( J g& H4 R) z6 C; ~ 0 T% {4 S' ]1 X$ ^# Z* H
7 N4 f3 U5 \: H# o8 d
$ R4 S0 D) M+ a# R! b, j! z
网络安全8大趋势
% B1 z/ h F; j$ h1 ]
2 ]) h! \5 Y9 l& R3 Q : `. X2 k. I, b8 F( w
2 ?$ v4 a& c. ^! ]# O/ N: Q
+ l: s/ f: ?( O4 d0 U6 ]
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 7 ?3 P( R3 h0 o* M( @
! T) i; @8 d* z1 |$ q, p( S. ~# ^一、物理隔离
- S! X. {7 C' R" P p% D ?8 N ]. {" n% R/ X+ e1 W2 d: T) o
解决
) L n! N$ |/ h% }$ o方案:物理隔离网闸 $ s2 {. [+ s* `) d) s1 b8 `) H
' I/ B( f* x, E( f物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
7 @- S" L5 h1 U) z( r
7 t$ _" g1 I9 n2 m' d1 {物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 " d) B0 n+ I4 D, B" |/ P) e0 p
" B3 I; k* _# Y% q% r
二、逻辑隔离
5 J% c7 A# T: ~$ {& D4 ~3 p; h y$ O4 {% w
解决方案:防火墙 1 L, t( q6 e- w
% t# K7 b$ b7 z2 l3 X( w
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
' x, T# g/ V- {# K0 I& e H, J# U4 P Q# J: c! i4 ]
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
; Q# ?" }) l- t+ f5 G
2 H4 z1 @) Q4 }! ^" b ?三、防御来自网络的攻击 # }( `5 B* w0 [7 ]3 A
* r, B1 f: x1 H5 r* r
解决方案:抗攻击网关
) d! G2 ?3 ~0 j; r1 V/ Y; ~- u- k2 {) k4 g" h7 i
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
- v/ ^ H( z/ b: W3 s6 {3 q5 W( q' O V/ s1 O7 \
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
2 N0 T m0 x2 Q0 d+ F& W* y. H9 w
. Y' e p( K" m9 ?; {& X* R四、防止来自网络上的病毒
, q8 H u# |! V0 s6 H% [5 P
9 k/ j5 F g0 a- X解决方案:防病毒网关
6 V w7 _7 x" u ]: ?3 `5 B5 ?/ i
/ }0 ^" m+ W; l+ b, D6 d7 F+ k" [' L# m传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
2 R& E n2 k$ C1 N, \, K9 h, Y
+ _$ L0 u5 K) d, X应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 0 A Q; o1 X* c8 U6 E1 b
# K: q' `& q) H5 e; x3 E) h五、身份认证
V( K9 P& w: w( A8 r0 W5 g2 z
6 ^# f/ T* ?- w1 b- ?5 ^解决方案:网络的鉴别、授权和管理(AAA)系统
- x/ H$ B% @0 L; N+ L- u, Z! L; i2 k2 k+ {0 b H. W9 s. Y( |
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
# ?9 Q! X; ]( Z
, g. E3 b$ Y R( y. S, G: M. v在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 / @$ `1 V1 ?/ z
9 T8 ]% Q! r/ K$ M六、加密通信和虚拟专用网 * b: a1 N' ~$ O# D. Z2 w
4 G6 G1 @2 {; H
解决方案:VPN : q, n1 I$ Y( Z' K( G9 g
) J" s9 Q% S2 {9 D6 e6 Z+ {1 `# s
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 ' W0 w$ x7 `( C* l: x- T
- l6 k9 ~. q0 A- ]: B- f
VPN的另外一个方向是向轻量级方向发展。 # b* A4 o2 w5 T# O( g, e
k- q/ ]* R: }7 B
七、入侵检测和主动防卫(IDS)
% H, L0 j" A" P' c% d, A. V$ J5 R5 I8 L- t1 R$ ^
解决方案:IDS
i* {: Z1 x* ?; F+ F+ Y) I! y$ P; K$ z
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 ! R6 a- ^4 J, O2 c9 g' e5 L. Z! @
' N3 U" {7 V- L) I5 E
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 * t N' B3 `# r6 { q) ?. S
% n* p3 \/ P+ y八、网管、审计和取证 " ?! ?5 ^$ x# q' V& S5 P8 j; Y9 V
' n0 u7 B; ]8 G. v
解决方案:集中网管
. j6 p+ ]( ?% B# |$ Y: u& s) y- a& i' y( B( c E
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 / ~/ S* X2 ?) Y4 Z6 s( d
, h! X, m8 ^ R: o从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
; z* o+ Q/ [3 E% U2 Q
3 S! n5 ~; y; o P$ t审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
! L; T- k8 r5 w6 D* ]) P
* E$ z/ z& I, T. D1 J) ?; J7 t5 v
& ~" E( M8 o. ^$ {4 R V
: m5 Z8 w1 U( o7 ]* O |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
