6 i1 b5 Y4 ~+ V4 G O5 M
* n% ^4 G! Q7 N% _0 N; E
! a# b- v. c0 j6 ^- G& p
$ |7 _# l/ r; j: o" j1 M网络安全8大趋势
! p) b" L& q& ^3 x5 j- O% x 8 G2 Q+ i: d1 T( @2 E
9 x' H8 ? ?, F+ J4 h+ o ) l' ?' ~( L8 J/ C0 ?$ t6 p6 l" @4 L
. @' U8 p c, O- i
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。 ' y" ~% P/ n2 r
2 C5 ^4 J5 O' s一、物理隔离
( N; d; U. Q! m6 N0 L0 F. O! L
/ D. {" Y: y+ y% c- H解决 % D2 H& u) i' E8 A P0 t3 _* e7 a
方案:物理隔离网闸
, s4 J% w/ d( C- E9 d
: X: ~$ t* Q- }* b. W5 Y物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。
/ P) l9 a6 V$ T. Y" f6 X5 U; a: p: v% V
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。 + F: {8 h$ i# d8 C8 Q
3 K3 V) J7 z0 G" p二、逻辑隔离 ! r# ]; Q' n$ g4 d
3 j# r) t h# \3 F& O# }解决方案:防火墙 $ ?8 X5 i" H0 ?' x: j) V
" T( i: n. C/ n4 }
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
( C# E6 L5 r+ |/ ^* q) p# k' s2 n! x( E5 D+ }) J
防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。
' h4 U- ~8 Z1 _$ K2 \& L8 Q- M
( k$ X% X* I4 I# t: I三、防御来自网络的攻击
* z3 f& h: O3 a: L: _7 c2 g5 `9 y7 F V- h9 o7 G* Z# v1 p
解决方案:抗攻击网关
, R' Q7 F; `% v3 x* l+ L3 L1 L
2 N A3 [/ _7 l) _, I, D3 h网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
) r' \+ t- c# Y- ?
4 @! K. Q' B$ B! x5 G: v* a9 D抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。 7 r [4 r' O8 G9 R, m
- }0 S" ?& v( x
四、防止来自网络上的病毒 0 r: C3 {* R" @' }6 O
( C7 h0 q) [% v- Z1 G$ g解决方案:防病毒网关
& }7 D! s! A, }/ C1 `* ?
( j$ f5 g5 f) J* f5 [' ]/ Z传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。
5 m3 G. z( R, c7 P4 f# L; Q- V+ N& o* B3 p; k
应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。 ) S$ _2 Z- V: r, w9 a
& i* f- x/ V: W, d5 n2 }9 h
五、身份认证 " L) N( L* h: H( q) D5 x6 |: _6 Q
- T' `" }) l* \4 T解决方案:网络的鉴别、授权和管理(AAA)系统
" F( n% \# X: x& ~* q8 g7 d X5 J
( y. _: h2 G5 f( S% E80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。 - l9 Y1 N( Z8 H& f6 W) [ M% {
5 S8 o; Z) v7 n5 E
在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。 # L3 G w! U u+ r: ~8 B" b7 `
/ ~; B" w+ m$ U2 L9 @
六、加密通信和虚拟专用网 6 a2 k% b0 F, n2 @" R
2 g) X4 \2 J6 y |
解决方案:VPN : O1 u. p; z" Z) l: L/ O) ~
c/ A# s/ D1 K单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。
/ r* t& H) h! F' e* J$ u% S: y0 k( K2 e1 G" J t
VPN的另外一个方向是向轻量级方向发展。
4 B2 G$ ^* }0 F8 A( O9 U% p& ]9 x, n; _* \! V! f7 A
七、入侵检测和主动防卫(IDS)
9 P- V4 ] M T; Q" v* R' ^2 g/ D u( e2 a: {1 f8 H) O
解决方案:IDS $ h1 r$ h6 ^9 n4 \. p9 N4 w7 Z
1 r I4 E# G0 R0 [- j互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。 # g) p0 {4 c! r1 a
$ h' O1 S4 h% Y- X# S针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。 . \; Q. d* ]8 `. S7 G, c% C- ?
8 c/ {. w* \1 L5 ?5 \5 X! {八、网管、审计和取证 / [# e3 W6 X6 o9 L* W! t
0 r2 ?, z1 f, |# Z解决方案:集中网管 ( ^* `. E Z7 K' J' I
$ t. `. O/ v2 ^& ?% p: ~网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
7 c! r) e) k) I- z; S" n+ H/ v, S3 T4 D( j' V
从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 ; k) \/ ^& H E( w% i& _
# S. U; }. B# Q' P" j* Q: j" l2 u
审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. 5 B# e) ^4 t: G3 n1 y
, E9 A5 q8 s9 j) E6 d
% H( R' C& X* g; f! a9 ?3 Q, X+ b. y
& q v+ e9 N$ I' D2 C |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
