㈠ 怎樣解決網路邊界安全問題
1、防火牆技術
網路隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火牆,防火牆是不同網路互聯時最初的安全網關。
防火牆的安全設計原理來自於包過濾與應用代理技術,兩邊是連接不同網路的介面,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是遊客就無法區分了,因為ACL控制的是網路的三層與四層,對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網路蒙上面紗,成為外部「看不到」的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系,從而「穿透」了NAT的「防護」,很多P2P應用也採用這種方式「攻破」了防火牆。
防火牆的作用就是建起了網路的「城門」,把住了進入網路的必經通道,所以在網路的邊界安全設計中,防火牆成為不可缺的一部分。
防火牆的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯,防火牆的安全性就遠遠不夠了。
2、多重安全網關技術
既然一道防火牆不能解決各個層面的安全防護,就多上幾道安全網關,如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了,設計在一起是UTM,分開就是各種不同類型的安全網關。
多重安全網關就是在城門上多設幾個關卡,有了職能的分工,有驗證件的、有檢查行李的、有查毒品的、有查間諜的……
多重安全網關的安全性顯然比防火牆要好些,起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的,這種方式速度快,不會帶來明顯的網路延遲,但也有它本身的固有缺陷,首先,應用特徵的更新一般較快,目前最長也以周計算,所以網關要及時地「特徵庫升級」;其次,很多黑客的攻擊利用「正常」的通訊,分散迂迴進入,沒有明顯的特徵,安全網關對於這類攻擊能力很有限;最後,安全網關再多,也只是若干個檢查站,一旦「混入」,進入到大門內部,網關就沒有作用了。這也安全專家們對多重安全網關「信任不足」的原因吧。
3、網閘技術
網閘的安全思路來自於「不同時連接」。不同時連接兩個網路,通過一個中間緩沖區來「擺渡」業務數據,業務實現了互通,「不連接」原則上入侵的可能性就小多了。
網閘只是單純地擺渡數據,近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」,通過的內容清晰可見,「水至清則無魚」,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。
網閘的思想是先堵上,根據「城內」的需要再開一些小門,防火牆是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的「單純性」,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。
但是網閘給我們帶來了兩點啟示:
1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。
2、協議代理,其實防火牆也有應用代理是思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
4、數據交換網技術
火牆到網閘,都是採用的關卡方式,「檢查」的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付「人」的攻擊行為來說,只有人才是最好的對手。
數據交換網技術是基於緩沖區隔離的思想,把城門處修建了一個「數據交易市場」,形成兩個緩沖區的隔離,同時引進銀行系統對數據完整性保護的Clark-Wilson模型,在防止內部網路數據泄密的同時,保證數據的完整性,即沒有授權的人不能修改數據,防止授權用戶錯誤的修改,以及內外數據的一致性。
數據交換網技術給出了邊界防護的一種新思路,用網路的方式實現數據交換,也是一種用「土地換安全」的策略。在兩個網路間建立一個緩沖地,讓「貿易往來」處於可控的范圍之內。
數據交換網技術比其他邊界安全技術有顯著的優勢:
1、綜合了使用多重安全網關與網閘,採用多層次的安全「關卡」。
2、有了緩沖空間,可以增加安全監控與審計,用專家來對付黑客的入侵,邊界處於可控制的范圍內,任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。
3、業務的代理保證數據的完整性,業務代理也讓外來的訪問者止步於網路的交換區,所有的需求由服務人員提供,就象是來訪的人只能在固定的接待區洽談業務,不能進入到內部的辦公區。
數據交換網技術針對的是大數據互通的網路互聯,一般來說適合於下面的場合:
1、頻繁業務互通的要求:
要互通的業務數據量大,或有一定的實時性要求,人工方式肯定不夠用,網關方式的保護性又顯不足,比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻,但又與廣大百姓與企業息息相關,業務要求提供互聯網的訪問,在安全性與業務適應性的要求下,業務互聯需要用完整的安全技術來保障,選擇數據交換網方式是適合的。
2、高密級網路的對外互聯:
高密級網路一般涉及國家機密,信息不能泄密是第一要素,也就是絕對不允許非授權人員的入侵。然而出於對公眾信息的需求,或對大眾網路與信息的監管,必須與非安全網路互聯,若是監管之類的業務,業務流量也很大,並且實時性要求也高,在網路互聯上選擇數據交換網技術是適合的。
四、總結「魔高道高,道高魔高」。網路邊界是兩者長期博弈的「戰場」,然而安全技術在「不斷打補丁」的同時,也逐漸在向「主動防禦、立體防護」的思想上邁進,邊界防護的技術也在逐漸成熟,數據交換網技術就已經不再只是一個防護網關,而是一種邊界安全網路,綜合性的安全防護思路。也許安全的話題是永恆的,但未來的網路邊界一定是越來越安全的,網路的優勢就在於連通。