/ K3 B: Y- T: s' {. {
- Y$ [* w+ ~. l2 {" v* {7 b- Y# Y ( r: }) P& Z; D* h. {1 O; \
* P; V1 i) D4 M' l. g
网络安全8大趋势
* y7 d; E) L7 a 9 n* L( g& t2 \ d; A) \8 x) g0 ~
G! J8 S8 n: X2 Q; y
# v# i0 E6 a) c0 [- X/ \
& ?2 Q3 }9 |/ h, l! n2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 3 P% e: E* i* P1 n. M D
% x+ y" G& [0 s; M/ R7 c
一、物理隔离
' z* g6 x$ _# M$ z+ n7 q- t6 G
- N- R) n" ?: t' n- [解决 , B% `$ R9 D6 A. b2 Z
方案:物理隔离网闸
@- M$ i- p6 V5 y: L3 A
6 L8 o" J9 x5 [! y物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
$ v: B* y' A+ ~2 f3 ~7 k; u4 {9 Q7 W1 G) [. y( g; B
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ! c& s- ?# b! c6 @5 t
- E* M% h, P7 B" j. t: ~ n3 P二、逻辑隔离 6 c% t% a' u8 L7 v! r8 [- ^3 W( D
& C& Q- }$ y3 F5 J解决方案:防火墙 8 t) F- o1 N9 D9 s" {
* B) s) q% m, ~$ o- M+ ~9 s+ n
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 5 o7 O$ X* r; d
6 n- b& ]2 d3 s. O0 w# }; A0 l( @防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 2 ?: F; x/ ^# z0 g+ a- e
5 Z, h7 [( @: a: \: Z3 M
三、防御来自网络的攻击 9 g0 X; Q7 ]4 ]8 K9 j* W$ p: l
# P. C' q- n, ], H$ ]; m# X6 A解决方案:抗攻击网关 , [1 A; I3 y$ m4 G
* Z7 R' \5 ~* ^网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 : |; {- T! _5 N. N3 [* ^0 w
/ D# Z2 V4 k+ o9 Q+ h
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 1 B7 Z) O0 `2 j& L% S/ g- X3 R, m. A
5 q5 M8 n* @$ E( ?四、防止来自网络上的病毒 * }6 v5 [* G; M- L
. F5 l/ o; _8 ]0 y' T# ` Y6 T4 D, Y
解决方案:防病毒网关
/ l2 v9 ~* j: c% I0 p' [, G/ E
1 `4 o9 S. s% l; f. M* [传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 0 ~' Z: o) s. |# B2 }# j R
5 T) U% D$ k7 R& R5 P
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 8 ^ z( H5 p% O7 H) t! E
, D9 n2 V6 o' p* K/ k- x
五、身份认证 ( C: s0 \. ~3 f* a# D
! C- y! E$ u8 y& w; V- C( u
解决方案:网络的鉴别、授权和管理(AAA)系统 / |0 X% _# c7 j; `
6 A2 F' r, }: z% y! c, d
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
( m. J! l2 _, E5 B3 r
' K' ^# s# s! W, n! K; T在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 # Q; S7 P5 h* w
7 _+ x% A8 I" w
六、加密通信和虚拟专用网 , K J) J n4 g( h) ?
* \9 K) U/ d* p6 t
解决方案:VPN ) d0 ^5 D: {; X n, j
$ ?+ P# ~3 _% {# x! }- B
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 # c1 ~5 K/ P! F) @: q
' {9 f4 [, Y- O: v# K
VPN的另外一个方向是向轻量级方向发展。 [; r) y& N! V, k& P0 M( ~
; p& G Y- H1 W3 D2 m七、入侵检测和主动防卫(IDS) / ?1 H3 `- b- n, C- J
* S+ H1 M0 ]$ O
解决方案:IDS ( H" W+ [9 w, D6 [1 C
0 T9 S+ R6 \' X+ u: W
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 7 }/ s4 I# n- S8 m6 e
$ A: B* p/ p+ c* v2 `针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 2 T4 J& F6 l( i0 A
, E. @1 h, j- J6 g9 Y% O6 Y
八、网管、审计和取证 0 W& T( `! N# T. P5 A3 f. n. P Y) u
7 b6 o e2 ~2 \3 I
解决方案:集中网管 N; q+ W( v2 F$ Y7 W e
9 `9 Q+ s: W+ I7 Y5 x% f& M网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
" ] H, g3 {9 y7 ?* Q8 v: V7 R+ t `. E, m) x
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。
: j; p% K8 Z( l* O; f& e" z/ Z- h7 I- a/ x* A% [0 n% h
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. & H% H" n% |; |: @. q! \: O e* }
n& I4 c( y! ^1 m
2 n" \0 u) u: G Y # ?6 N. O/ S' b H
|