( e ^1 F9 [0 C* ~% K& x, `
; W1 }3 r3 X* L/ a' _
4 a& K' u& a# v
) ~7 S6 t2 r1 f网络安全8大趋势
( I# ]# S7 a2 B2 u5 _4 b& i $ A( k$ r4 y& x; F! Q# [% Q
* g! _ `3 n# l( e7 l+ A
- K) U' A- K) z+ Z& D
7 |" F$ p$ Z S2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 8 s) L$ a! {: L; |3 X$ d
' v6 s; n9 p/ v+ Q/ \# ?( k, F
一、物理隔离 ; c. m8 l! K; `% [
. o$ v* c2 K, w a
解决 3 r' X4 _5 q2 s4 R- j
方案:物理隔离网闸 1 D& J2 R. j3 K$ E
: S8 s9 o& t9 C, y; ~$ {
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
+ ^+ F3 A( F& }' Y0 m
- n4 p0 }! `# s6 M0 I T" t3 K7 n物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ; i) n/ e5 j1 z) v2 s
q/ f2 D5 B; Y5 H' I
二、逻辑隔离 6 F: p5 Z( H5 Q/ W9 r$ C: p
5 a' o3 l; p9 R9 K7 u3 t( B' ^解决方案:防火墙 . m8 g3 N0 U1 b |& E8 H+ b
4 {* @# @6 u. N0 c t3 ?
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 ( p4 f; b0 e* {
& S4 h" |. _, R* Z, N( e
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
4 j1 t# Z b, @ t! O: E0 m0 h% k4 H2 H4 N2 B p5 q
三、防御来自网络的攻击
8 h8 C/ x$ f1 p& N7 E) b& K& l
( e* a0 Z' h+ X" L) E; L8 N解决方案:抗攻击网关 & e. V& o( k3 h6 L$ Z
7 k0 ^9 B/ ^8 [
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 ' d- }7 l" R: s9 O3 x
* C" n) g# b& I) }$ e抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
8 N- ^; F2 F! p7 V C' w- V) M, s6 A5 C" g* ^8 K
四、防止来自网络上的病毒 , g9 z. M. I* t0 \8 a
) C" ? {1 A- C0 G$ s/ `解决方案:防病毒网关
$ T7 O9 g# Q/ p8 ?- o( m
+ Q# d8 r+ h; i. \传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 1 l3 X! e: E/ C9 ]; o0 V
% @: v! I" |8 G
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
1 f- Y) X1 ]7 n: I( x2 ^" r) y
; R+ d4 `+ g( G, V7 c五、身份认证 ) U8 j9 }8 h# z3 ^5 w5 z
' L2 }! ?7 j3 D* q# e
解决方案:网络的鉴别、授权和管理(AAA)系统
* o4 j& {2 I3 R" A3 s1 X D( m+ k$ y* K2 C/ Q0 Q
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 : \2 q, G! K: G& Q5 ]2 `% C
, C4 D: [, P4 `! Z" u在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 $ M6 C, W1 Y) H! o
" i8 w9 ]& G! t9 c8 ]六、加密通信和虚拟专用网
- K1 h, M% R- i' {) {) n5 w' v, x7 v3 R
解决方案:VPN
) Z9 d! M$ b7 a; M: X( Y' V
/ }: T/ B! ]$ D0 g' R单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
+ c# t1 {' i: N7 p$ q6 f6 _3 u3 o' U4 o- [( M }% g) W
VPN的另外一个方向是向轻量级方向发展。 * s. V3 `1 n1 J0 a( ^
8 Z) l, K" z0 U1 y1 D七、入侵检测和主动防卫(IDS)
' l2 Y* ^; ?, w1 K* T3 O O7 i% X5 d0 `6 u( Y3 P
解决方案:IDS
# P: @. {; @/ s4 c5 ]. }. j: g0 m- w/ M
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
6 A( `+ [+ h- X$ z
* }6 I: c5 E2 r- |; M针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 , H# D: J! y! v; c: e+ }, a
4 C5 N4 w% ~/ X, g+ y/ k八、网管、审计和取证
/ G& b( y# T z: U5 p0 y* U
9 l9 |, R* u+ c( a4 m解决方案:集中网管
1 m+ T* Z2 ]) D
) Y4 B( W( j, w# V3 N" t网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 " l, L" d! z5 t) J
+ M' v9 p: A2 t5 f) y6 l$ M6 Y
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 , F8 I: r- B) ]# r% `* }5 v! C
% |& }7 k. j8 g5 E. H" W7 w
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等.
" a5 D$ k, Q* j5 Y, A8 K/ [& {0 _
9 U) v# n+ e7 K3 D- J
4 ]% N9 ~$ B6 i7 v' n8 } + T/ j3 D/ Q. M9 \5 b
|
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
