) o6 e( J6 _$ q0 ^1 O# ^8 m# I
' [0 A& X: e' ~% w2 [8 S0 v0 s ; X) ^. c" D0 q1 t2 o- w
* l$ b% b1 D" b' Z
网络安全8大趋势 $ n* Y" C) K; G; b0 ~
) v: f+ g! F6 P
5 U4 \9 h& t( e+ J
# b( U9 L" H* w' f# f/ E
0 v1 Q' H$ J5 v/ |2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 " f& p: K( W( Y0 G5 u
" {8 `7 p( N& c0 E( j8 q
一、物理隔离
7 I$ z* D, M7 S; n
/ K% J# q$ K# q解决 3 P" R1 w4 e2 d7 d
方案:物理隔离网闸
[) g7 c- ] u
- S) I; T" B' f, z物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
4 Z _4 Q$ N3 r# p- g7 W8 C( D# F" p
# ?7 M- a# e. s6 I( I物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
4 t. S' O3 p- n$ F4 o, U8 n
+ C/ S$ H4 Z L( w) w7 A" _# ]+ Q二、逻辑隔离
7 q, P U. u4 b2 F! R
9 s7 ~1 J4 L) x1 v解决方案:防火墙
) i' M" G/ I5 }( E% J; _3 a6 Y P2 x2 o. E0 O
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
0 [3 L4 e" k1 }. |. K5 F1 ?$ r5 H! F
+ L" m+ T4 A' }& \4 S& ]% J F防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
0 x& L$ Q3 ]! ^0 k. C! p. l x! U. F6 L' W1 I
三、防御来自网络的攻击
9 S2 V! c( y7 J+ u5 `. f' g$ n' j n3 @
解决方案:抗攻击网关 ! y! y% d( ?1 ^
3 }( w L0 R, ]. h& k! A, o1 A网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。 # ? ?# _- U% l. ?$ W! D) H8 ^) R$ b4 J
- _' w/ l! A& T" h, @抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
9 A, s! Y! J5 Z3 |. m5 O8 z5 `( A7 `* R3 D$ n- _8 m$ y
四、防止来自网络上的病毒 g7 K8 }- Q: b# w
5 \$ h/ l) Y, G6 Q
解决方案:防病毒网关 ! M% F8 b2 }4 ~- M6 g% E
1 A m/ D7 b- Z3 k, ]# s0 ?
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
6 Q$ Q" U; T9 T( \" \' f# W i; d9 [$ |) U8 D2 v) r& x( f2 z
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 7 W/ }, e( P# i. Q& u
1 S$ T9 s+ @8 g% S五、身份认证
{5 v5 L5 f( [, R. p9 {
* }2 P, L1 G% N. G解决方案:网络的鉴别、授权和管理(AAA)系统
6 R( Z7 W, q* [' O
- s' M8 v- h7 r0 K6 k# N" `4 _80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
8 {1 d$ ^% `7 C$ M: c- F7 d1 L/ |* e$ U$ H
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
$ H, e9 J) r6 A& _& g: g7 a( A6 m0 v7 `8 h) W. }4 f& [6 i2 @6 A
六、加密通信和虚拟专用网 $ R6 P; y5 |; v v$ m% G
0 ]( ?6 h1 A( P) z+ ]' T L
解决方案:VPN ( |2 }: M1 ]" b+ h9 K
7 ]3 |) [7 X8 `8 i, e0 G
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
$ E# j/ C5 C3 u7 c+ D- f
$ C& j9 u: I `2 _$ MVPN的另外一个方向是向轻量级方向发展。 9 k5 M+ ~, j/ H/ n! C
9 o/ v$ d% M1 a3 B \4 V& D( ~
七、入侵检测和主动防卫(IDS) 5 x- R$ o8 H" t( B
) g0 g- {3 E7 v6 V5 A解决方案:IDS 4 g, C# @ ~6 o1 K+ n
6 C+ c6 D$ x7 X' p% v9 ~) |! R w
互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
* O+ B9 W2 f: j: X, T& z2 H; K8 }; M
3 p4 \( {" R4 R" |* k+ G# j! j; r针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 ' Z* F7 a( ]5 _* k, V
+ N" O; l5 v6 P5 j( @1 s7 ^: _# @八、网管、审计和取证 $ B; V! ], x; y. G
: e, T7 P! ^8 `) {$ A3 }
解决方案:集中网管 ( e: K7 x: v5 `" y; ^
$ Q: \ b+ }# l/ a
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
( i5 u K4 D0 E' M- ~/ o
5 F7 g- Z6 q# o) i从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 $ X- B* G' a1 m$ t( H2 W' Q Y
& n- F) U. r% q1 U审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. 9 P2 q; a+ d6 x: ^' L( [/ W
2 e, d4 h9 A! I- d
; D g0 v# G+ O: {" c4 @
& a. W" a5 {8 z1 A' ?; r |