. n1 t4 C4 i- Z. D, `. Z8 o , [4 d. V- d ^! u* B+ E9 h
& R& n- T6 M8 K$ `6 J9 k y
& m$ [ }# O2 B9 x$ D# ?* P, [+ O2 K
网络安全8大趋势 3 S1 d2 y- t, U! t/ F X) i
G: {5 g' c/ h6 W4 Y5 s# A. {- {
! c9 B, }- _# \0 `! m' j / P5 m1 b( G, f6 o& J) U
5 s$ U- G2 t4 r9 f" D4 s
2002年,防火墙、入侵检测、防病毒、加密四大产品成为市场的主流。专家预计,到2003年,安全市场将增至八大件。
L9 q7 \" X8 m" K* `5 V( X0 Z, J' K" F
一、物理隔离
4 R$ E5 X' }+ R2 R8 n, N, t5 ^+ k2 i* x# d ^8 [. N
解决
& F; P2 f! d* P0 x/ o# q方案:物理隔离网闸 & ]5 B C+ O+ H$ P
4 ]0 f4 G4 G* p2 J5 B3 t' j4 F
物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网,要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下,尽可能安全。两者是完全不同的产品。 9 o0 `5 i. d4 ?+ h# C
$ x" {) A8 F( J6 o0 ?
物理隔离的思路,源于两台完全不相连的计算机,使用者通过软盘从一台计算机向另一台计算机拷贝数据,有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接,就不会有基于网络的攻击威胁。
' n1 Z- g, c7 ?, b, W9 \8 |. M9 i M4 N) ?
二、逻辑隔离 " k U! R0 E* E A2 K
. [+ p1 S2 T" ~; r B0 }5 X
解决方案:防火墙
# P) `) v+ r2 r+ a1 _ z. h2 T" J% n& ~) @! Y5 [$ u
在技术上,实现逻辑隔离的方式有很多,但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。 1 e+ r5 ~: G6 j; S
3 d. u( w) V& B2 k# n& f防火墙的主要评价体系包括:性能、安全性和功能。实际上,这三者是相互矛盾、相互制约的。功能多、安全性好的技术,往往性能受影响; 功能多也影响到系统的安全性。 $ ?$ L8 o# e6 `2 y
0 ^$ a% I) L% L5 R3 m6 ^三、防御来自网络的攻击
& N: V8 H. R0 G/ V3 l8 p1 R
) G- l* U: U8 m" [9 F解决方案:抗攻击网关
1 V- q; j' L; f2 Z4 X
1 p7 H0 T0 @0 H; G) i" G$ X: N. x' z网络攻击特别是拒绝服务攻击(DoS),利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口,比如 80, 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 Web 服务器的资源耗尽,导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等。
9 _) k8 D" N9 u1 P0 H& e
/ p* x! r" y, N0 O# G/ k0 c抗攻击网关能识别正常服务的包,区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击,因此抗攻击网关的防御能力必须达到10万以上。
- K* i1 ?# Y. }* Z/ N1 i. m
' R( q6 z0 I+ K$ c v2 s+ U四、防止来自网络上的病毒 8 L6 M6 \% a2 V5 }9 H) B2 Q N. g
2 G' x7 D% M6 N3 |7 ^
解决方案:防病毒网关
! E( @" ?* T- \9 o* Z! I1 H1 k4 j+ I n; K
传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点,如果某台计算机发现病毒,说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的,旧的杀病毒软件一般不能检测和清除。 % J) `3 }. K+ ^; x! I# M9 w. N
) E/ l6 b A0 q$ B9 \5 Y应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端软件。
4 a$ _& y7 z1 u* v- G* B1 a9 k: w% U
/ V+ E! a O7 a' B( @五、身份认证
& s) w: A/ l) C' f5 A6 [" r8 O3 L( L* O8 U0 m( \- H3 s% M
解决方案:网络的鉴别、授权和管理(AAA)系统 % N) D4 o, S4 J% g9 j+ S
& y3 H, l0 b9 S, y( v4 [' _80%的攻击发生在内部,而不是外部。内部网的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网的隔离,基本上是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?这是一种细颗粒的访问控制。
# a1 ]" }7 S2 [$ M. ]+ i" w" p
, t' g0 [; X* z8 m- ]9 g在一般人的心目中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的安全体系,主要用于大的网络运营商,企业内部不需要这么复杂的东西。这种看法越来越过时,实际上单位内部网同样需要一套强大的AAA系统。根据IDC的报告,单位内部的AAA系统是目前安全市场增长最快的部分。
9 H( _5 G2 v, |7 m9 Y
6 U! N% e- D+ s7 J( r六、加密通信和虚拟专用网 3 o _3 G8 W' x2 {
; `3 d. n. U+ H# ^: K \" B" U解决方案:VPN
5 R# ?8 }. N+ n" L
2 z" ^/ \: N. c& G; v) p7 U单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网(VPN)有很大的市场需求。IPSec已经成为市场的主流和标准,不是IPSec的VPN在国际上已经基本退出了市场。 % } [, O2 K9 S- ?: C& z! H
# d( r; ?/ ~8 b. u9 m
VPN的另外一个方向是向轻量级方向发展。 g) ^9 l0 B% }4 [, B
4 P+ A2 I' B* U# M3 ]% P _# t七、入侵检测和主动防卫(IDS)
6 v( t) ?- U5 V& [# i
. X* n4 L* Z1 m* c7 y解决方案:IDS $ U r3 o, N# \! o0 P3 P# W
. v9 v2 M0 |' L. R$ r Y互联网的发展,已经暴露出不可避免的缺点: 易被攻击,技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
/ F* t( _2 z. K; V- N% f: {' c$ i }
; Z! q/ U% z- _+ T$ P# M针对黑客的攻击,从技术路线上来讲,早期的思路是加强内部的网络安全、系统安全和应用安全,安全扫描工具就是这样一类产品。但是,扫描是一种被动检测的方式,入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。
) t5 w2 U5 e. I/ b/ u9 w e. T, t1 T/ _& {7 v+ J' k$ I
八、网管、审计和取证
3 z' t3 Q1 h- j+ ?% h/ K3 q, n2 o# |1 j) K4 Z$ p3 j* P
解决方案:集中网管 . o; c; l% Q" ?) V$ J
7 P" @, r5 S0 K: t) f0 n& J网络安全越完善,体系架构就越复杂。管理网络的多台安全设备,需要集中网管。集中网管是目前安全市场的一大趋势。
9 v2 c q6 p! Q! e$ L% d0 Y' y
/ a! G% F& e V) q& F; J9 {1 I+ L2 a从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误,实际的网络安全也就存在问题。因此,技术越先进,审计功能就变得越重要。 . Z2 {" Q+ o( o6 j1 s/ ]7 U
4 m: N9 {+ @& o8 k" E3 a审计并不完全是检查安全问题。对审计的数据进行系统的挖掘,还具有非常特殊的意义,比如,可了解内部人员使用网络的情况,或对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣和需求等. ( F4 h' U- `7 F3 V8 b! [7 Y7 V
. t4 R4 i8 d7 |" P( {
. X" ?1 c+ R! X, }
- D' Q/ C" A! t0 {2 F |
/1 
发表于 2003-5-28 22:05:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
IP卡
狗仔卡
