
二、逻辑隔离 4 @- g- i t# P' a' U P$ T
& r) I4 S- B3 H* M: \解决方案:防火墙
3 X, P g! w8 M0 J5 p0 N' @/ z1 }* s2 R V
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 1 I, C3 g" Q' h0 A1 V
+ ?5 m% ~ w; V+ k7 y
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
& |3 O+ B. i6 l2 [! c8 ]& o
7 G4 F3 l# u0 w; t3 C0 ?/ V三、防御来自网络的攻击 ; V* S% F4 k8 H; Y6 O
8 J+ t. H' ?# h( p9 D2 N$ e2 f
解决方案:抗攻击网关 - ], f9 { Q9 H# M
' N4 ?' C3 B' E1 }; j
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
4 s7 {, s& S; ^) ?! n. A4 n0 L: d6 e4 C
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 9 W! M! i( N0 o: P0 O3 |
/ T, q5 I0 o8 x2 x3 u
四、防止来自网络上的病毒 ; X0 b/ |5 ^4 k
5 |% a" @& p4 k- S9 |
解决方案:防病毒网关 & ^, d+ _ p7 ~
1 @% P' z/ V" E! s4 z传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 $ ^$ L' k! y- R, _
7 _7 B$ b/ x. U3 z0 p应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
& |/ r( f5 S6 S! [* d% t' `& V8 @7 {, W! U! C& X0 y
五、身份认证
$ I4 T2 Y9 i4 H# F" k7 D1 T$ I& `, |4 }+ B% d9 v
解决方案:网络的鉴别、授权和管理(AAA)系统 ) h. T1 c; W- t0 ]2 x/ U D6 ]
8 [) B- t3 A2 s. |; l0 F80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
3 w! m) T9 f' d4 A7 f; U5 Q6 ^5 F8 ~3 ]- H& N% R
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
6 y$ A; P9 X) o' L6 S
1 S# b0 H, B5 C7 ^; U* Z六、加密通信和虚拟专用网 ( j, p3 C, ]4 v; L: L! _
; P' P) f1 D" g8 b) v解决方案:VPN
l/ ?5 H* T" v4 i) F* U1 V
- O; |# X$ e& X9 E: O ?& p单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
0 O( G4 Y% t3 j$ Q6 Q/ S5 [7 D0 @9 L+ V5 R) w' A, T0 @! N) B
VPN的另外一个方向是向轻量级方向发展。 $ S5 ]" [- K4 w j. {
6 h3 G' \; L) g a% m- x) p/ M
七、入侵检测和主动防卫(IDS) & ?$ S% h% z0 z% K3 @
9 j7 X! w7 w- _: v" {2 l
解决方案:IDS
, Z4 N/ g1 V7 u1 Y4 j
5 Y) e3 r2 P/ ?" A' l, c互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
/ [4 g5 a! C+ q
3 `' F/ C( o+ S9 S- c3 E针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 ; F% M" \7 E1 l7 P" V; t: x
. m' v: c; v$ p3 Y八、网管、审计和取证
% Q) |* R# v0 {9 G+ l: U2 m; n5 S. Y3 t9 P. C6 g4 ]& e* J1 R$ A
解决方案:集中网管
q& z" g1 a: B6 ]# R. \- w3 o1 T) B* r9 i1 h, N
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
- ?$ W' S: ]( A% e
7 b, w1 w7 i. P" B8 L8 ^) Y3 x, q从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 7 V6 O' y. H+ {1 V0 d- I( g+ m. s# G
0 y, k0 D. i W) ]: T, S. `审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. 7 o: B" Z! d/ O) g
1 _" P l# Q7 y/ k. p
. r6 \, o6 s7 h- @7 g% {2 P; h
3 g1 a5 O0 n* K% C) y |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
