[转帖]网络安全8大趋势

  
/ ]! ?( A2 Y6 a
' T3 R3 d7 w7 H2 c, N* Q+ M
网络安全8大趋势
4 q9 X5 j% v* w
$ U+ w- E- y4 ]+ M1 f% G


2002年，防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计，到2003年，安全市场将增至八大件。

一、物理隔离
1 T2 U4 l* d! {6 w2 d% L2 D0 t
解决
: C3 [2 V+ }1 t4 X# o) V8 g9 x方案：物理隔离网闸
) u$ k8 j! s3 ~" o- _3 u
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下，尽可能安全。两者是完全不同的产品。

物理隔离的思路，源于两台完全不相连的计算机，使用者通过软盘从一台计算机向另一台计算机拷贝数据，有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接，就不会有基于网络的攻击威胁。

二、逻辑隔离

解决方案：防火墙
& m7 s2 G( ^/ C% B$ b; D
5 L$ ^: @7 D  N4 K& O在技术上，实现逻辑隔离的方式有很多，但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
% f3 A/ z# d. x5 ?# S) }- I
防火墙的主要评价体系包括：性能、安全性和功能。实际上，这三者是相互矛盾、相互制约的。功能多、安全性好的技术，往往性能受影响; 功能多也影响到系统的安全性。

# {' w* G: }: H三、防御来自网络的攻击
6 B0 l2 i  B( S+ J6 f" w/ k6 a
解决方案：抗攻击网关
# P& U7 ?% W% x5 u: p
网络攻击特别是拒绝服务攻击（DoS），利用TCP/IP协议的缺陷，有些DoS攻击是消耗带宽，有些是消耗网络设备的CPU和内存。其中，具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等，其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口，比如 80， 造成服务器的资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击，则使用真实的IP地址，发起针对网络服务的大量的真实连接来抢占带宽，也可以造成 Web 服务器的资源耗尽，导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。

5 S+ L+ A3 L( E# p+ [* d抗攻击网关能识别正常服务的包，区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击，因此抗攻击网关的防御能力必须达到10万以上。
( P$ W" ^; h$ D4 k  V8 O+ W2 c
四、防止来自网络上的病毒

解决方案：防病毒网关

传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点，如果某台计算机发现病毒，说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的，旧的杀病毒软件一般不能检测和清除。

应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒，只需要更新防病毒网关，而不用更新每一个终端软件。
0 n( A( p, S5 P+ q
五、身份认证
# s  \7 y1 w0 }" i1 N
. V. @: m) `7 s8 r( e' x* }0 ?解决方案：网络的鉴别、授权和管理（AAA）系统
, U- d0 \% `% s# I
80%的攻击发生在内部，而不是外部。内部网的管理和访问控制，相对外部的隔离来讲要复杂得多。外部网的隔离，基本上是禁止和放行，是一种粗颗粒的访问控制。内部的网络管理，要针对用户来设置，你是谁？怎么确认你是谁？你属于什么组？该组的访问权限是什么？这是一种细颗粒的访问控制。

' t' E2 q$ Q9 u1 \+ f+ j在一般人的心目中，基于Radius的鉴别、授权和管理（AAA）系统是一个非常庞大的安全体系，主要用于大的网络运营商，企业内部不需要这么复杂的东西。这种看法越来越过时，实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告，单位内部的AAA系统是目前安全市场增长最快的部分。
0 ^1 n/ l" T: i  W3 D: J! T- T
六、加密通信和虚拟专用网
! e$ ^" d7 N6 q' q! ^+ e9 `0 n# S# f
+ D7 E- F1 N  Y4 q2 r解决方案：VPN
" L& W$ |- s9 W( ]- F6 {7 O
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网（VPN）有很大的市场需求。IPSec已经成为市场的主流和标准，不是IPSec的VPN在国际上已经基本退出了市场。
1 @" [7 r3 u, u" e
& b9 K3 e! \) L, |$ xVPN的另外一个方向是向轻量级方向发展。
: V" r* t& F% K2 @6 m
七、入侵检测和主动防卫（IDS）

! Y# }! v& h; a8 O6 I" Y0 {5 |解决方案：IDS

7 c9 g3 ]2 ^! W+ I# I互联网的发展，已经暴露出不可避免的缺点: 易被攻击，技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。

针对黑客的攻击，从技术路线上来讲，早期的思路是加强内部的网络安全、系统安全和应用安全，安全扫描工具就是这样一类产品。但是，扫描是一种被动检测的方式，入侵检测和主动防卫（IDS）则不同，是一种实时交互的监测和主动防卫手段。
. D4 @# i7 Z8 Q: F+ d+ P) R
; L' s: m$ X7 z) A% s八、网管、审计和取证

解决方案：集中网管
( A# W5 z( {1 r
网络安全越完善，体系架构就越复杂。管理网络的多台安全设备，需要集中网管。集中网管是目前安全市场的一大趋势。

' F$ V+ Y' q6 ?( T9 i从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误，实际的网络安全也就存在问题。因此，技术越先进，审计功能就变得越重要。

" M7 \+ }6 v" k/ R) i5 `审计并不完全是检查安全问题。对审计的数据进行系统的挖掘，还具有非常特殊的意义，比如，可了解内部人员使用网络的情况，或对外部用户感兴趣的公司产品和内容进行总结，了解用户的兴趣和需求等.
" Y0 u- Q1 S! k8 p" U7 C# J

上网,学些上网的安全常识对大家都会有好处的.

不会吧,居然没人看啊啊啊55555555555555555555555555555555555555555

Jonas

顶你一个

有用的东西！

starfire

长点见识,不错啊!

楼上三位,谢了哦

( _6 i9 O: X4 Y9 T% ]  c; a                    http://yaosl.51.net/images/yaosl/wode%20xiezhen3.swf

[此贴子已经被作者于2003-6-8 12:14:28编辑过]

angeuder

这位楼主,你说你会lilux操作,能说说你学到什么程度了吗?