3 c$ _, s8 Q( d- ^, b# k
, T+ M0 {6 N: m& _ 8 _. l5 \. S% T2 v4 H p
+ P4 u: G6 {1 g3 `
网络安全8大趋势
* K( y! Z! \9 W9 k/ s$ ~
+ \3 A2 z: \: ~8 c # g! l% Q4 s5 i, f2 O" J: y6 `( h
9 n6 O& F$ Z1 [
, ~4 W. v+ w9 ~7 O% Y
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 - l) H+ o: v! y# C9 v
/ [8 H1 X. A1 F* b' [7 G
一、物理隔离
9 Z0 `4 I1 T a6 O: r k# C+ `; o- E+ l" N
解决 & P0 |( H; r/ v/ R# n. }. v% o
方案:物理隔离网闸 s+ f7 M3 v/ D+ j; `/ ^; W$ U, z8 d
" P* s, {% p* r
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
0 _. x5 g. d8 X4 t- `* N. X7 j% H7 w
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
5 i$ ?4 G. K' s. h. ]
- l9 q5 U8 Q, J N7 \* J$ e/ [二、逻辑隔离 5 O" Q3 S: e" A. W/ G+ K4 X
+ Z& o; q& X0 ]7 p) A6 K4 K
解决方案:防火墙
$ l7 R: V- B( A4 p6 i& C3 y
" B: F* S; C8 z& [0 G在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
; q. S- R. K" B/ `
0 m$ E$ d& h8 Z8 g) \% l防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
6 S. H, J7 P; j7 y) s; _: o, Q; x, P0 H- p
三、防御来自网络的攻击
6 y- ~& F$ G4 C% I' h9 Y" G& B T" _5 w* D8 E5 N
解决方案:抗攻击网关
! d1 }" i8 O* `- G- l
7 N5 s* r; d$ O X网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
/ ?3 o( w( ?& P! w. n! Y/ |/ Y" P: Y" i! c) P; V* m6 [
抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 4 J+ e# O' l+ E9 t+ a+ @3 c y% V9 U
8 t3 G3 K ]4 s$ _! F四、防止来自网络上的病毒
0 @2 }0 L0 f T) H. U" J* J3 u6 L7 x9 A
解决方案:防病毒网关 * H* A% Z9 ^' u1 d) \
# ~ f3 k% \+ I K {2 A. t传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
' r4 r* a) k" ?, I- z7 N/ Q, u% F
/ \$ m6 b3 v3 D5 r3 P应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 & M: z& S% W# @6 V4 u, Y
. Q* J1 w3 x4 f# _( z5 t五、身份认证 1 Z8 x0 G( U0 Z+ j$ H8 H' l
/ w2 k& J. G& L0 L% x8 f
解决方案:网络的鉴别、授权和管理(AAA)系统 : h% I# F5 T) ]" m; }
& I& X; L. R7 e4 Y' ?, g/ f. e
80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 ' {0 S Q1 a2 z! }
7 y8 P! K4 }$ K9 H# ?2 h; ?在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 ! x/ D3 G6 R; k' g) B) R
@% A- f+ h9 B! Y; W' G3 r六、加密通信和虚拟专用网
. c, c/ v1 Q" L; f4 l3 T! W; c, x. T# s3 |: j
解决方案:VPN $ T5 B* k( i& u8 Q! U, O
; }, K: ~$ [4 w. _/ y1 ~单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
8 w7 K% L8 L# f
) `- [" m" V8 N7 }/ r+ Z# q$ iVPN的另外一个方向是向轻量级方向发展。
5 J. T7 c A- A
0 A5 e- H& P# [$ Q! u4 } A七、入侵检测和主动防卫(IDS)
! T8 ^+ H0 \, e4 E/ `
/ x& S9 P' Z T# v解决方案:IDS
4 _+ }) ]! h8 T+ i% B- }7 p/ y$ B7 Z
5 T" J d" C, v, g互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
7 Y: j3 q8 T( U1 y+ l2 d! C" h8 D" \- Q( ^7 G& }7 x8 L
针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 0 E; r M8 ]- P
: Z# h R+ s3 A( N1 B6 i八、网管、审计和取证 ( G+ _! |: S3 j) j- y
5 ^, f; u! V1 W" a' G) m. d% c( H! e' p9 R
解决方案:集中网管
/ {: j- H9 S3 U2 q& Y& R, A* x
+ l, t* D3 M& f' b网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。 8 @. a. g6 v* b8 B# e& k" U
$ _# x4 X" G( N, @2 E$ t2 i
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 ) V$ a. k% m0 P2 z! M
/ w8 o/ q3 J: f2 X; E" s3 A
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. - ]7 |" \) d2 Z0 @
- |: }- Y- v4 k$ |- g
4 L6 l5 H+ Q$ y6 ]
M5 c. }8 G b; V3 v4 I |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
