0 P9 c& d5 o5 X# t2 x$ x0 `+ y; z* C; o
+ \. ]5 x9 h0 N w' \
% } z# k+ E0 _# D' n$ Q$ C
' `0 M9 M7 {3 L1 b. L5 D0 v
网络安全8大趋势
$ ?. M4 ]; |6 J0 i' ]% O) n
0 |1 f3 R# V* f. Y1 M
8 t& l0 w, i, m# w% W8 J
& j m4 c P, o, L& [% N6 O- h
% e) R' `# _9 C5 \: V. ~5 `: M2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
# n* s% f- Q2 A. ?
" U5 j% Q7 N! t! m8 \6 Q' @' O$ M% m一、物理隔离
j0 n6 p: s! e8 m' f
! ], k& e5 {% ]2 M8 E4 ~解决 0 o. s9 B% C" x4 C. i/ x+ ?1 j
方案:物理隔离网闸 7 O0 b2 L: n2 T0 C1 z% \% G
- n, G3 {$ h% ~6 l/ f物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
/ E! I, _+ a9 X$ {
# r) U1 d5 w9 x) t- w, g物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 ( l& i; v' d6 r1 K" p+ G4 T# b
# Y( T: E: ?% k% }" B5 l二、逻辑隔离
3 F( ^2 ?- h! R: a0 N4 R$ c
* n, s; {. f; Z2 E解决方案:防火墙 9 s+ Y. \: [+ V5 q0 c
! Y( f9 A, g$ _: U在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 ! z& N! p9 |& G! }' ^
6 F' H' C3 I) n0 M I. w' [$ h
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 o) r( }4 \" H6 q: [$ w3 ^
0 p, r# C3 \" G: {1 J
三、防御来自网络的攻击
7 K2 B& v- L8 m5 Z( f5 l% l5 E8 |9 H! n z1 ?: P
解决方案:抗攻击网关 & m7 D' Z' l" t& F# F. f* R
0 i" u2 S7 N4 |$ V+ m! Z
网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
- F! M8 S- B$ a8 X8 d/ N( L3 q6 W) m* K6 ]3 F9 I/ {" b8 ?' G
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 5 O+ q2 o0 ~7 w- q& Z g, j
: h6 N& g0 H8 `$ e5 H& r8 X四、防止来自网络上的病毒
0 O8 i. L, y* i0 A4 K1 R T+ d- L% T$ W
解决方案:防病毒网关 ! u4 h. B& @$ u( S3 b
; p+ ~, l3 N# p5 i; I7 y4 ]传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
! t2 j" _, {) O0 D" S" {6 H6 i5 I- `/ X: Q
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 % F6 z- e- q& B' o8 k* z* |. I4 Y
; Q2 D8 c) z% s五、身份认证
8 m# T$ ?# [" |+ J1 p, h, Q
0 v4 r2 n+ r) @: O: M2 m解决方案:网络的鉴别、授权和管理(AAA)系统 0 ~+ K# p% D# u( m, T
7 n8 U3 I6 ]) V, X80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 ! U5 p7 j" p0 R& z
( Z: r3 l1 n: w+ V6 O
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 / }& ?- F7 ^' M# R; y
! m. w* F3 ~0 \六、加密通信和虚拟专用网 7 [7 e6 Y5 c0 F3 o; I2 L
+ h* w& B0 J# |; c! L- h' V解决方案:VPN
8 p& }0 a: w& \* Z6 Y7 I/ ]% K% _9 `; e- n8 ?. u. j" c8 t
单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 9 b2 ]2 N0 s1 ^1 h7 v* V$ r8 x
8 M% y& i; r. v7 p y
VPN的另外一个方向是向轻量级方向发展。
/ ?/ @/ g) d6 b$ E/ V$ k* d2 ?* i! H" O" w0 q
七、入侵检测和主动防卫(IDS) \* l2 F6 m g
0 A' B; E3 r S. i% c解决方案:IDS ! a t7 K" _ Q
- g! b. d/ N. z( X互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
, F* `. R, b7 I# V$ i3 k" s& f) s% `. n! [" z0 h8 @ z" d7 {5 Y6 [
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 : T$ V S6 R2 z- E, p' ^0 [
" F/ F: A$ A& S: J八、网管、审计和取证 ) n- A- } }5 b+ I2 M
7 D3 a- \4 w" U; ^( e( U N" r解决方案:集中网管 : a) ^4 X. w; K4 f6 Q+ |
( ^2 y: q, i9 b( F5 Z5 c* F
网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 . H1 m3 z+ X$ s4 F2 e* k
2 c7 S2 L. U2 V从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 7 P6 Q4 L- U8 T* M, c% U
8 O9 ]- V( x6 U& e: v审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. 9 A* z" ?- @5 u4 m0 E5 k& k w
" \; E1 Y2 \2 Y- N
. B+ E# U; V) k# u! Z
/ Q! X: d/ C5 o) x3 {6 R& E0 n4 ~ |